全面解讀 | XDR到底是什么?從產品經理視角解析XDR


一文讀懂什么是XDR?

山石網科帶你深入了解XDR

安全圈已經有了NDR、EDR,最近幾年又出現了XDR。這么多DR讓大家傻傻分不清楚。大家都在宣傳XDR是如何的提升運營效率的、如何精準檢測和自動響應的。憑什么XDR可以,其他安全運營類產品不行呢?由此我們產生了疑問:到底什么是XDR?它和SIEM、態勢感知又有什么區別?

一、XDR的概念和定義?

XDR者,美利堅人士也。全名叫Extended Detection and Response(擴展檢測和響應),因為縮寫與EDR重名了,所以就取了Extended第二個字母X,縮成了XDR。

XDR概念是2018年由美國網絡安全公司Palo Alto Networks提出。同時他們也發布了世界上首款XDR產品——Cortex XDR。

如果說Palo Alto是XDR概念的創始方,那么將XDR概念傳播開來的就是Gartner。Gartner在2020年發布的《頂級安全和風險管理趨勢》報告中,提到的第一項技術趨勢就是XDR。接著又后續發布了《擴展檢測和響應(XDR)的創新洞察》、《擴展檢測和響應(XDR)市場指南》。在這兩份報告中,Gartner詳細的闡述了XDR的技術架構、核心能力、市場趨勢等等。

Gartner是如下定義XDR的:“XDR一種基于 SaaS 的、綁定到特定供應商的安全威脅檢測和事件響應工具,它原生地將多個安全產品集成到一個統一的安全運營系統中,該系統統一了所有許可組件。

在通常情況下,我們可以認為XDR是一個框(套件)。只要是為了解決威脅檢測與響應的問題能力模塊,都可以往里裝。它需要將多個安全產品能力有機的結合在一起,有統一的數據格式、策略、交互界面。

所以安全產品能力之間結合的是否“有機”,就成為了對XDR的核心要求。假設只是簡單粗暴的將各種安全產品攢在一起,那么是無法起到1+1大于2的作用的。

二、XDR的架構演進

Gartner定義早期的XDR,主要關注于保護終端用戶以及他們使用的應用程序和數據。后期XDR概念可以擴展到數據中心保護、身份和訪問管理等產品的組合。

從下圖可以看到,早期的XDR概念框架主要集成的還是端點檢測與響應(EDR)、網絡威脅檢測(NTA)、防火墻(FW)、身份識別與訪問管理(IAM)、數據防泄漏(DLP)、云訪問代理(CASB)等等。

通過統一的交互框架、統一的數據標準、統一的數據存儲方式進行數據關聯,最終實現自動化的事件響應。同時提供了開放接口,給第三方設備對接提供了可能性。

隨著各大廠家的XDR產品的不斷落地,根據用戶場景以及廠家實際情況,XDR的架構也在不斷的細化和擴充。Gartner在后期報告中,將XDR的架構分為成了前端和后端。

從上圖表格來看,XDR的框架還是非常宏偉的。要做到所有前端能力的有機結合當前還存在困難。所以Gartner后期表示前端應該有三個及以上的能力,包括不限于EDR、NDR、Firewall等等,相當于側面強調了并不是集成了所有能力才算是XDR。

后端能力本質上和目前國內的態勢感知或者SOC平臺沒有太大的差異,都是諸如結合威脅情報、匯總數據分析、自動化響應之類的能力。

三、XDR在國內的落地實踐

目前不管是國內還是國外,對于XDR的集成度都遠遠沒有達到Gartner框架中定義的標準。目前最成熟的集成方式是云、網、端三大類防護能力,形成統一和標準的XDR產品形態,實現全維度縱深防御體系。

我們前面提到XDR平臺最核心的優勢就是有機的結合。所以相比SIEM平臺收集各種告警日志來講,XDR平臺具備以下優勢:

濃縮的威脅事件

因為XDR平臺中前端感應器都是自身集成的能力,所以在告警的分析和關聯上,具備天然的優勢,它能夠完美的結合NDR和EDR各自的優點。我們知道黑客在攻擊時,往往都不是一蹴而就的,基本上都要經歷各個步驟。所以有了Cyber Kill-Chain(網絡殺傷鏈)以及最近幾年流行的ATT&CK框架。這些框架都是為了把攻擊步驟系統化的拆分成各個階段,和各個步驟。

從網絡側做威脅檢測,檢測到的更多都是攻擊的特征或者攻擊意圖,此時攻擊很有可能并未真正發生,或者并未造成嚴重后果。如果全部轉化為威脅事件,則會造成告警風暴,給運營帶來困難。

從端點側做檢測,確實能檢測到攻擊的準確信息,但是端點檢測這種方式無法覆蓋用戶所有的資產。并且端點檢測的部署成本相比網絡檢測也更高,對于端點的操作系統、硬件配置、網絡情況都有要求。

所以EDR的特點是檢測的深但是覆蓋面窄,而NDR的特點是檢測的淺但是覆蓋面廣。

XDR則結合了這兩者的全部優點,對于重點資產可采用端點檢測方式,對于其他資產可采用網絡檢測方式。XDR平臺會將這兩種能力檢測到的原始事件信息進行自動化關聯,最終可將這些微弱的攻擊信息,關聯分析成濃縮的威脅事件。

豐富的上下文信息

相比SIEM類產品收集第三方安全設備的日志,XDR產品由于檢測組件都是自身的原因,收集到的安全日志信息都是一手信息,相比Syslog類的二手信息具備信息保真度更高,上下文信息更豐富的優勢。并且由于商業競爭越來越激烈,第三方廠家很少會在外發的威脅告警日志中,提供詳細的上下文信息。這就造成了SIEM類產品做溯源分析時,存在大量信息丟失的情況。反之,由于XDR能夠收集網絡側和端點側的一手信息,通過內部統一的數據格式和數據存儲,能夠提供更加豐富且詳細的上下文信息。

統一的交互框架

在前面我們提到,XDR能力需要有機的結合。相比傳統的SIEM類產品,XDR做到的不僅僅是數據的統一,在交互層和業務層面上也實現了高度的統一。相比SIEM類產品組成的“解決方案”,XDR產品對外體提供的就是一套產品。雖然各個能力組件分開部署,但是從UI和交互上,是高度統一的。并且系統中全局的配置內容也是統一的。比如有統一的賬號體系、統一的大屏展示、統一的策略規格、統一的資產信息等等。在這種統一的架構中,用戶無需在各個平臺之間跳來跳去,在統一的交互框架內就能完成跨數據源的威脅分析和事件調查。

高效的聯動響應

XDR產品除了威脅分析和事件調查具備優勢之外,在響應層面也是同樣具備優勢的。通常情況下,響應能力也是由XDR原廠提供。比如山石的NGFW\IPS等安全設備,在XDR產品中,也是響應能力的一環。由于采用了統一的策略規格,以及原廠的統一接口對接。在做威脅響應時,除了基礎的策略響應外,還能夠實現對已下發策略的自動聚合等能力。同時在統一的交互界面上,可實現手工或者劇本下發阻斷策略,無需跳轉至防火墻管理界面進行策略下發。大大的提升了威脅響應的效率。同時所有下發的策略支持編輯、刪除,保留下發記錄,方便后期進行維護和審計。

開放的異構生態

考慮到很多客戶那里完全部署一套完整的XDR不太容易,畢竟現網往往有多家設備。并且有些客戶還有異構的需要,所以XDR在落地的過程中,如果能兼具與第三方網元的數據采集分析和聯動響應能力,將會更加貼合實際的場景。

想必,在上述內容的闡述中,大家基本已經了解到了XDR到底強在了哪里。當然要實現這些能力,還需要原廠具備雄厚的研發實力。XDR產品由于涉及到的產品能力多,且集成度高。所以對原廠的產品線廣度和深度,以及內部協調的通暢性都提出了更高的要求。

四、課后總結

首先我們再通過一張圖來回顧一下XDR、EDR、NDR、SIEM、態勢感知之間的區別。

XDR概念雖然提出不久,但是最近2年各大云服務廠家、傳統安全廠家、初創公司紛紛推出了XDR產品。這代表國內市場也認可了XDR概念的優勢點,并打算不斷的去做市場落地實踐。當前我們急需要做的是不斷的細化XDR概念框架,不斷結合市場需求打磨產品。至于什么是XDR卻又沒那么重要了。我們要關注的不應該只是XDR這個名字,更要關注的是XDR這個概念的本身。能解決實際問題的產品無論它叫什么名字,都是好產品。