網(wǎng)絡(luò)安全永遠是“道高一尺魔高一丈”的軍備競賽，但現(xiàn)實往往很骨感，網(wǎng)絡(luò)安全的“道”，經(jīng)常會跟不上網(wǎng)絡(luò)攻擊“魔”的腳步。而面對日新月異的攻擊技術(shù)，XDR(跨層檢測與響應(yīng))被看作是下一個能夠御魔的高級“道”。在 EDR(端點檢測與響應(yīng))、NTA(網(wǎng)絡(luò)流量分析)和SIEM(安全信息與事件管理)等主流安全方案之外，我們?yōu)槭裁催€需要XDR?XDR如何提升企業(yè)安全性?以下，我們嘗試解答。

[[348908]]

從被動到主動

隨著人工智能技術(shù)的快速融入，新一代高級網(wǎng)絡(luò)攻擊技術(shù)變得更加隱蔽、狡猾和復(fù)雜，對傳統(tǒng)安全方案更是建立起“降維打擊”的優(yōu)勢。例如，對抗性機器學(xué)習(xí)的攻擊威脅已成為安全社區(qū)的心腹大患。這種攻擊現(xiàn)有主流安全方案幾乎無法檢測到，因為它針對的是機器學(xué)習(xí)算法，削弱其檢測入侵的能力，更糟糕的是，攻擊者可欺騙操縱系統(tǒng)對攻擊者敞開大門。

為了應(yīng)對類似于對抗性機器學(xué)習(xí)的高級復(fù)雜威脅，企業(yè)需要采用更高級的解決方案，因為傳統(tǒng)的入侵檢測系統(tǒng)(IDS)無法抵御此類威脅。而諸如端點檢測和響應(yīng)(EDR)和網(wǎng)絡(luò)流量分析(NTA)之類的被動的，反應(yīng)式安全方法也無法檢測隱蔽攻擊。上述主流安全方案能夠提供對威脅的分層可見性，但對于隱蔽的網(wǎng)絡(luò)攻擊則是“睜眼瞎”。

企業(yè)需要更主動的安全方案，能夠快速識別隱藏的復(fù)雜威脅，并實現(xiàn)對特定威脅實例的可見性。此外，這種主動方案還需要能跨網(wǎng)絡(luò)、端點以及云基礎(chǔ)架構(gòu)提供數(shù)據(jù)的可見性。而能夠兌現(xiàn)這種愿景的熱門解決方案之一，就是XDR(跨層檢測和響應(yīng))。

XDR是什么?

XDR是一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測的方法。它可以監(jiān)視企業(yè)網(wǎng)絡(luò)中不同來源或位置的威脅。

由于傳統(tǒng)安全工具和解決方案之間缺乏聯(lián)系，事件分類和調(diào)查過程存在孤島問題，導(dǎo)致大多數(shù)安全分析人員的事件關(guān)聯(lián)和攻擊觀點存在局限性，這給攻擊者隱藏自己提供了很好的機會。

XDR通過全面的整體檢測和響應(yīng)策略消除了安全孤島。它收集信息并匹配許多安全層(包括為端點、服務(wù)器、電子郵件、云和工作負載配置的安全層)上的深度活動數(shù)據(jù)的關(guān)系。可以對各種數(shù)據(jù)進行自動分析，以更快地檢測到威脅，并使安全分析人員有足夠的時間進行徹底的調(diào)查。

傳統(tǒng)反應(yīng)式(被動式)方法的缺點

EDR、NTA和安全信息與事件管理(SIEM)絕對不是弱安全解決方案，但是，這些解決方案的工作方式為頑強而狡猾的攻擊者留下了可乘之機。

傳統(tǒng)安全系統(tǒng)的最大問題之一是警報過載(疲勞)。EDR等主流方案和策略會生成大量缺少有上下文信息的警報。這些不完整的，缺乏有效信息的安全警告對安全運營人員來說意義不大，“全選+刪除”是這些警告的常見歸宿。

根據(jù)IDC InfoBrief的數(shù)據(jù)，只有21%的企業(yè)收集了足以付諸行動的信息。大多數(shù)組企業(yè)(56%)表示，他們通過安全系統(tǒng)收集的信息只能使他們對問題的根源有個大略的了解，依靠這些信息無法鎖定具體問題并實施適當?shù)慕鉀Q方案。

根據(jù)Solarwinds的白皮書調(diào)查數(shù)據(jù)。擁有約一千名員工的公司的SIEM系統(tǒng)每秒鐘記錄的安全事件多達20億個，這意味著每天的安全事件高達200萬個。即使是最牛的安全運營中心(SOC)分析師也難以處理如此規(guī)模事件所產(chǎn)生的海量警報。

困擾傳統(tǒng)安全系統(tǒng)的其他問題是需要專業(yè)知識和耗時的事件調(diào)查，有時可能需要幾個月的時間。例如，使用EDR，據(jù)報道，入侵識別時間最多長達197天，而遏制攻擊時間可長達69天。

同樣，傳統(tǒng)安全系統(tǒng)的本質(zhì)是以工具和技術(shù)為中心，這使得人們忽視了更為重要的運營需求。正如IDC InfoBrief中所述，有23%的公司表示其安全團隊將更多時間用于維護和管理安全工具，而不是進行實際的安全調(diào)查。同時，有19%的公司報告其安全產(chǎn)品組合中存在碎片或缺乏集成的情況。

XDR通過其收集深度活動數(shù)據(jù)以及跨層掃描，搜尋和調(diào)查路徑的綜合方法來解決傳統(tǒng)安全方案的缺點。借助人工智能和高級分析，XDR可以在安全警報過載中發(fā)現(xiàn)真正的威脅。

“魔”高于“道”的時代

本文無意貶低EDR的價值，大量公司有充分的理由繼續(xù)依賴EDR。但是，由于其先天設(shè)計(將重點放在托管端點上)而存在功能上的局限性。同樣，EDR在可以識別和阻止的威脅種類、范圍，以及對被攻擊實體的識別和對攻擊的最佳響應(yīng)方面也存在局限性。

同樣，我們也不能說NTA是個擺設(shè)。網(wǎng)絡(luò)流量分析仍然很重要，但是NTA需要跳出網(wǎng)絡(luò)監(jiān)控這個狹窄領(lǐng)域。NTA系統(tǒng)也會生成海量日志，這使得將網(wǎng)絡(luò)警報與其他相關(guān)安全事件數(shù)據(jù)之間的關(guān)聯(lián)變得非常困難。

業(yè)界已經(jīng)在嘗試改進EDR和NTA，但是這些改進往往最為單獨的解決方案或額外的安全層來實現(xiàn)。這意味著數(shù)據(jù)孤島問題依然存在。而XDR目前來看，是企業(yè)升級檢測和響應(yīng)系統(tǒng)的首選整體方法。XDR能夠縮短SOC檢測告警的時間，并評估哪些警報值得關(guān)注和采取行動。XDR不會替代SIEM，但會對其進行增強，以充分利用SIEM產(chǎn)生的安全日志和通知。

換句話說，XDR是傳統(tǒng)安全系統(tǒng)進化的一個新路徑，以跟上網(wǎng)絡(luò)犯罪分子攻擊技術(shù)和方法的進化速度。

擴展的檢測和響應(yīng)

XDR可以查明各種來源和位置的隱藏威脅并對其進行跟蹤。這種先進的系統(tǒng)可提高企業(yè)IT團隊的工作效率，并提高安全調(diào)查的速度。XDR提供了超出端點的多個安全層，從而擴大了檢測和響應(yīng)范圍。此外，XDR創(chuàng)建了一個集成的自動化平臺，可實現(xiàn)跨安全層的完全可見性。

因此，業(yè)界也有廠商將XDR(跨層檢測與響應(yīng))稱為“擴展檢測和響應(yīng)”，也有人將“X”解讀為“廣泛的”，因為XDR不僅可以識別和處理威脅，還是一種全面的安全解決方案。XDR能夠確定用戶是如何被感染的、切入點在哪里、攻擊如何橫向移動以及有多少其他用戶受到了威脅。此外，XDR與SIEM以及安全協(xié)調(diào)、自動化和響應(yīng)(SOAR)系統(tǒng)的集成能夠使分析人員可以在更廣泛的安全生態(tài)系統(tǒng)中使用XDR。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文