關(guān)于XDR,你應(yīng)該了解的十件事
XDR是安全業(yè)界近年來逐漸火爆的話題,原因很簡單,企業(yè)客戶的預(yù)算正在流向這個領(lǐng)域。2017年Gartner指出,未來五年企業(yè)網(wǎng)絡(luò)安全支出戰(zhàn)略將發(fā)生重大改變,重心將從阻止(Prevent)向檢測和響應(yīng)傾斜。
自從2019年2月的RSA大會,有關(guān)XDR的討論開始升溫,而2020年隨著疫情和網(wǎng)絡(luò)威脅帶來的新變化,XDR的熱度有望在未來數(shù)年內(nèi)持續(xù)上升。
盡管充滿活力,但是XDR市場仍處于早期階段,與任何一個熱錢涌動的新興市場一樣,充斥著濫竽充數(shù)、渾水摸魚的謊言和混亂。
那么,XDR到底是什么?有何價值?與其他各種“DR”安全技術(shù)方案(例如EDR、MDR)存在什么關(guān)聯(lián)和區(qū)別?XDR的如何落地?如何選擇?對于很多企業(yè)客戶來說,當(dāng)他們面對廠商五花八門的營銷說辭時,有太多問題需要澄清。以下,我們根據(jù)ESG的市場調(diào)查報告將關(guān)于XDR的十大問題整理如下供讀者參考:
XDR到底是什么?
ESG將XDR定義為跨混合IT架構(gòu)的安全產(chǎn)品的集成套件,負責(zé)威脅預(yù)防、檢測和響應(yīng)等多個安全功能之間的協(xié)調(diào)和互操作。換句話說,XDR將控制點、安全遙測、分析和運營統(tǒng)一到單一的企業(yè)安全系統(tǒng)中。
XDR包含哪些安全技術(shù)?
由于每個網(wǎng)絡(luò)安全供應(yīng)商都熱衷于將XDR的概念扣在自家的產(chǎn)品上,因此市場上對XDR的定義繁多令人困惑。通常來說,XDR應(yīng)當(dāng)包含電子郵件安全產(chǎn)品/服務(wù),這是識別XDR產(chǎn)品的一個基本特征。盡管安全供應(yīng)商將提供不同的XDR捆綁包,但ESG研究表明,大型組織希望XDR方案包括端點/服務(wù)器/云工作負載安全性、網(wǎng)絡(luò)安全性、最常見威脅向量的覆蓋范圍(例如,電子郵件/Web)、文件引爆(例如沙箱)、威脅情報和分析。XDR供應(yīng)商往往還添加了基本的安全編排、自動化和響應(yīng)(SOAR)功能。
XDR有什么好處?
XDR的核心承諾是:通過技術(shù)集成和高級分析幫助企業(yè)大大提高威脅檢測和響應(yīng)的速度,表現(xiàn)優(yōu)于當(dāng)下企業(yè)采用多個單獨安全工具組合的方式。XDR還能幫助企業(yè)檢測低速緩慢攻擊以及高級持久性威脅(APT)。對于后兩類攻擊,XDR可以分析檢測到攻擊的殺傷鏈而不是離散的信號。總之,XDR的愿景是將安全控制與安全運營緊密結(jié)合在一起,成為一個集成解決方案。
XDR有市場嗎?
答案顯然是肯定的。ESG的研究表明,84%的企業(yè)正在積極集成安全技術(shù),因此XDR可以充當(dāng)交鑰匙安全技術(shù)集成解決方案。此外,由于大型企業(yè)和組織網(wǎng)絡(luò)安全支出的“一元性”——80%的企業(yè)愿意將大部分安全技術(shù)預(yù)算支付給單個企業(yè)級安全供應(yīng)商。因此XDR供應(yīng)商將不得不說服CISO,XDR才是正確的道路。如果XDR概念和方法能夠成功上位,取得CIO/CISO們的認可和共識,這個市場將迎來黃金發(fā)展期。
XDR將如何部署?
這是個棘手的問題。要想成功部署XDR,企業(yè)必須認同XDR的愿景,并愿意分階段部署XDR,因為他們需要將已有的點控制安全工具更換為XDR組件。CISO還需要為XDR項目選擇一個切入點(例如,端點安全)。當(dāng)他們的網(wǎng)絡(luò)流量分析(NTA)技術(shù)工具的成本完全攤銷(或服務(wù)到期時),他們將為NTA添加XDR組件。其他控制點(如云工作負載安全性,電子郵件安全性,Web安全性等)的情況類似。從理論上講,XDR與每個附加組件一起提供增量價值,也就是所謂的1加1大于2。由于需要采用了這種分階段過渡的方法,XDR供應(yīng)商將不得不說服CISO,XDR的長期價值在于,從長遠看該方法將比集成各種最佳安全工具的方案更加出色。
哪種類型的企業(yè)和組織最適合XDR?
對XDR需求最強烈的客戶是中型企業(yè)和小型企業(yè),這些企業(yè)沒有足夠的網(wǎng)絡(luò)安全人才或技能來推出自己的集成架構(gòu)。此外,一些行業(yè)用戶也有類似需求,例如:高等教育、醫(yī)療保健、地方政府等。當(dāng)然,這并不意味著XDR不會吸引大型企業(yè),但是對于擁有大量分散的安全控制和操作技術(shù)的企業(yè)和組織來說,XDR部署路徑將更加困難。企業(yè)CISO跳進XDR這個“大坑”之前,需要進行更加深入的調(diào)研和咨詢論證。
XDR是否會與EDR和MDR產(chǎn)品競爭?
在與端點檢測和響應(yīng)(EDR)直接競爭的項目中,XDR供應(yīng)商需要說服甲方,即EDR只是更大、完全集成的XDR解決方案的一部分。當(dāng)您可以購買整臺機器時,為什么還要去單獨購買一個齒輪呢?至于在成本上有優(yōu)勢的托管檢測和響應(yīng)(MDR),XDR供應(yīng)商有時會與其正面競爭,XDR的賣點是能夠讓客戶獲得最佳技術(shù)和量身定制的托管服務(wù)。
XDR是“全家桶”專有方案嗎?
每個XDR供應(yīng)商都將試圖說服客戶在XDR安全基礎(chǔ)結(jié)構(gòu)中整合自家組件結(jié)合在一起。但是,安全行業(yè)極為不同,因此XDR供應(yīng)商將必須支持某種程度的開放性:支持將包括開放源代碼消息總線集成,開放API,合作伙伴生態(tài)系統(tǒng),行業(yè)標(biāo)準等。某些類型的開源XDR解決方案可能會涉及ELK堆棧,但目前還沒有特別值得留意的進展。
XDR是否會與安全運營技術(shù)(例如安全信息和事件管理(SIEM)、SOAR和威脅情報平臺(TIP))競爭?
這其實就是XDR的終極愿景,但是到目前為止,還沒有XDR解決方案具有在大型企業(yè)安全運營中心(SOC)中發(fā)揮作用的規(guī)模或功能。這并不是說XDR將來不會增加規(guī)模和功能,但是目前這還不是一個緊迫的問題。在可預(yù)見的將來,XDR解決方案必須能夠SOC系統(tǒng)進行互操作,而那些能夠提高SOC效率的XDR供應(yīng)商將是最成功的。值得注意的是,XDR可能非常適合1級SOC分析人員的監(jiān)控性質(zhì)的安全警報分類。如果XDR解決方案可以兌現(xiàn)高級分析和簡單易用的承諾,那就更容易受到此類分析人員的歡迎。
如今,哪些國外供應(yīng)商正在營銷/銷售XDR解決方案?
XDR市場不斷有新玩家加入,最終任何主流安全廠商都不會作壁上觀。就國外廠商而言,目前我們能看到的名單包括Broadcom(Symantec)、思科、FireEye、McAfee、微軟、Palo Alto Networks、Stellar Cyber、趨勢科技和VMware。此外,值得注意的是EDR廠商們(CrowdStrike、Cybereason、SentinelOne等)將來也可能會涉足XDR市場,從端點延伸到其他控件。
除了上述十個問題,關(guān)于XDR的疑問還有很多,例如XDR是否會像用戶和實體行為分析(UEBA)那樣包含在SOC 中?XDR是否會顛覆當(dāng)下的網(wǎng)絡(luò)安全技術(shù)市場?中國有哪些廠商在XDR領(lǐng)域領(lǐng)跑?歡迎讀者們留言表達你們的觀點。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
