• 第 2 期

XDR,威胁检测与响应的利器

受威胁运营问题困扰的企业,建议尽快关注并了解

Gartner的调研报告

扩展检测与响应的创新洞察

基础参考文献更新于:2021年4月8日,发布于:2020年3月19日 - ID G00718616

XDR是一个安全事件扩展检测和响应平台,可从多个安全组件自动收集并关联数据。安全和风险管理负责人应该考虑XDR解决方案的风险和优点。

概述

主要发现

  • 安全和风险管理领导者正在努力使用来自不同供应商的太多安全工具,而很少集成数据或事件响应。
  • 扩展检测与响应 (XDR) 产品通过警报和事件关联以及内置自动化,提高安全操作生产率,从而获得实际价值。
  • XDR产品可以降低安全配置和事件响应的复杂性,从而提供比孤立的同类最佳组件更好的安全性结果。
  • XDR产品前景广阔,但也存在供应商锁定等风险XDR市场尚不成熟,不同供应商产品之间的能力差别很大。

建议

如果希望提高基础设施安全运营生产力,改进检测和响应,SRM领导者应当:

  • 与利益相关者合作,根据人员配置和生产力水平、IT团队水平、风险容忍度和安全预算,来确定一项XDR策略对于组织来说是否适当。开展差距分析,确定您的现有能力与您希望从XDR解决方案中获得的能力之间的差距。
  • 进行彻底的产品评估和测试,以确保结果符合这一新生能力的承诺。
  • 制定符合您的XDR战略的内部架构和采购策略,包括可能允许例外的时机和原因。确保未来的安全采购和计划的技术退役与长期XDR架构策略保持一致。
  • 外包给安全托管服务提供商(MSSP),在可能超出现有员工的技能组合时,可以构建XDR替代品。

分析

新兴的XDR产品是将多个安全产品整合为一个面向主流市场的统一的安全事件检测和响应平台。XDR产品是端点检测和响应(EDR)平台的自然演进,已成为安全团队的主要事件响应工具。XDR产品的主要价值主张是通过将更多的安全组件集成到一个统一的整体中,提供多种遥测流,多种形式的检测选项,同时启用多种响应方法,从而提高安全运营生产力,增强检测和响应能力。XDR产品的另一个优点是,它们可以提供传统上复杂的安全运营能力,并使没有更多定制单点解决方案资源的安全团队更容易获得这些能力。

XDR在功能上类似于安全信息和事件管理(SIEM)和安全编排、自动化和响应(SOAR)工具;但是,XDR与两者的最大区别在于其产品在部署时的集成程度,以及对威胁检测和事件响应用例的关注。虽然SIEM市场已经成熟,但许多组织尚未部署SIEM工具、实施失败或不完善,或者仅将SIEM用于日志存储和合规性。XDR产品旨在解决SIEM产品所面对的主要挑战,例如有效检测和定向攻击响应,包括对行为分析、威胁情报、行为剖析和分析的本机支持。

SIEM供应商通常没有与XDR供应商相同等级的威胁检测和研究分析实验室。此外,虽然现在SIEM市场可以作为SaaS交付,但大多数XDR产品都是使用新的云原生架构和服务开发的,使其成为现有SIEM工具的新兴替代品或补充。但是,XDR并不能替代所有SIEM用例,例如通用日志存储或合规性。

XDR 系统的三个主要要求是:

  1. 规范化数据的集中化,但主要集中在XDR供应商的生态系统上
  2. 将安全数据和警报关联到事件
  3. 作为事件响应或安全策略设置的一部分,可以更改单个安全产品状态的集中式事件响应能力

XDR主要用来保护终端用户及其使用的应用程序和数据(参见图1)。当然,XDR概念可以扩展到数据中心保护、身份和访问管理,以及安全访问服务边缘产品组合上。

图1:扩展检测和响应的概念架构

扩展检测和响应的概念架构

目前,XDR工具主要由安全解决方案提供商销售,他们拥有由自己以SaaS交付的XDR管理统一的基础设施保护产品组合。通过云交付,XDR还可能从新的分析用例中获益。这些XDR产品的范围仅限于供应商自己的产品和技术。早期的XDR供应商候选人包括Cisco、Fortinet、Fidelis Cybersecurity、McAfee、Microsoft、Palo Alto Networks、Trend Micro、Sophos、FireEye和Symantec。这些供应商已经对下层数据中的关系拥有自己专有的了解,并且可以提供私有API来启用自动化操作,这比尝试集成来自多个供应商的产品更有效。这些XDR产品的一大吸引力在于,通过开箱即用式集成和跨产品的预先调优检测机制,可以快速实现价值。

随着行业的成熟,SIEM和SOAR工具以及新进入者可能会声称拥有XDR能力。例如,Hunters.AI是一款集成了多个产品的早期XDR产品。

然而,为拥有所有组件并能够原生获取数据的供应商构建有用的XDR极其复杂,这说明了独立供应商在跨多个供应商进行集成时将面临的挑战。今天的现实是,在这个级别上几乎没有通用的数据集成标准,或者可以跨多个供应商的产品实现自动化的广泛API。

但是,构建有效的XDR比看起来更具挑战性。由于缺乏数据收集、通用数据格式和API,以及基于传统数据库结构的产品,即使在同一供应商的产品组合中,也很难集成安全工具。老产品的开发决策并不总是能够很好地扩展或与云原生工具集成。虽然在工具成熟之前可以先于市场进行营销造势,然而供应商可能无法交付。

尽管存在这些挑战,以及下面列出的更多挑战,但让主流市场更高效、更有效地安全运营的总体回报使XDR成为极具前景的企业安全性新方法。对所有安全组织来说,最大的两个挑战是雇用和留住技术熟练的安全操作人员,并构建安全运营能力,从而可以自信地配置和维护防御态势,并提供快速检测和响应能力。这两个问题的交错经常令主流组织不堪重负。

安全市场一直在同类最佳组件与套件产品组合之间不断摆动。随着安全产品的成熟,同类最佳产品的功能趋向于成为更广泛的平台产品的功能。目前,安全基础设施保护的许多主要组件正在达到其功能成熟度,并且许多供应商提供广泛的产品组合。将它们进行整合是很自然的下一步。与此同时,云大数据存储和分析以及机器学习能力使更集中的安全方法成为可能。

同类最佳安全产品的采购导致太多供应商和极少集成或协调的产品。安全警报通常过多、未协调且经常无人值守。配置没有积极维护或测试其有效性,而且安全产品也很少升级。大多数企业的传统集成点是SIEM工具,它们擅长收集日志,但在大多数实现中很少能改进检测保真度,也很少用到上下文指示器将多个警报组合,或提供完整的事件响应能力。组织很难开发SIEM剧本以及跨异构环境构建更深入、更丰富的集成。而较新的SOAR工具旨在提供跨多个组件的集成,但由于缺乏可用的API、数据合并问题以及与能够有效启动响应活动的检测活动断开连接的工作量,这些工具面临着困境。

XDR产品的出现可以缓解这些挑战。它们将多个特定于供应商的安全产品整合到一个统一的安全事件检测和响应平台,无需进行广泛的集成工作即可进入主流市场。

XDR产品对比较务实的企业安全买家构成相当大的吸引力,因为他们没有资源来将一流的安全产品组合集成到SIEM或SOAR工具中。

XDR系统的核心要求是以通用数据格式集中收集历史和实时事件数据。事件数据必须能够不受时间限制在可扩展和高性能存储中进行快速索引搜索。另一个要求是使用多种检测技术,将来自多个产品的微弱信号组合成恶意活动的有力证据。此外,XDR旨在通过自动化的辅助实现更快、更高效的响应能力。最后,XDR更易于维护,有可能改善安全状况。

XDR的核心优势体现在三个方面:

  1. 改进保护、检测和响应能力。
  2. 提高安全运营员工的生产力。
  3. 降低获得有效检测和响应能力的总体拥有成本。

理想情况下,XDR可以通过以下方式提高保护能力:

  • 在组件安全产品之间立即共享本地威胁情报,从而在所有组件之间提供有效的威胁屏蔽。此外,在多种不同的检测方法(例如网络和端点)中利用外部获取的威胁情报。
  • 将来自多个组件的微弱信号组合成更强的恶意意图信号。
  • 通过自动关联和确认警报来减少遗漏警报。
  • 集成相关数据,以实现更快、更准确的警报分类。
  • 通过加权制导提供集中配置和强化能力,以帮助对活动进行优先排序。

XDR也可以通过以下方式潜在地提高安全运营员工的生产力:

  • 将大量警报转换为少量需要手动调查的事件
  • 提供集成的事件响应选项,它们具有来自所有安全组件的必要上下文,以便快速解决警报
  • 提供基础设施控制点(即网络和端点)之外的响应选项
  • 为重复性任务提供自动化能力
  • 通过提供跨安全组件的通用管理和工作流,减少对第一级人员的培训和提升
  • 提供可用的高质量检测内容,几乎无需调整

有些XDR专注于集成基础设施安全工具,例如将网络和端点安全组合到一起。但是,更高级的XDR通过集成身份、数据保护和应用程序访问,将重点放在堆栈上。这些安全服务与事件的商业价值更近一步。例如,通过了解具有敏感数据或对关键IT或业务应用程序有特权访问的端点,让事件响应得到了丰富。

目前,新兴的XDR产品主要侧重于保护端点、数据和应用程序免受恶意攻击。因此,XDR系统中包含的主要安全服务类型通常包括:

  • 端点保护平台(EPP)与端点检测和响应(EDR)产品
  • 云访问安全代理(CASB)
  • 安全Web网关(SWG)
  • 安全电子邮件网关(SEG)
  • 网络防火墙、网络入侵防御系统(NIPS)和统一威胁管理产品
  • 身份和访问管理产品
  • 数据丢失防护产品
  • 用户和实体行为分析
  • 全球威胁情报

XDR概念可以扩展到包括以下工具的数据中心保护:

  • 云工作负载保护平台
  • 云安全态势管理产品
  • Web应用防火墙

由于XDR的目标是提高检测准确性和安全运营中心(SOC)的生产力,因此初始目标是集成能够将常见杀伤链中的事件响应活动情境化并告知事件响应活动的产品。将通常不参与同一攻击杀伤链的安全产品组合到一起会降低价值。

定义

XDR是一种基于SaaS的、特定于供应商的安全威胁检测和事件响应工具,可以将多个安全产品原生地集成到一个统一的安全运营系统中,以统一所有授权的安全组件。

XDR系统的四大主要功能包括:

  1. 开箱即用的通用安全产品集合
  2. 在中央存储库中将数据集中并规范化,以用于分析和查询
  3. 多种安全产品协同工作,提高检测灵敏度
  4. 作为恢复流程的一部分,可以改变单个安全产品状态的相关事件响应能力

描述

XDR是一种特定于供应商的威胁检测和事件响应工具,它将多个安全产品统一到一个安全运营系统中。主要功能包括安全分析、警报关联、事件响应和事件响应剧本自动化。

至少而言,XDR工具需要不断更新有关攻击者工具策略和技术的情报。它们还需要数据规范化和其他形式的预处理来实现分析和关联。它们通常还需要大量基于SaaS的数据存储,最好是在能够连接未预定义事件的图形数据库中。XDR工具将面临威胁的安全组件(例如EPP/EDR、防火墙、NIPS、SEG、CASB和SWG)组合到一个统一的安全运营系统中。

优点和用途

XDR仍然是一个新兴的产品类别;就其本身而言,大多数优点尚未得到证实。

理想情况下,XDR供应商能够交付统一的关键安全功能组合,从而提供:

  • 更准确的检测和防护能力
  • 更高的安全运营生产力和更低的采购成本,从而实现更低的总拥有成本
  • 更快实现价值(相对于集成同类最佳产品的买家)
  • 能够适应不断变化的基础设施和应用程序架构的安全性
  • 盲点更少
  • 更快、更准确和更明智的检测——即警报关联和完整的事件响应数据关联
  • 更快的补救——剧本和运行集成——以及自动化
  • 更好的可见性和可搜索性
  • 优先强化产品配置和软件漏洞管理,作为跨产品组合的集成式任务,而不是孤立的活动

通过合并来自更多组件的柔和信号来检测可能被忽略的事件,对数据的集中化和规范化有助于改善检测效果。跨组件的检测还可以解决棘手问题,例如帐户接管攻击、内部威胁和IoT/OT系统中的检测事件。还可以通过在组件之间更快速地共享本地IOC信息来提高安全性,从而在所有设备之间提供更快的保护。例如,事件响应可以收集唯一的IOC信息,并将其扩散至所有安全组件,同时检查类似事件的历史数据。

理想情况下,这种改进的关联性、上下文和分析将通过自动化操作和提供更强大的预验证能力,来减少需要人工干预的安全警报。这样做的好处是,分析师可以将更多的时间花在“事件”上,减少花在经常缺乏上下文的“警报”上的时间。例如,网络警报可通过端点活动分析进行确定或解除。通过将单个产品警报合并为全系统的事件,警报总量可以减少几个数量级。例如,一次导致电子邮件、端点和网络警报的攻击可以合并为单一事件。这样,分析师就有了更多的实时“上下文”,从而能够更快地做出更好的决策。XDR 产品的目标是通过将所有证据整合和情境化到一个易于理解的管理平台中,来提高安全团队的生产力,并提升1级SOC运营商的事件响应能力,而不是传播需要在多个控制台之间尝试着的“上下文切换”来了解情况的这一老问题。集中式数据实现了跨多个组件的更快查询能力。和SIEM一样,这将是强大的XDR解决方案的一个关键优点。作为市场上的新产品,XDR极具前景,而且从一开始就内置了API。这为更快和部分自动化的事件响应能力,以及与广泛的其他流程和系统(如SOAR、漏洞管理、ITSM和CMDB)的集成提供了更多机会。

采用率

XDR产品的开发正在进行中,很少有产品已经完全集成。因此,对于大多数产品,XDR的采用仍主要处于测试和早期试验阶段。不到5%的组织拥有XDR产品策略。

风险

XDR产品的出现仍处于开发阶段,仍存在许多可能扰乱这一新方法的风险。

事件管理存在一个基本问题——新事件源和事件量的增长速度过快,超过了处理它们的技术。集成、检测、响应和自动化程度的每一次提高,都只能部分地平衡问题的规模和复杂性。XDR只能改善这种情况,但并不能解决这一问题。

XDR可能导致过度依赖于单一供应商。XDR可能有助于提高安全效率,但也可能导致供应商锁定,并可能会因同类最佳组件而牺牲组件的功能性。

虽然XDR可以提高效率,但这样做也可能会牺牲安全效率。一个供应商正在做多个集成的事情并不意味着它一定做得很好。效率将是IT安全领导者关注的一个关键指标。您不仅需要了解它是否找到了东西,而且还必须真正找到您的现有工具无法找到的东西。

供应商最初主要集成他们自己的产品,因此可能缺失使其有效的关键集成或组件。XDR可能只是变成一种依赖某个特定供应商的机制,而这个供应商并未带来真正的好处,并且可能只是一套单点解决方案,而不是一个真正协调的整体解决方案。因此,买家在选择XDR供应商时需要做出战略性考量。

只有一小部分供应商能够真正提供XDR方法。许多XDR产品还不成熟,没有完成所有组件之间的集成。许多组织都无法从单一XDR供应商处获得完整的产品组合,或者没有足够的预算来购买。因此,对于大多数组织来说,XDR产品全部价值的实现将需要三到五年的时间。

事实上,如果开拓性XDR供应商提供的安全性或生产力价值太少,或者解决方案提供商并没有按照其路线图交付,或者XDR产品最终需要与现代SIEM工具一起的集成工作,那么XDR很可能会死于泡沫化的低谷期。

在解决新威胁方面,能够提供XDR产品的大型供应商的执行速度通常比同类最佳的初创公司慢得多。为了保持吸引力,XDR解决方案提供商必须紧跟最新技术,或者进行收购,让新的供应商将其集成到他们的平台中。

XDR供应商在其产品组合中将存在一些缺口,需要不能与XDR解决方案集成的单点产品,从而造成盲点。大多数组织已经存在盲点,所以即使XDR没有 100% 集成,也可以增加价值。但是,领先的XDR供应商将与优选的合作伙伴集成,以提高覆盖率。

大型的多产品供应商在提供开箱即用的XDR体验方面处于有利地位,因为理论上他们已经拥有很多组件。但是,随着越来越多的安全产品带有API和信息共享机制,独立初创公司、MSSP或SIEM/SOAR解决方案将能够集成同类最佳组件,从而提供与XDR相同的价值,并且不存在供应商锁定。他们将以创新的方式,即OTT功能做到这一点。例如,SOAR解决方案通过在现有解决方案之上提供一个抽象层来做到这一点。这种模式完全有可能成功,尤其是如果该初创公司能够提供更好的分析和存储,并且能够通过云实现这一点。

很有可能的是,销售和上市行动将无法抓住正确的购买受众,从而耗尽供应商对XDR的热情。显然,与购买单个组件相比,XDR的采购周期将更长、更复杂。CISO的平均任期可能比实施战略性的XDR组件采购计划的时间要短。此外,一次收购可以在XDR策略完成之前在产品组合中引入新产品。

XDR策略需要高度依赖单一供应商。这会引发多种潜在问题,包括:

  • 供应商锁定
  • 单点故障
  • 威胁情报和防御技术多样性不足
  • 随着对供应商的依赖,供应商支持或更新问题增加
  • 供应商未能适应不断变化的威胁或市场环境
  • 买家害怕XDR产品选择错误会带来更高的战略风险

大型XDR供应商可能有足够的威胁情报和广泛的安全工具组合,并且每种安全工具都使用不同的检测和预防技术,因此XDR产品可以实现深入的防御态势,免去了多供应商策略的复杂性。

安全领域专家都想要市场上最新最好的工具,这已不是什么秘密,即使他们不确定是否需要所有最新功能。通常情况下,CISO很难对高级功能的需求提出异议,因此很难坚持战略性购买,难以随着时间的推移获得更多XDR功能。

XDR不太可能消除对满足合规性或其他需求的日志存储机制的需求。

然而,尽管存在这些风险,随着安全市场整合时机的成熟,XDR产品将吸引那些因安全性太过于复杂和缺乏熟练的安全操作人员而不堪重负的务实企业。

评估因素

XDR供应商将在集成安全工具的范围和质量、SOC的生产力收益,以及检测和预防的改进方面展开竞争。

其他关键能力包括:

  • 组件的质量——安全效率仍然很重要
  • 集成到XDR系统中的产品数量,因为更多的可见性是有益的
  • 跨组件的集成深度(例如,无论只是数据级集成,还是允许XDR系统手动或自动更改组件状态的深度配置集成)
  • 警报与事件关联的准确性
  • 使用UEBA等高级分析来检测更复杂的威胁
  • 用户界面和上下文,可以实现更快的补救
  • 检测能力的质量,以检测更狡猾的攻击
  • 自动化能力的范围和深度,包括预定义剧本和自定义自动化能力
  • 可以直接集成到XDR系统中的合作伙伴的范围
  • 供应商执行完成其路线图并将新产品和采购集成到XDR系统中
  • 提供商提供先进支持的能力,包括托管服务和培训
  • 云原生服务架构

买家应专注于提供以下项目的解决方案:

  • 通用数据模式
  • 通用编程标准/框架,供平台内部开发的应用程序和第三方遵循
  • 丰富的API
  • 来自多个来源的丰富/相关数据支持用例,例如威胁搜寻和高级AI/分析
  • 不使用端点代理的检测/仅遥测
  • 超越仅端点操纵的响应操作
  • 在一个工具中启动并在另一个工具中执行的操作
  • 在同一门户/UI内的集成工具之间转换
  • 使用门户并链接到自动化的管理员工作流
  • 自动化启动常见任务

SIEM和SOAR

XDR的替代方案是使用基于SaaS、并针对检测和响应用例进行了优化的现代SIEM和SOAR。另一种选择是使用托管安全服务来提供类似XDR的体验。虽然MSSP不提供明确标记为XDR的服务,但MSSP的主要价值主张是通过执行集成和警报关联这类艰巨工作来承担XDR的角色。

建议

  • 与利益相关者一起确定XDR策略是否适合您的组织。
  • 评估现有和潜在XDR提供商的产品功能和路线图。
  • 制定符合您的XDR战略的内部采购策略,包括可能允许例外的时机和原因。
  • 确保未来的安全采购与长期XDR集成战略一致。
  • 提高采购决策中集成和自动化的重要性。

代表性提供商

以下是具有代表性的未来XDR潜在供应商列表(并不详尽):Cisco、Fortinet、Fidelis Cybersecurity、McAfee、微软、Palo Alto Networks、Symantec、Trend Micro、FireEye、Rapid7 和 Sophos。

资料来源:Gartner研究简报,G00718616,Peter Firstbrook,Craig Lawson,2021年4月8日。

回到首页