騰訊安全&Gartner白皮書:XDR是下一代威脅檢測(cè)與響應(yīng)的利器
摘要: Gartner聯(lián)合騰訊安全XDR白皮書的發(fā)布,勾畫了更為清晰的XDR發(fā)展歷程
隨著數(shù)字化轉(zhuǎn)型的飛速發(fā)展,企業(yè)面臨的安全威脅日益嚴(yán)峻。但是,目前許多企業(yè)仍在沿用傳統(tǒng)孤島式的安全能力建設(shè)模式,這種模式缺乏對(duì)全局安全數(shù)據(jù)的可見性,導(dǎo)致面對(duì)海量告警,安全產(chǎn)品自動(dòng)化程度不高,安全人員也難以提高工作效率。
在此背景下,XDR(Extended Detection And Response:擴(kuò)展檢測(cè)響應(yīng))成為了網(wǎng)絡(luò)安全領(lǐng)域的新興之秀。據(jù)了解,XDR最早由Palo Alto Networks于2018年提出,在2020年被Gartner命名為第一大安全趨勢(shì),同時(shí)Gartner稱XDR解決方案將提高檢測(cè)準(zhǔn)確性、安全運(yùn)營效率和生產(chǎn)率。
近日,騰訊安全聯(lián)合權(quán)威機(jī)構(gòu)Gartner在全球發(fā)布了XDR白皮書——《XDR,威脅檢測(cè)與響應(yīng)的利器》。騰訊安全副總裁方斌在寄語中表示:XDR可以匯聚跨產(chǎn)品、跨層級(jí)的全局安全數(shù)據(jù),利用機(jī)器學(xué)習(xí)等技術(shù)提升對(duì)全局?jǐn)?shù)據(jù)的關(guān)聯(lián)和分析能力,有效幫助企業(yè)走出安全孤島。
而騰訊依托自身成熟的云上安全能力,率先在國內(nèi)拓展云上XDR方案,并對(duì)私有化場(chǎng)景進(jìn)行賦能。針對(duì)公有云環(huán)境和傳統(tǒng)IT環(huán)境,形成兩套相對(duì)獨(dú)立的方案,應(yīng)對(duì)不同應(yīng)用場(chǎng)景需要。
安全威脅日益嚴(yán)峻,XDR成檢測(cè)與響應(yīng)利器
當(dāng)前,傳統(tǒng)安全系統(tǒng)面臨著更加隱蔽、更加智能、更具破壞性的新一代網(wǎng)絡(luò)攻擊。尤其在威脅檢測(cè)方面,企業(yè)面臨的安全挑戰(zhàn)越來越大,高級(jí)威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實(shí)現(xiàn),海量告警、孤島式安全能力建設(shè)的缺陷、現(xiàn)有安全產(chǎn)品自動(dòng)化能力不高、企業(yè)被動(dòng)的安全防御策略等現(xiàn)實(shí)困境,使得企業(yè)急需尋找一種新的信息安全防護(hù)措施,加固云上安全防線。
XDR作為可演進(jìn)式集成安全架構(gòu),結(jié)合了安全信息和事件管理(SIEM)、安全編排自動(dòng)化和響應(yīng)(SOAR)、端點(diǎn)檢測(cè)與響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA),集中安全數(shù)據(jù)和事件響應(yīng),是云上安全防護(hù)的有效利器。面對(duì)不斷加速的數(shù)字化轉(zhuǎn)型和紛繁復(fù)雜的網(wǎng)絡(luò)攻擊,XDR可促進(jìn)威脅防御、檢測(cè)、響應(yīng)等安全功能之間的協(xié)同和互操作,幫助企業(yè)提升威脅檢測(cè)和響應(yīng)的效率和效果。
XDR的模型架構(gòu)
據(jù)白皮書介紹,XDR擁有五大核心能力和六大顯著優(yōu)勢(shì)。首先,XDR支持對(duì)終端、網(wǎng)絡(luò)、云和工作負(fù)載的安全防護(hù)并具備控制能力,此外,還擁有安全集成和互操作能力、大數(shù)據(jù)處理和機(jī)器學(xué)習(xí)分析能力、自動(dòng)化編排能力、威脅情報(bào)能力。XDR的優(yōu)勢(shì)體現(xiàn)在可演進(jìn)式集成安全架構(gòu),更快、更深度的威脅發(fā)現(xiàn),一處檢測(cè)、全局響應(yīng),提升安全運(yùn)營效率,支持混合基礎(chǔ)設(shè)施和優(yōu)化企業(yè)安全支出成本。
Opportunity Snapshot的研究顯示,71%的安全負(fù)責(zé)人表示,他們的團(tuán)隊(duì)需要訪問威脅情報(bào)、安全運(yùn)營數(shù)據(jù)、事件響應(yīng)和漏洞數(shù)據(jù),而64%的企業(yè)無法跨職能共享威脅情報(bào)數(shù)據(jù)。XDR面向?qū)嶋H的網(wǎng)絡(luò)攻擊防護(hù)需要,有效提升威脅檢測(cè)的及時(shí)性,并快速收斂已發(fā)現(xiàn)安全事件所造成的影響,改變企業(yè)現(xiàn)有安全能力零散建設(shè)運(yùn)維成本高、安全能力難以協(xié)同、單點(diǎn)產(chǎn)品利用不足等帶來的安全支出成本居高不下的難題。
鑒于XDR技術(shù)的上述優(yōu)勢(shì),國外廠商通過相互合作,積極探索XDR前進(jìn)方向,目前網(wǎng)絡(luò)安全界已成立了三大XDR“聯(lián)盟”,分別由Crowd Strike領(lǐng)導(dǎo),由Mimecast等供應(yīng)商發(fā)起,以及由IBM參與。同時(shí),思科、微軟、Check Point等實(shí)力雄厚的大型廠商都在整合單個(gè)產(chǎn)品以構(gòu)建XDR套件,加大投資研發(fā)力度。據(jù)Grand View Research研究顯示,到2028年,XDR市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)到20.6億美元,2021-2028年的復(fù)合年增長(zhǎng)率將達(dá)到19.9%。
中國XDR市場(chǎng)前景廣闊,各大廠商積極探索
中國市場(chǎng)XDR發(fā)展前景亦十分廣闊,據(jù)CIC最新發(fā)布的《網(wǎng)絡(luò)安全威脅情報(bào)行業(yè)發(fā)展報(bào)告(2021年)》顯示,當(dāng)前我國威脅情報(bào)市場(chǎng)規(guī)模約為10.69億元。另外,在11月,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks和普華永道中國宣布擴(kuò)大合作,以XDR等產(chǎn)品為依托,在中國市場(chǎng)提供安全運(yùn)營服務(wù)。同時(shí),以騰訊安全為首的威脅情報(bào)服務(wù)提供商紛紛入局XDR賽道。凡此種種,都標(biāo)志著XDR在研發(fā)投入與創(chuàng)新動(dòng)力方面將迎來一波高潮。
聚焦到中國市場(chǎng),中小企業(yè)數(shù)量占據(jù)了中國企業(yè)總數(shù)的半壁江山,2020年底中小企業(yè)數(shù)量便已突破4200萬家。研究機(jī)構(gòu)Gartner發(fā)布的報(bào)告顯示,2021年全球信息安全和風(fēng)險(xiǎn)管理技術(shù)與服務(wù)支出預(yù)計(jì)將達(dá)到1504億美元。為了抵御攻擊,企業(yè)機(jī)構(gòu)將擴(kuò)展和規(guī)范威脅檢測(cè)和響應(yīng)活動(dòng),由于沒有足夠的網(wǎng)絡(luò)安全人才或技能來推出自己的集成架構(gòu),中型企業(yè)和小型企業(yè)對(duì)XDR有著強(qiáng)烈的需求。
XDR作為融合了“EDR+NDR+SOAR+威脅情報(bào)+安全中臺(tái)+X”的一站式安全檢測(cè)與響應(yīng)平臺(tái),不論是傳統(tǒng)IT環(huán)境,還是公有云、私有云、單云、多云、混合云架構(gòu),XDR都能夠更快、更準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)攻擊活動(dòng),并以開箱即用的自動(dòng)化操作快速應(yīng)對(duì)各類繁瑣枯燥的安全任務(wù),有效應(yīng)對(duì)告警過載難題。
當(dāng)前,各類產(chǎn)業(yè)主體都在積極圍繞以XDR為代表的威脅情報(bào)技術(shù)及商業(yè)模式展開探索。在有科技產(chǎn)業(yè)界風(fēng)向標(biāo)之稱的Hype Cycle(技術(shù)成熟度曲線)中,端點(diǎn)安全和安全運(yùn)維都提及了XDR技術(shù)。此外,據(jù)ESG對(duì)339位企業(yè)安全專業(yè)人員的調(diào)查數(shù)據(jù)顯示,58%的人認(rèn)為XDR可以通過增強(qiáng)、改進(jìn)、聚合當(dāng)前的安全分析功能來實(shí)現(xiàn)SOC的現(xiàn)代化,55%的人認(rèn)為XDR可以通過與SOAR集成來實(shí)現(xiàn)安全流程自動(dòng)化。
XDR已獲得市場(chǎng)發(fā)展的絕佳時(shí)機(jī),安全技術(shù)廠商正抓住機(jī)會(huì),聚焦企業(yè)需求痛點(diǎn),探索XDR熱門解決方案的發(fā)展方向。
騰訊率先拓展云上XDR方案,
全面覆蓋各類IT環(huán)境
騰訊安全作為XDR探索的重要廠商代表,擁有20余年網(wǎng)絡(luò)攻防對(duì)戰(zhàn)經(jīng)驗(yàn),一直以來都懷揣“做世界一流的威脅情報(bào)”的美好愿景,為用戶構(gòu)建更加穩(wěn)固的數(shù)字時(shí)代安全底座。
據(jù)白皮書內(nèi)容顯示,基于PaaS層的安全算力算法支撐,騰訊XDR方案可面向云環(huán)境和私有化環(huán)境分別提供針對(duì)性方案,覆蓋客戶IT各類場(chǎng)景需要,同時(shí)其云原生方案集成度高、部署成本極低、SaaS化服務(wù)即申請(qǐng)即使用,還可憑借云上各種基礎(chǔ)設(shè)施針對(duì)用戶訪問等場(chǎng)景進(jìn)行威脅檢測(cè)與分析,擁有包括云上成熟的大數(shù)據(jù)和機(jī)器學(xué)習(xí)能力、安全算力算法在內(nèi)的諸多優(yōu)勢(shì)。
騰訊XDR解決方案
例如,在公有云上,騰訊安全云上成熟的API接口可為XDR平臺(tái)提供較為便捷的響應(yīng)能力,同時(shí)借助CWPP、WAF、iOA、SaaS等產(chǎn)品,還可針對(duì)混合云環(huán)境進(jìn)行滲透,實(shí)現(xiàn)對(duì)混合云的集中威脅檢測(cè)與響應(yīng);在私有化環(huán)境中,騰訊安全將iOA終端安全、NDR解決方案進(jìn)行整合,兼顧環(huán)境特點(diǎn)的同時(shí)接入更多第三方設(shè)備告警與日志;針對(duì)云環(huán)境和傳統(tǒng)IT環(huán)境并存的客戶,騰訊安全通過SIEM實(shí)現(xiàn)對(duì)多套XDR平臺(tái)結(jié)果的整合,滿足客戶合規(guī)和審計(jì)方面的需求。
Gartner聯(lián)合騰訊安全XDR白皮書的發(fā)布,勾畫了更為清晰的XDR發(fā)展歷程,對(duì)于不滿足于現(xiàn)有獨(dú)島式、分散安全能力現(xiàn)狀,希望提升安全威脅應(yīng)對(duì)整體能力,以及采用集成化、可演進(jìn)式的安全體系建設(shè)的企業(yè)送來了“及時(shí)雨”,同時(shí)也為傳統(tǒng)安全系統(tǒng)進(jìn)化提供了新路徑。
從發(fā)展理念上來看,白皮書構(gòu)建了一個(gè)清晰的、基于XDR的發(fā)展愿景。隨著數(shù)字化時(shí)代網(wǎng)絡(luò)安全領(lǐng)域攻防對(duì)抗的不斷升級(jí),XDR匯聚跨產(chǎn)品、跨層級(jí)的全局安全數(shù)據(jù),利用機(jī)器學(xué)習(xí)等技術(shù)提升對(duì)全局?jǐn)?shù)據(jù)的關(guān)聯(lián)和分析能力,提升高級(jí)威脅的發(fā)現(xiàn)能力和發(fā)現(xiàn)速度,有效解決當(dāng)前孤島式安全能力建設(shè)難題。
從技術(shù)手段上來看,白皮書提到的云原生是XDR實(shí)踐的一個(gè)新方向。XDR廠商將考慮針對(duì)公有云提供針對(duì)性的安全方案,以更好的兼容混合云架構(gòu),同時(shí)以XDR集成一體化聯(lián)防聯(lián)控思想搭建的云原生安全體系,有效提升針對(duì)各類威脅的檢測(cè)能力、響應(yīng)效率,并通過SOAR提升響應(yīng)自動(dòng)化水平,降低MTTR。
從實(shí)踐落地上來看,騰訊安全為云上XDR探索提供了參考模板。目前使用騰訊云上XDR方案的客戶,可將公有云上失陷事件的MTTD時(shí)間減到分鐘級(jí)。依靠云原生XDR方案和SIEM結(jié)合的方式,客戶得以實(shí)現(xiàn)各類IT環(huán)境下的統(tǒng)一威脅運(yùn)營,依托自身成熟的云上安全能力,騰訊率先在國內(nèi)拓展云上XDR方案,并對(duì)私有化場(chǎng)景進(jìn)行賦能。
我們看來,白皮書梳理了XDR演進(jìn)與應(yīng)用,有利于推動(dòng)后續(xù)標(biāo)準(zhǔn)的共建。未來,平臺(tái)SaaS化是必然選擇,XDR會(huì)朝著技術(shù)更加成熟、產(chǎn)品集成能力和標(biāo)準(zhǔn)化程度更高、安全廠商間的合作更加緊密的趨勢(shì)發(fā)展。XDR在繼續(xù)聚焦事件響應(yīng)的同時(shí),會(huì)加強(qiáng)事件的背景和損害判斷,行業(yè)內(nèi)將逐步形成一些針對(duì)事件調(diào)查的通用方法與標(biāo)準(zhǔn)。
點(diǎn)擊“以下鏈接”可進(jìn)入Gartner官網(wǎng)閱讀完整版騰訊安全&Gartner聯(lián)合發(fā)布的《XDR,威脅檢測(cè)與響應(yīng)的利器》白皮書。