XDR必備的五大能力
在過去一年多時間里,大小安全廠商都逐漸投入到了XDR(eXtended Detection and Response)這個領(lǐng)域中:一些廠商從終端安全出發(fā),而有些廠商從網(wǎng)絡(luò)層面出發(fā)。無論那種方式都是不錯的切入手段,畢竟XDR的價值在于將安全從一系列端點產(chǎn)品轉(zhuǎn)移到一個獨立的平臺,從而實現(xiàn)企業(yè)中威脅的可視化能力。數(shù)據(jù)會從不同的執(zhí)行點被獲取,然后進行分析,從而企業(yè)能夠更快速地發(fā)現(xiàn)威脅,并且基于威脅的輻射半徑進行響應(yīng)。
像EDR這類傳統(tǒng)的安全工具,往往只能發(fā)現(xiàn)威脅的存在,而難以真正理解到威脅——尤其是威脅源自于那些不會發(fā)生的“正確行為”中。這也是大部分檢測和響應(yīng)工具往往在檢測能力上比在響應(yīng)能力上做得更好的原因——而XDR則能改變這一現(xiàn)狀。
XDR貫穿各個安全層面,這也是許多廠商加入這個圈子的原因。因此,XDR中存在著大量“服務(wù)商”,有一些提供真正的XDR解決方案,而有一些只是頂著XDR的名字罷了。這里給選擇XDR解決方案的企業(yè)五條篩選建議:
1. 跨安全圖譜的可視化能力
XDR中的“X”意為“擴展”,因此XDR工具需要有廣泛的可視化能力,但是指望一家安全廠商能針對所有威脅都有相關(guān)的安全產(chǎn)品,顯然不現(xiàn)實。那么,XDR廠商應(yīng)該至少提供終端、云、和網(wǎng)絡(luò)的可視化能力,然后在電子郵件、應(yīng)用相關(guān)數(shù)據(jù)等其他領(lǐng)域能整合第三方數(shù)據(jù)。理論上,XDR廠商應(yīng)該有三個支柱能力,然后通過合作伙伴模式輸出其他能力。在不同系統(tǒng)中將相應(yīng)能力聯(lián)系到一起是一項挑戰(zhàn),但是依然可行。
2. 基于機器學(xué)習(xí)的分析能力
安全系統(tǒng)會生成海量的數(shù)據(jù),多到甚至最頂尖的犯罪專家都無法手動分析。機器學(xué)習(xí)算法可以發(fā)現(xiàn)能表明攻擊的最小的異常點。盡管說一些安全專家不愿意將可視化權(quán)限讓渡給機器,但是這是唯一能大規(guī)模部署XDR的途徑。醫(yī)療行業(yè)早在幾年前就遇到過同樣的問題:醫(yī)生不愿意讓機器學(xué)習(xí)系統(tǒng)閱讀核磁共振圖,但是他們很快發(fā)現(xiàn),如果讓機器學(xué)習(xí)去處理這些問題,那么醫(yī)生自己就有了更多時間治療病人,而不是浪費在看數(shù)據(jù)上。在這一點上,安全和XDR也一樣。
3. 自動化響應(yīng)
和基于機器學(xué)習(xí)的分析能力類似,對安全事件進行自動化響應(yīng)也需要一定的信任。有些人認(rèn)為自動化威脅響應(yīng)有風(fēng)險,但是手動處理反而會降低響應(yīng)速度,從而一旦真有泄露事件發(fā)生就會導(dǎo)致企業(yè)數(shù)百萬元的損失。一個好的折中方案,可以讓XDR系統(tǒng)進行響應(yīng)方案推薦,而由安全團隊驗證這個方案并實施。這就跟特斯拉的自動駕駛類似:駕駛員依然需要把手放在方向盤上,但是車卻是控制駕駛的一方。
4. 協(xié)同響應(yīng)
自從網(wǎng)絡(luò)安全誕生以來,無法讓網(wǎng)絡(luò)、終端、和云協(xié)同響應(yīng)的問題始終困擾著安全團隊。網(wǎng)絡(luò)方面團隊可能注意到了威脅并及時阻斷,但是沒有告訴終端負(fù)責(zé)團隊,導(dǎo)致一些惡意軟件在企業(yè)內(nèi)部悄悄運行。XDR需要有一個集成的響應(yīng)系統(tǒng),讓安全團隊從一個顯示表消除網(wǎng)絡(luò)、終端、和云的威脅。這樣就能形成快速響應(yīng),并且將威脅半徑保持在可控范圍內(nèi)。
5. 簡化工作流
安全當(dāng)中有句話,叫做“復(fù)雜即敵人”,這對XDR同樣適用。如今,細分化的安全工具會造成一條幾乎看不到邊的告警流,充滿了各種誤報噪音。結(jié)果上來看,在過去幾年的重大安全事件中,安全廠商都宣稱自己檢測到了事件,但是安全團隊并未采取任何措施。太多的告警和無告警并沒本質(zhì)區(qū)別。XDR系統(tǒng)需要提供一個基于簡化調(diào)查的完整視圖,從而能夠輕松發(fā)現(xiàn)問題根源、事件的發(fā)生順序、以及從多個來源獲取的威脅情報詳細信息。
XDR部署還有一點需要考慮的:雖然有許多優(yōu)秀的解決方案,但是只有在人員使用它們的時候才能顯現(xiàn)效果。XDR的最佳實踐需要不同安全分組之間打破隔閡,由CISO自上而下讓不同的安全團隊相互協(xié)作。XDR的概念已經(jīng)提出了兩年之久了,而人員和流程也應(yīng)該演化。
