全面解读 | XDR到底是什么?从产品经理视角解析XDR


一文读懂什么是XDR?

山石网科带你深入了解XDR

安全圈已经有了NDR、EDR,最近几年又出现了XDR。这么多DR让大家傻傻分不清楚。大家都在宣传XDR是如何的提升运营效率的、如何精准检测和自动响应的。凭什么XDR可以,其他安全运营类产品不行呢?由此我们产生了疑问:到底什么是XDR?它和SIEM、态势感知又有什么区别?

一、XDR的概念和定义?

XDR者,美利坚人士也。全名叫Extended Detection and Response(扩展检测和响应),因为缩写与EDR重名了,所以就取了Extended第二个字母X,缩成了XDR。

XDR概念是2018年由美国网络安全公司Palo Alto Networks提出。同时他们也发布了世界上首款XDR产品——Cortex XDR。

如果说Palo Alto是XDR概念的创始方,那么将XDR概念传播开来的就是Gartner。Gartner在2020年发布的《顶级安全和风险管理趋势》报告中,提到的第一项技术趋势就是XDR。接着又后续发布了《扩展检测和响应(XDR)的创新洞察》、《扩展检测和响应(XDR)市场指南》。在这两份报告中,Gartner详细的阐述了XDR的技术架构、核心能力、市场趋势等等。

Gartner是如下定义XDR的:“XDR一种基于 SaaS 的、绑定到特定供应商的安全威胁检测和事件响应工具,它原生地将多个安全产品集成到一个统一的安全运营系统中,该系统统一了所有许可组件。

在通常情况下,我们可以认为XDR是一个框(套件)。只要是为了解决威胁检测与响应的问题能力模块,都可以往里装。它需要将多个安全产品能力有机的结合在一起,有统一的数据格式、策略、交互界面。

所以安全产品能力之间结合的是否“有机”,就成为了对XDR的核心要求。假设只是简单粗暴的将各种安全产品攒在一起,那么是无法起到1+1大于2的作用的。

二、XDR的架构演进

Gartner定义早期的XDR,主要关注于保护终端用户以及他们使用的应用程序和数据。后期XDR概念可以扩展到数据中心保护、身份和访问管理等产品的组合。

从下图可以看到,早期的XDR概念框架主要集成的还是端点检测与响应(EDR)、网络威胁检测(NTA)、防火墙(FW)、身份识别与访问管理(IAM)、数据防泄漏(DLP)、云访问代理(CASB)等等。

通过统一的交互框架、统一的数据标准、统一的数据存储方式进行数据关联,最终实现自动化的事件响应。同时提供了开放接口,给第三方设备对接提供了可能性。

随着各大厂家的XDR产品的不断落地,根据用户场景以及厂家实际情况,XDR的架构也在不断的细化和扩充。Gartner在后期报告中,将XDR的架构分为成了前端和后端。

从上图表格来看,XDR的框架还是非常宏伟的。要做到所有前端能力的有机结合当前还存在困难。所以Gartner后期表示前端应该有三个及以上的能力,包括不限于EDR、NDR、Firewall等等,相当于侧面强调了并不是集成了所有能力才算是XDR。

后端能力本质上和目前国内的态势感知或者SOC平台没有太大的差异,都是诸如结合威胁情报、汇总数据分析、自动化响应之类的能力。

三、XDR在国内的落地实践

目前不管是国内还是国外,对于XDR的集成度都远远没有达到Gartner框架中定义的标准。目前最成熟的集成方式是云、网、端三大类防护能力,形成统一和标准的XDR产品形态,实现全维度纵深防御体系。

我们前面提到XDR平台最核心的优势就是有机的结合。所以相比SIEM平台收集各种告警日志来讲,XDR平台具备以下优势:

浓缩的威胁事件

因为XDR平台中前端感应器都是自身集成的能力,所以在告警的分析和关联上,具备天然的优势,它能够完美的结合NDR和EDR各自的优点。我们知道黑客在攻击时,往往都不是一蹴而就的,基本上都要经历各个步骤。所以有了Cyber Kill-Chain(网络杀伤链)以及最近几年流行的ATT&CK框架。这些框架都是为了把攻击步骤系统化的拆分成各个阶段,和各个步骤。

从网络侧做威胁检测,检测到的更多都是攻击的特征或者攻击意图,此时攻击很有可能并未真正发生,或者并未造成严重后果。如果全部转化为威胁事件,则会造成告警风暴,给运营带来困难。

从端点侧做检测,确实能检测到攻击的准确信息,但是端点检测这种方式无法覆盖用户所有的资产。并且端点检测的部署成本相比网络检测也更高,对于端点的操作系统、硬件配置、网络情况都有要求。

所以EDR的特点是检测的深但是覆盖面窄,而NDR的特点是检测的浅但是覆盖面广。

XDR则结合了这两者的全部优点,对于重点资产可采用端点检测方式,对于其他资产可采用网络检测方式。XDR平台会将这两种能力检测到的原始事件信息进行自动化关联,最终可将这些微弱的攻击信息,关联分析成浓缩的威胁事件。

丰富的上下文信息

相比SIEM类产品收集第三方安全设备的日志,XDR产品由于检测组件都是自身的原因,收集到的安全日志信息都是一手信息,相比Syslog类的二手信息具备信息保真度更高,上下文信息更丰富的优势。并且由于商业竞争越来越激烈,第三方厂家很少会在外发的威胁告警日志中,提供详细的上下文信息。这就造成了SIEM类产品做溯源分析时,存在大量信息丢失的情况。反之,由于XDR能够收集网络侧和端点侧的一手信息,通过内部统一的数据格式和数据存储,能够提供更加丰富且详细的上下文信息。

统一的交互框架

在前面我们提到,XDR能力需要有机的结合。相比传统的SIEM类产品,XDR做到的不仅仅是数据的统一,在交互层和业务层面上也实现了高度的统一。相比SIEM类产品组成的“解决方案”,XDR产品对外体提供的就是一套产品。虽然各个能力组件分开部署,但是从UI和交互上,是高度统一的。并且系统中全局的配置内容也是统一的。比如有统一的账号体系、统一的大屏展示、统一的策略规格、统一的资产信息等等。在这种统一的架构中,用户无需在各个平台之间跳来跳去,在统一的交互框架内就能完成跨数据源的威胁分析和事件调查。

高效的联动响应

XDR产品除了威胁分析和事件调查具备优势之外,在响应层面也是同样具备优势的。通常情况下,响应能力也是由XDR原厂提供。比如山石的NGFW\IPS等安全设备,在XDR产品中,也是响应能力的一环。由于采用了统一的策略规格,以及原厂的统一接口对接。在做威胁响应时,除了基础的策略响应外,还能够实现对已下发策略的自动聚合等能力。同时在统一的交互界面上,可实现手工或者剧本下发阻断策略,无需跳转至防火墙管理界面进行策略下发。大大的提升了威胁响应的效率。同时所有下发的策略支持编辑、删除,保留下发记录,方便后期进行维护和审计。

开放的异构生态

考虑到很多客户那里完全部署一套完整的XDR不太容易,毕竟现网往往有多家设备。并且有些客户还有异构的需要,所以XDR在落地的过程中,如果能兼具与第三方网元的数据采集分析和联动响应能力,将会更加贴合实际的场景。

想必,在上述内容的阐述中,大家基本已经了解到了XDR到底强在了哪里。当然要实现这些能力,还需要原厂具备雄厚的研发实力。XDR产品由于涉及到的产品能力多,且集成度高。所以对原厂的产品线广度和深度,以及内部协调的通畅性都提出了更高的要求。

四、课后总结

首先我们再通过一张图来回顾一下XDR、EDR、NDR、SIEM、态势感知之间的区别。

XDR概念虽然提出不久,但是最近2年各大云服务厂家、传统安全厂家、初创公司纷纷推出了XDR产品。这代表国内市场也认可了XDR概念的优势点,并打算不断的去做市场落地实践。当前我们急需要做的是不断的细化XDR概念框架,不断结合市场需求打磨产品。至于什么是XDR却又没那么重要了。我们要关注的不应该只是XDR这个名字,更要关注的是XDR这个概念的本身。能解决实际问题的产品无论它叫什么名字,都是好产品。

以上就是XDR概念的所有阐述和个人理解,欢迎大家在评论区讨论!