2018年,Gartner 提出了XDR(Extended Detection And Response:扩展威胁检测与响应)的概念。XDR作为一项新兴的威胁检测与响应技术,结合数据中台技术、自动化编排技术及安全分析技术,形成面向已知和未知安全场景的综合性安全解决方案。其中,“X”代表着安全能力的持续扩展。
2022年,在Gartner发布的安全运营技术成熟度曲线(Hype Cycle)中,XDR更是站上Peak of Inflated Expectations的顶端,成为安全运营体系中最炙手可热的技术之一。在Gartner提出XDR概念后,国内部分安全厂商开始了相应的产品研发,但由于各家安全厂商对XDR概念的理解不同,产品也存在较大差异,这种差异性为用户带来巨大困扰。
“针对新的安全概念,用户的感知不像安全厂商那么敏感,他们的关注点会聚焦于如何解决面临的实际需求上。安全的概念层出不穷,但是用户的痛点变化不大,他们刚刚理解了什么是EDR、NDR,XDR又马不停蹄地出炉了。甚至有用户开玩笑说,什么是XDR?X就像是一个需要不停投资的无底洞。”技术视角看,XDR并非新鲜事物。在更复杂的安全形势下,用户更加聚焦实战攻防并以结果为导向,XDR能够将原有的安全技术和手段进行有机地排列组合,通过系统的更新和升级,更有效的解决检测与响应的难题。从严格意义上来说,XDR并不是一项创新的安全技术或产品,而是面向高级威胁提出了更有效的安全运营解决方案。“从Gartner的定义来看,XDR被称为可扩展的威胁检测与响应技术,它仍然是以威胁为对象,解决当前检测与响应技术方面的不足。早在XDR提出之前,国内就已经在强调‘云管边端’的防护理念,如果在这个基础上增加‘人’的维度,就已经符合了XDR在各个维度做扩展的思路。”
:XDR是一个新一代安全运营解决方案,它采用平台+组件+服务的组合方式,通过对终端、网络进行数据的采集、处理和分析,能够将不同时点产生的攻击片段自动化整合成攻击事件,并结合安全专家能力,进行自动化的攻击研判、标准化的响应处理、更高效的攻击事件处置,最终有效支撑用户常态化的安全运营,为用户的网络安全赋能。
XDR的最终使命
解决联防联控、精准防护、人员能力的三大挑战。
过去二十年里,多数用户已采购了防火墙、IDS、IPS、WAF、防病毒软件等大量的安全设备和安全软件,如何让网络中各自为战的安全设备和软件更加有效的协同运营,并以联防联控的方式使其各司其职并发挥应有的作用,这是摆在安全运营者面前的第一道难题。
此外,这种传统的、碎片化的安全建设方案还催生出了告警风暴,用户内部屈指可数的安全运维人员被淹没在海量安全告警中。“所有的检测设备都会提醒你疑似发现异常,但告警是否准确?攻击是否真实发生?这个判定的过程本身就是一件很有挑战的工作。”
在海量的告警信息中鉴别出真正有效的攻击后,如何快速处置并将一个个独立的攻击片段聚类还原成一次系统的攻击事件,继而将多起攻击事件串联形成一个攻击案例,并在下一次攻击到来前实现精准防护,这是摆在用户安全运营中的第二道难题。
最终,安全运营的种种问题还要回归到“人”。安全产品的品类过于繁杂,这就对安全运营人员的能力要求极为苛刻,加之能够精通多品类安全产品的安全运营专家具有一定的稀缺性,如何通过一套标准化、更友好的安全运营平台,让不同水平的安全运营人员都能及时、有效地进行标准化、流程化的安全威胁处置工作,降低对安全运维人员个人能力的依赖,成为摆在用户面前的第三道难题。
随着攻防对抗的日趋激烈,攻击者也在向着更智能和更隐蔽的方向进化。“攻击者的手段和技术已经有了大幅的进化,一个攻击手法从诞生的那一刻起,就已经将如何绕过市面上的安全防护设备作为出发点。以秒拨攻击为例,攻击者会在一次攻击事件中,利用秒拨的手段伪造10万个以上的IP地址同时发起攻击,而真正的攻击则以加密数据包的形式隐藏其中,所以如何发现有效攻击则成为防护的难点。”
以静态检测能力来对抗动态攻击是当前安全运营头号挑战。“过去大家面临的问题是怎样发现自己被攻击了,但现在面临的问题已经变成了如何在独立的攻击碎片中发现更深层次的未知威胁,所以整个安全行业迎来了更大的挑战,我们必须向下一个阶段进化。”