青藤雲安全:XDR是安全運營的最佳解決方案嗎?

XDR是Gartner今年的《Top Security and Risk Management Trends》報告中提到的第一項技術解決方案。在代表趨勢的Hype Cycle中,有兩個重點的Hype Cycle都提到了XDR這個關鍵技術。

圖1:終端安全成熟度曲線2020

圖2:安全運維成熟度曲線2020

同時,國外各大廠商也在不斷的宣傳自己的XDR解決方案,包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。

此外,在今年Gartner線上的Summit在主題演講《Top Trends in Security and Risk Management》中的八大趨勢中,第一個也是XDR,作爲SIEM和SOAR的替代方案出現在主流市場中。

圖3:《Top Trends in Security and Risk Management》中介紹的Top8趨勢

一、XDR演進路線及其定義

XDR是一種新的技術,它的演進路線又是如何呢?提到XDR,不得不先提及一下EDR的發展路徑

圖4:EDR的發展路徑

EDR首先脫胎於EPP這種傳統的安全產品,最終在使用機器學習、行爲分析威脅狩獵等領域極大加強了終端上的安全能力。EDR之前的核心能力還在於殺毒能力,加入了機器學習後作爲高級的殺毒能力,再到後面變成了EDR,着重於檢測和響應能力,將來會發展到響應能力的自動化,包括了威脅情報,以及SOAR的對接等。

圖5:終端保護工具的演進

其核心能力金字塔跟CWPP類似,可以看出來EDR的重點區分點在於行爲分析、異常檢測和響應以及威脅狩獵。底層的能力都是傳統EPP的範圍,包括了殺毒、內存保護、應用控制等功能

圖6:終端控制措施金字塔

從名字的演進來看,以及廠商的解決方案來看,XDR跟EDR的關係最近,同時終端類型的安全產品也是在事件響應中最重要的產品。但是XDR是一種解決方案型的產品,在安全運營體系中加入了一些有實際安全價值的產品中,以此來提高整體的檢測和響應效率

XDR在Gartner的定義是:SaaS類型的安全威脅檢測和響應平臺,集成了大量的產品,並統一了相關license收費,具體產品功能視廠商而有所不同。XDR產品主要有三大價值:1. 直接集成安全產品開箱即用;2. 有統一的安全數據歸一化和中心化可供分析和查詢;3.由於有多種產品的配合和協調,因此可以改進檢測的敏感性;4.多產品聯動處理改變單一產品的響應過程。XDR產品的最小集合需要有威脅情報的持續更新,以及需要數據的歸一化和中心化處理以便分析和關聯。標準化的解決方案需要SaaS的存儲,圖數據庫的支持分析,集成相關的安全產品,包括EDR、防火牆、SEG、CASB、CWPP等等。

如下圖所示,XDR的概念架構主要集中在終端客戶的保護形態上,當然也可以在數據中心保護,IAM或者是SASE的保護上。從下圖可以看出,終端客戶的保護上需要最上層的一些安全產品,然後是數據的歸一化,以及數據湖再到數據關聯,從而形成事件響應、自動化、工作流以及API的相關價值。當然在數據中心、身份安全以及SD-WAN的場景下也可以使用類似的架構來保證其特殊場景的安全。

圖7:XDR概念架構

二、XDR的價值與風險

講到XDR的價值,最直接就是兩個:一個就是能夠提高安全運營的效率和價值,增強檢測和響應的能力,可以通過集成多種安全產品並統一進行安全理解;另一個就是降低安全運營的複雜度。一個統一的解決方案,可以統一在一個產品界面進行安全問題的解決,而不需要每個產品進行單獨的對接調整,降低了安全運營的對接成本和使用成本。

講到這個價值,自然而然就會想到SIEM這種類型的產品,他們之間的區別又是什麼?XDR跟SIEM最大的區別在於集成模式的部署上以及目的上。XDR可能自帶一個統一界面以供直接集成相關的安全產品,而SIEM更多的需要一些單點的產品與其進行定製的對接。XDR更多的關注與威脅的檢測和響應,而SIEM更多的在於報警的集中處理和存儲以及合規的考慮。

XDR的廠商本身會擁有相關的安全研究團隊,針對於每一種安全攻防技術和產品檢測會有深入的研究。然後再集成相關的安全產品來解決這些安全問題,可以使用SaaS交付甚至可以使用雲原生的架構。但是目前XDR的解決方案都是一個安全廠商整體提供的,一般來說都是有比較長的產品線的廠商,從中選取比較有安全運營價值的安全產品形成整體解決方案,包括Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和Symantec等廠商。

對於每個廠商來說,要真正實現XDR解決方案所宣稱的價值都是巨大的挑戰。所以在客戶自行進行對接時,比如使用SIEM來對接每個單點的安全產品,也會出現更大的問題,比如要協調溝通各個廠商。由於每個廠商並不熟悉其他廠商的產品,所以很難做相關的關聯分析和聯動。鑑於缺乏數據,對於數據缺乏理解,沒有歸一化,不同產品的數據庫也不一致,這就很難打通不同廠商的不同產品,甚至打通一個廠商都有挑戰,因此,建設一個有效的XDR解決方案還是比較困難的。

另外,對於企業來說,安全運營在以下兩個方面始終面臨着挑戰:一是員工的招聘、培養和留存;另一個是安全運營體系的在威脅檢測和響應上的高效。同時這兩個問題交織在一起很難解決。

XDR的核心優勢體現在三個層面:1. 改進保護、檢測和響應的能力;2. 提高安全運營員工的效率;3. 降低獲得有效檢測和響應能力的總體擁有成本(TCO)。

在改進保護、檢測和響應能力上,可以使用共享的威脅情報聯動對每個安全組件進行檢測,比如網絡和終端的安全組件;也可以將一些低級別的告警合併形成一個高級別的事件;同時通過關聯分析和自動化報警確認發現報警;對警告進行相關的分類分級

在提高員工的生產率上,可以將大量的告警轉換爲少量需要人工調查處理的事件;提供所有安全組件的能力,讓安全調查更加快捷方便;提供更多的響應方式,包括網絡和終端等方面的;對於重複的工作可以做到自動化;可以減少對Tier 1人員的培訓,只需要相關的工作流和管理流程;提供相對高質量的檢測方法,並不需要太多的調整。

XDR解決方案本身的特質決定了這種產品的開箱即用的特性,所以客戶一般只在乎是否能夠實現實際價值,在交付中並不用考慮跟SIEM產品一樣要對接各種各樣的安全產品,然後還要考慮整體UseCase的設計以及關聯分析的深度問題。

一般來說,安全市場都是在每個細分行業選擇最好的安全產品,而不是選擇這種方案型的套裝。一個安全產品成熟了,市面上安全產品的領導者就會成爲這個市場的定義者。安全行業發展到目前,基礎架構的產品趨於成熟,一部分廠商已經擁有了相關的產品組合,所以集成這些安全產品變成了水到渠成的事情。同時利用大數據和機器學習又可以很好地提升安全能力。

在每個品類中採購最好的產品的思路會導致安全產品太多,但是很少有集成和聯動。安全報警會過多,經常會無人值守,也沒人經常性地去調整策略或者測試其有效性,升級一般也比較滯後。傳統的企業的結合點在SIEM上,但是SIEM的優勢在於收集日誌,但是很少能改進檢測的效率和真實性,也很少用到上下文分析和相關安全產品的關聯分析。所以,對於企業來說,開發SIEM的Use Case以及深度和豐富的集成異構環境的產品是很難的事情。

XDR這類解決方案型產品就是應對這些挑戰而出現的。XDR降低了對接各個廠商的成本,同時就可以開箱即用一些現成的安全事件劇本;也可以讓一些務實的企業不用採購每個細分行業的最佳產品,而是直接打包一個產品來提高整體的安全運營效率。

XDR的核心能力要求有兩個:一個是使用大數據技術,可以進行數據的收集、歸一化、索引、搜索等等;另外一個能力使用多種檢測技術,將每個安全技術檢測點進行結合放大,把報警歸結爲事件。

XDR這類解決方案的產品目前還處於初期階段,後續的發展演進路線可能出現風險。比如事件管理的基礎問題就是新的事件源和數據量不斷增加,所以會導致更復雜的分析、集成、檢測和響應,XDR只能改進這個狀況,並不能解決這個問題。XDR可能會導致對單一廠商過度依賴,會導致廠商鎖定,也有可能犧牲某些組件的能力,而不能選擇某個品類中最好的廠商。XDR可以提高效率,但是有可能犧牲一些能力。雖然集成了一些安全組件和能力,並不見得可以解決某些深度的安全問題。XDR的廠商一般只會提供自家的產品,但是產品是否有效就不見得,XDR可能變成一個集成方案而不是真正有價值的產品。提供XDR的廠商一般都是大廠商,一般來說演進速度要慢於創業公司,尤其是某個品類中的最好的公司。爲了保證領先性,還需要通過收購或者集成的方式來保證競爭力。XDR廠商同樣有一些盲點,需要集成其他安全廠商的產品,所以要考慮盲點的問題,來解決安全場景100%覆蓋。一些新興的SIEM或者SOAR廠商在集成某個門類中最優秀的產品來形成解決方案,這對XDR產品有極大的衝擊。這種叫做OTT的安全能力,比如SOAR的一些新興廠商就使用這種槓桿來實現這種效果。XDR的採購週期一般會比較長,可能企業安全負責人的任職週期都沒有采購週期長,這可能會影響XDR產品的成功。

三、廠商的解決方案

下文將介紹廠商的一些評估標準。

Hunters.AI

Hunters.AI在介紹自身時是說開放的XDR解決方案,並能夠利用豐富的終端、網絡和雲端的數據進行自動的威脅狩獵。這是一家專業的XDR廠商,重點在於強調其威脅狩獵能力。

圖8:Hunters.AI XDR產品界面

這張產品截圖說明了很多問題,最上面Raw Events主要是指收集的終端、網絡、雲端以及身份認證的數據,Leads條目可以理解爲一些潛在的線索,Hot Leads是比較重要的線索也是經過AI算法或者做了優先級排序得到的相關數據,Hot Stories可以按照事件的時間、地點、路徑、上下文等相關信息把威脅進行串接,形成一個完整的安全故事。這個產品最核心的能力就是自動化威脅狩獵發現所有其他安全產品無法發現的安全問題。產品實現分爲四步走:第一步收集相關的數據,包括終端數據、防火牆數據、雲平臺數據、身份認證數據、甚至是wifi數據,可以通過各種方式包括syslog或者API的方式進行對接。第二步做自動化的調查分析以及威脅狩獵,使用威脅情報,以及TTP的相關行爲,主要基於MITRE ATT&CK框架進行分析,使用機器學習,最終也對事件進行分級排序。第三步做相關的關聯分析以及可視化表示。根據相關威脅的關聯性,包括時間維度、位置、威脅上下文、IP等信息進行聚合,並利用圖數據庫來表示威脅的前因後果,可以按照完整的“安全故事”呈現出來。最後一步就是將分析的結果對接給SIEM或者SOAR這些產品,可以進一步歸總或者進行相關的響應。

Palo Alto Networks

PA的XDR解決方案也集成了網絡、終端和雲端的各種數據,基於存儲和分析的能力,對外提供威脅發現和狩獵,以及自動化調查和威脅響應。

圖9:XDR打破了檢測與響應的傳統豎井

XDR中的X被PA解讀爲各種數據來源。根據PA多年的積累以及與所收購的各類公司的良好集成,PA的XDR解決方案包括了SIEM、UEBA、NTA和EDR等產品,能夠很好的集成在一個解決方案中,打破了之前的每個產品都是一個豎井的情況。按照自適應架構最終形成了閉環,從保護、檢測、調查、響應四個階段都能有相關的數據、功能得到實現。

圖10:XDR不斷進行自適應調整,增強防禦能力

根據PA對XDR的理解,XDR常見的使用場景包括:威脅分級、威脅調查和威脅狩獵。在威脅分級方面,又包含5個步驟動作:第一步是評估,包括外部報警、集成在SIEM中的報警、也包括內部的報警,主要是一些安全產品的報警,去確定是否是潛在的威脅行爲;第二步是優先級排序,對這些報警進行自動分組進而變成安全事件,對於這些事件進行安全優先級排序,以便於安全分析師進行進一步分析;第三步分析,分析師可以進行可視化攻擊鏈分析,這點是核心能力表現。第四步信息 富化 處理,根據攻擊鏈的需要,需要更多的上下文以及不同設備的數據,所以需要更多的相關攻擊信息上下文,可以做到根本原因分析;最後一步是驗證,根據上述所有步驟的自動化,可以極大減少分析人員的手動行爲,分析人員只用在信息富化的環節參與,可以將大量的事件投入在如何響應的環節,考慮如何緩解威脅等。

圖11:使用XDR實現攻擊鏈可視化

爲了減少手動的調查威脅的事件,XDR可以加速這個過程,比如查詢報警、查詢威脅情報、查看相關網絡相關細節等。如果在傳統的方式下,需要手工的收集,在腦子中將這些信息進行聚合,並且要花費大量的時間。XDR可以自動化這些過程,並且分析出根本原因,並且進行攻擊的時間線繪製。

威脅狩獵也是XDR重點解決的高級威脅問題。威脅狩獵根據內容的驅動不同分爲:基於情報、基於知識、基於經驗、基於合規、基於機器學習這五大類威脅狩獵能力。威脅狩獵一般都是針對於高級威脅而進行的人工動作,在這裡可以自動化的通過產品進行分析。

Trend Micro

趨勢科技也較早在全球範圍內推出了XDR的解決方案,其口號是“看到你之前錯過的”。根據收集自身相關產品的相關安全事件,包括了雲工作負載、終端、郵件、網絡的信息,收集到所謂的 數據湖 中,在此之上進行自動化的檢測、威脅狩獵、根本原因分析等,可以將這些結果數據對接給SIEM或者SOAR,同時也可以搭配相關的安全服務以便於此種類型的產品體系的良好運營。

圖12:趨勢科技的XDR服務

其解決方案的重要突出特點是脫離僅僅一個視角,進行關聯的檢測和集成的調查和響應。XDR將分析的結果報警發送給SIEM,如果SIEM對這種高可信度的報警需要進一步的分析,需要在XDR的分析界面進一步調查,並採取相關動作。同時可以利用趨勢科技的威脅情報資源對XDR進行賦能。很多的檢測技術是參照ATT&CK的攻擊戰術和技術來進行檢測技術的提升和覆蓋。

Cynet

Cynet是一家從事EDR的以色列公司,同時也有其XDR的方案,其XDR的方案會與SOAR和MDR的服務一塊表述,統一叫做自動化泄露保護平臺。從下圖可以看出其XDR的解決方案有EDR、UBA、NTA和蜜罐,基本的產品矩陣跟上述類似,唯一的區別就是用戶層面的保護和蜜罐。

圖13:Cynet自動化泄露保護平臺

根據這些產品組合和統一化分析,Cynet可以做到的也是根本原因分析以及攻擊時間軸表示。

圖14:Cynet XDR產品界面

其XDR帶來的價值包括提高威脅的可見性和精確性,綜合相關威脅的指標,有些威脅可能由大變小,有些威脅可能由小變大;同時可以降低很多威脅噪音。另一方面的價值在於提高效率,自動化降低誤報的機率,讓人員充分關注真正的威脅,從而讓人員的效率得到了極大地提升。還有一方面就是降低成本,Cynet提供的服務都是免費的,同時其產品綜合了一攬子安全產品,比單點採購要便宜一些。最後一個角度是,對於安全運營人員來說就是睡個好覺,這主要是通過7*24的服務體現的。

還有很多其他公司的XDR方案也集成了其自身的安全產品,進行了相關的威脅的檢測和響應的組合。

四、總結

XDR作爲新的解決方案出現也就是近一兩年的事情,但是在國外其已經得到了主流客戶和主流諮詢機構的認可,這也側面印證一些其自身價值。XDR這種解決方案主要是面臨實際的威脅檢測和響應而存在,之前EDR僅僅解決了終端上的檢測響應,但是其他層面解決的較少,所以纔出現了XDR這種綜合的威脅檢測和響應平臺。這種解決方案的價值主要存在於,可以打破壁壘,可以將安全產品天然融合在一起,可以產生1+1>2的效果,將終端、流量、認證、郵件等相關安全產品的報警集成在一起,可以關聯分析。同時可以降低實際的採購成本和擁有成本。還有重要的一點就是可以提高個人和組織的綜合效率。

這些特點都是針對於SIEM這種產品進行對標表述的,可能SIEM實際的中心地位會受到XDR這種產品的挑戰,SIEM的部署成本極高,需要對接每個安全產品,同時進行關聯分析,需要了解每個產品的報警屬性,變相增加了產品擁有成本,也讓這種每種都採購最好的安全產品集成的採購成本居高不下。同時SIEM形成的SOC,也會分Tier1、Tier2、分析師等角色,存在大量報警需要人員進行確認,需要安全運營人員花費大量時間處理簡單而繁瑣的事件甚至是誤報。

其實短期內不存在XDR代替SIEM的情況,大部分XDR的解決方案都將其報警對接給SIEM,然後SIEM接收到的其他報警也可以通過XDR進行進一步分析。兩者目前還是配合狀態,SIEM還是發揮其報警歸併、日誌存儲等基本核心功能。

XDR也有其自身的侷限性,比如一般來說都是單一廠商提供的解決方案,基本都是全家桶性質的,這個要做好區分,必須能夠實際帶來威脅檢測和響應的特殊場景和效率的,更進一步說必須要提高安全運營的效率和效果。也可能會有供應商鎖定的情況,同時採購週期一般也會比較長,需要有遠見並有長期規劃的單位才適合。

XDR在國外已經有一些供應商提供了相關的解決方案,可以作爲一些參考,其核心解決方案的產品也有一定的共性。攻擊鏈可視、根本原因分析以及威脅狩獵都是此類解決方案的核心場景。XDR這種解決方案在國內的落地可能還有一段的距離,但是可能是未來安全運營的一種思路和解決方案,但是不是最佳解決方案,具體要看實際情況。