• 第 2 期

XDR,威胁检测与响应的利器

受威胁运营问题困扰的企业,建议尽快关注并了解

受威胁运营问题困扰的企业,建议尽快关注并了解

我们将站在客户的角度,对新兴安全架构 XDR 进行介绍和分析,包含其趋势、核心技术、应用场景和最佳实践。您可以通过本文快速了解 XDR 如何更安全、更高效地帮助您应对企业数字化转型可能面临的安全威胁。

以下是主要的内容框架

  • XDR 解决方案的技术演变与发展趋势
  • XDR 解决方案的技术架构和核心价值观
  • XDR 解决方案的服务对象和应用范围
  • 腾讯 XDR 解决方案在不同 IT 环境中的优势
  • 腾讯 XDR 解决方案的落地实践
  • 腾讯 XDR 解决方案面临的挑战及腾讯对未来的展望

1. XDR能解决哪些用户痛点,其演进路径是怎么样的?
随着企业数字化转型不断加速,数字化时代企业面临的安全威胁更加多样。同时,网络攻击正变得越来越有针对性,攻击手段和工具愈发复杂,企业面临的安全挑战越来越大。

  • 孤岛式的安全能力建设模式缺乏对全局安全数据的可见性,高级威胁的发现越来越难以通过单一的安全能力来实现。
    传统孤岛式的安全能力建设模式,在不同的网络位置(如终端、网络、云工作负载等“云-管-端”全链路)独立部署安全产品进行威胁检测,每个安全产品只能看到局部的有限数据,对全局的安全可见性不足,存在盲区;通过XDR汇聚跨产品、跨层级的全局安全数据,并利用机器学习等技术提升对全局数据的关联和分析能力,提升高级威胁的发现能力和发现速度。
  • 每天产生的海量告警,以及安全人员需要在多个安全产品间切换以处理每个产品的告警,让企业安全人员苦不堪言、效率低下。
    XDR通过关联多个安全产品的告警和相关信息,深度挖掘告警触发的根本原因、时间线、影响范围等信息,以攻击事件等维度合并同一次、同源或同类型的攻击告警,展现攻击的杀伤链,降低告警数量以及需要人工响应的频次。同时,XDR通过统一的告警分析和处置界面,减少企业安全人员因为需要切换不同安全产品进行操作造成工作效率低的问题。

    企业网络安全运营工作严重依赖安全人员的技术水平,现有安全产品的自动化程度不高,联动处置能力不足。 XDR将分散的安全产品、安全数据的整合与集成,通过机器学习等方式进行自动化的安全分析,对于重复性的安全事件处置流程进行自动化的编排,协调各个安全产品联动响应,解决单一产品响应能力不足、效率不高等问题,能够更加快速地缓解威胁,收敛威胁的影响范围。
  • 企业被动的安全防御策略和能力难以应对外部不断变化的新安全威胁。
    企业需要从被动防御走向更积极的检测和响应,在安全防护、威胁检测、安全事件处置、问题修复等进行全方位的安全应对。企业应面向实际的网络安全攻击防御需要,通过XDR去更加积极解决已发现的安全事件并预防新的安全事件的发生。
  • 企业缺乏可演进的安全架构方案,分散建设的安全产品间协同不足,安全建设成本高昂。
    企业零散建设/采购单个安全能力,不同的安全产品间缺乏联动,无法最大化利用每个安全产品的数据和能力,造成企业整体安全能力的提升效果不明显,安全支出成本高。

XDR的发展是企业更加重视体系化的安全能力建设、追求更高的运营效率和安全投入ROI、面向解决实际网络攻击威胁的自然结果。XDR在EDR、SIEM、SOAR等能力建设的基础上,集成更加全面的安全能力,提供深度的、统一的、联动的、自动化编排的安全检测和响应能力;未来,XDR会朝着技术更加成熟、产品集成能力和标准化程度更高、安全厂商间的合作更加紧密的趋势发展。

图1:XDR 的演进路径

figure

在产品成熟度层面,XDR的发展会经历4个阶段:

  • 单点能力建设阶段:在XDR提出前,针对威胁的点单检测、响应类产品和服务能力(如EDR、MDR等)的研发;
  • XDR概念提出和产品化阶段:XDR的概念在行业内被提出和普及,各厂商基于已有的安全产品(如SIEM等)扩展能力形成XDR产品和服务,现阶段主要是集成厂商自身的安全产品和能力;
  • 生态集成阶段:随着客户和市场对XDR的认可以及相关技术的不断成熟,市场会出现以提供XDR完整能力的“平台型”厂商,其XDR产品和服务会提供更加标准化的开放接口和能力,支持对更多第三方和客户现有安全能力的集成,为客户提供更加完整和友好的体验;也会出现提供XDR局部专业能力的“插件型”厂商,其产品会与“平台型”厂商的XDR产品和服务集成,共同服务客户。
  • XDR应用效果提升阶段:进一步提升XDR产品和服务的关键能力,为客户提供持续的安全防护支持。

2. XDR的架构模型、核心能力和优势是什么?
XDR扩展检测与响应是可演进式集成安全架构,面向实际的网络安全攻击防护需要,通过集成和联动包括终端、网络、云和工作负载、威胁情报等各层面的安全数据和安全产品,为企业安全人员提供全局的安全信息、统一的威胁分析和告警处置界面、自动化的安全响应编排等支撑,促进威胁防御、检测、响应等安全功能之间的协同和互操作,帮助企业提升威胁检测和响应的效率和效果。

  • XDR的模型架构如下:

    • 图2:XDR 的模型架构

    figure

  • XDR的核心能力包括:
    • 全局安全控制点:支持对终端、网络、云和工作负载的安全防护和控制能力,获取更大范围的安全可见性,支持跨产品、跨层级的安全数据获取、威胁检测和事件响应。
    • 安全集成和互操作能力:XDR需要把各种安全日志、告警等数据进行汇总,以便于进一步的威胁分析;同时,XDR需要能够联动不同层面的安全产品,阻断不安全的访问请求、隔离被攻陷的主机、修复系统漏洞/问题、降低用户权限、下发检测策略等响应执行操作。
    • 大数据处理和机器学习分析能力:XDR能够比单个安全产品提供更加强大的威胁检测能力,原因之一汇聚了全局的安全数据(包括各种安全日志、告警、网络流量、外部威胁情报等),一定程度上弥补因为数据不全面、数据碎片化造成的检测能力缺陷。海量安全数据的处理需要具备大数据存储、传输、分析等能力,需要依赖机器学习等人工智能算法增强对高级威胁的分析、攻击杀伤链的理解和还原;让安全人员可以聚焦处理数量有限、真正有影响的安全事件。
    • 自动化编排能力:XDR通过提供自动化的技术和工具,减少需要企业安全人员手动操作的频率和人为操作出错的概率,提高安全运营效率;XDR支持安全响应任务的编排能力,让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补救措施,提高局部威胁发现、全局快速响应的的能力。
    • 威胁情报能力:XDR通过提供或集成威胁情报服务,增强了企业用户的安全可见性,提升威胁检测时效性和能力。
  • XDR的主要优势包括:
    • 可演进式集成安全架构:帮助企业提升威胁应的整体对能力,面向实际的网络攻击防护需要,支持持续的安全能力集成;
    • 更快、更深度的威胁发现:提升威胁检测的及时性,以及对未知威胁的检测能力;
    • 一处检测,全局响应:快速收敛已发现安全事件所造成的影响,提高潜在风险的防护能力;
    • 安全运营效率提升:帮助企业安全人员优化安全运营工作流程,提供一站式界面帮助安全人员提升操7作效率;
    • 混合基础设施支持:支持混合云、云原生等新的技术架构;
    • 优化企业的安全支出成本:改变企业现有安全能力零散建设运维成本高、安全能力难以协同、单点产品利用不足低等带来的的安全支出成本ROI低的难题。

    3. XDR适合哪些用户,是否适应新的云基础设施如云原生架构?
    所有不满足现有独岛式、分散安全能力现状,希望提升安全威胁应对的整体能力,期待采用集成化、可演进式的安全体系建设的企业都适合采用XDR架构。但企业完成XDR架构能力建设并非一蹴而就,需要循序渐进的完善XDR全部核心能力。

    • 用户需求切实存在
      场景涉及终端、网络、云和电子邮件中的一种或者多种;
      准确识别和提出现有安全检测和响应能力的不足和痛点;
      要保护的业务重要性、复杂度和实时性高,应对复杂安全威胁的需求迫切;
      明确采用XDR的阶段性目标,及其能够产生的预期效果。
    • 用户目标足够明确
      梳理已有的安全能力和方案;
      定义威胁响应的优先级策略;
      能够开放现有安全能力的接口,明确XDR与现有安全能力和方案的兼容需求;
      能够接受升级XDR架构带来的集成技术挑战和时间损耗。

    XDR架构的适用性:
    XDR提供各种安全产品的集成套件,威胁和检测能力不再单单适用于端点、网络或云SaaS应用等独立场景,更强调能够跨越多种安全机制、多种混合IT架构,对所有安全事件进行检测和关联,实现威胁预防、检测与响应等要素的互操作与协调功能,消除安全孤岛。从这种意义上来看,不论是传统IT环境,还是公有云、私有云、单云、多云、混合云架构,XDR都能够更快、更准确地检测网络攻击活动,并以开箱即用的自动化操作快速应对各类繁琐枯燥的安全任务,有效应对告警过载难题。

    XDR不仅能很好地适配云原生架构,云原生架构为XDR提供了强大的基础支撑能力,为数据收集、处理和分析活动提供了超强的计算和存储能力、极致的弹性伸缩能力、快速的故障恢复能力、细粒度的流量管控能力。同时,云原生化SAAS形态的XDR产品更是能为用户带来即插即用的部署和使用体验。

    4. 腾讯的XDR解决方案是什么,有哪些优势?
    腾讯XDR方案在建设初期即会考虑公有云环境和传统IT环境的差异,并分别形成两套相对独立的方案应对不同应用场景。

    公有云上,腾讯将以相对成熟的CWPP、网络安全防护方案为基础构建XDR方案的威胁遥测能力。同时依赖云上丰富的大数据计算算力资源,结合威胁情报、机器学习算法、专家知识等能力能够自动实现事件分析与调查。而云上成熟的API接口能力可以为XDR平台提供较为便捷的响应能力,可以为客户提供一键响应,自动化响应等能力。同时公有云XDR方案可以依赖CWPP、WAF、IOA SaaS等产品针对混合云环境的渗透能力实现对混合云的集中威胁检测与响应。

    私有化环境中,腾讯将IOA终端安全、NDR解决方案进行整合,可以实现对私有化环境下的威胁检测与响应。同时,为了兼顾私有化环境中往往存在多厂商安全设备的现实,腾讯私有化XDR方案中,将接入更多第三方设备告警与日志。

    底层能力上,由腾讯天幕PaaS全程提供安全算力和算法支撑,提供全网全出口实时拦截能力,同时引入LLvm的JIT技术,优化现有的运行时编译引擎,使用AI算法对应用进行联动协同,将能力输出到上层SaaS应用。

    针对云环境和传统IT环境并存的客户,腾讯将依靠腾讯T-SEC SOC产品(SIEM)实现对多套XDR平台结果的整合,并满足客户合规和审计方面的需求。

    图3:腾讯的 XDR 解决方案

    figure

    腾讯XDR方案优势:


    • 可面向云环境和私有化环境分别提供针对性方案,可以覆盖客户IT各类场景需要。同时有SIEM产品来实现各场景下威胁的集中管理,并满足合规需要。
    • 云原生方案集成度高,部署成本极低,SaaS化服务即申请即使用。
    • 云原生方案可依赖云上各种基础设施日志针对用户访问等场景做到威胁检测与分析。
    • 私有化方案开放性较好,可基于第三方日志进行事件分析。
    • 云上成熟的大数据和机器学习能力可以为方案提供强有力支撑。

    5. 腾讯XDR落地实践情况如何?
    腾讯云在XDR方案发展中,优先依靠成熟云上能力拓展云上XDR方案,同时依靠云上经验对私有化XDR方案进行赋能。

    从目前公有云的安全事件监测情况来看,每天最多有近万失陷事件在公有云上发生,而使用XDR方案的客户可以将此类失陷事件的MTTD时间从原有的数小时缩减到分钟级。而依靠自动化响应和API接口联动,针对大部分普通威胁的调查和响应效率也有极大的提升。

    但目前中国客户对威胁运营的重视程度依然不足,这会导致针对不同客户,MTTD和MTTR的指标改善情况差异较大,对于成熟度较低的客户,还是很难理解XDR所能带来的价值,而这些客户往往是失陷事件的高发群体。

    为支撑事件分析与响应工作开展,腾讯安全将原有的云端威胁情报、哈勃沙箱分析能力、防病毒能力进行了整合,以支撑XDR方案对各类威胁做到更深层次的研判分析。同时,腾讯XDR方案可利用CWPP和EPP产品完善的数据采集能力,对威胁技战术做到有效监测和覆盖,再结合机器学习、图计算、自动化编排等技术对告警中的进程、IP、域名、文件等威胁关键实体关系进行拓展,以有效的对事件发生过程和相关性进行分析。

    腾讯云 XDR 解决方案凭借 MDR 服务,为不同成熟度的客户实现不同级别的安全操作能力。其中,对于资产规模较小的客户,建议选择安全事件监测、响应、处置服务。对于安全要求较高的客户,除提供上述服务外,还可以选择风险咨询/安全态势评估、托管安全产品、威胁捕获/威胁欺骗等。但最重要的是,腾讯云 MDR 能够帮助客户凭借较低的投资获得一套行之有效的、高度成熟的云安全运营流程。

    6. XDR的发展还存在哪些问题和瓶颈,腾讯如何看待XDR未来的发展?
    XDR在发展过程中主要会面临如下挑战:

    市场挑战:

    1. 与现代SIEM的关系依然会让很多客户存在疑虑,尤其是对于大量已经建设SIEM的客户,不论SIEM是否成功,都缺乏巨大的决心推动XDR落地。(对那些认为SIEM成功的客户来说,建设XDR的动力不足。对那些认为SIEM不成功的客户来说,存在一些对安全运营投入上的疑虑。)
    2. XDR的检测能力较多依赖于单一厂商的产品能力集成,这对很多客户的安全产品供应链管理是种挑战。
    3. XDR的分析能力往往需要客户进行更多的数据采集、存储、计算投资,这些投资往往无法快速的衡量效果和价值,虽然很多类似MTTD,MTTR的概念已经被厂商作为通用价值在被不断提起,但实际上真正做到相关数据度量的客户占比依然不大。
    4. XDR的部分价值在于面向分析人员友好的交互体验。但这部分评价往往存在较多主观因素,很难具体量化(即使通过POC也无法准确衡量用起来舒服这种感觉),这导致XDR采购决策中经常性的忽略安全分析人员的使用体验。

    技术挑战:

    1. 较多的私有化部署需求和XDR庞大而部署复杂的数据分析计算能力之间存在较大的冲突。该问题对于中国大陆市场影响尤其严重
    2. 事件的生成机制并不完善,依然会存在错误的事件或被分割多份的事件,运营效率还有提升空间。
    3. 事件分析方法也不够标准化,导致厂商之间能力差异较大,客户评价成本较高。
    4. 实现完全自动化的事件定性还存在一些技术挑战。
    5. 混合云架构对企业部署XDR造成一些障碍,虽然各XDR厂商均可提供部分CWPP能力,但是相较于云原生的安全能力依然有差别,如何在XDR方案中合理兼容公有云安全将是一个挑战。

    XDR可能的发展方向:

    1. XDR依然继续聚焦事件响应,但会加强事件的背景和损害判断,行业内将逐步形成一些针对事件调查的通用方法与标准。
    2. XDR需要通过SOAR提升响应自动化水平,降低MTTR。
    3. 平台SaaS化是必然选择,否则私有化部署所带来的平台部署复杂度、高昂的交付成本都不是客户可接受的。由于大型客户对于SaaS化产品还存在隐私和安全方面的疑虑,所以XDR早期体验者中将出现大量中小型客户。
    4. XDR会在主机告警和日志的基础上逐步扩展告警和日志采集来源,实现对身份安全、数据安全、网络安全、接口安全的监控和分析。这可能会导致SIEM和XDR在能力上出现更多重叠。
    5. XDR厂商会考虑针对公有云提供针对性的安全方案,以更好的兼容混合云架构。腾讯云在该方向上将依靠云原生XDR方案和SIEM结合的方式来帮助客户实现各类IT环境下的统一威胁运营。

    来源:腾讯

    回到首页
 
Gartner