自2020年以來, XDR(擴(kuò)展檢測和響應(yīng))就成為了網(wǎng)絡(luò)安全領(lǐng)域的一個熱詞,尤其是隨著疫情和網(wǎng)絡(luò)威脅帶來的新變化,XDR的熱度持續(xù)上升。XDR是一種新的技術(shù),更是一種解決方案型的產(chǎn)品,為檢測和響應(yīng)帶來了新的可能性。比如Gartner在2020年的《Top Security and Risk Management Trends》報告中提到的第一項技術(shù)和解決方案就是XDR。在代表趨勢的Hype Cycle中,有兩個重點的Hype Cycle都提到了XDR這個關(guān)鍵技術(shù)。同時,國外各大廠商也在不斷的宣傳自己的XDR解決方案,包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。 此外,在2020年Gartner線上的Summit在主題演講《Top Trends in Security and Risk Management》中的八大趨勢中,第一個也是XDR,作為SIEM和SOAR的替代方案出現(xiàn)在主流市場中。
現(xiàn)在普遍認(rèn)為XDR源于EDR(端點檢測與響應(yīng))。EDR是一種安全工具,監(jiān)視與網(wǎng)絡(luò)相連的終端用戶硬件設(shè)備上的可疑活動與行為,并自動響應(yīng)以阻斷察覺到的威脅,同時為進(jìn)一步調(diào)查留存取證數(shù)據(jù)。從名字上可以看出,XDR跟EDR的關(guān)系最近,同時終端類型的安全產(chǎn)品也是在事件響應(yīng)中最重要的產(chǎn)品。但是XDR是一種解決方案型的產(chǎn)品,在安全運營體系中加入了一些有實際安全價值的產(chǎn)品中,以此來提高整體的檢測和響應(yīng)效率。
XDR在Gartner的定義是:SaaS類型的安全威脅檢測和響應(yīng)平臺,集成了大量的產(chǎn)品,并統(tǒng)一了相關(guān)license收費,具體產(chǎn)品功能視廠商而有所不同。XDR產(chǎn)品主要有三大價值:1.?直接集成安全產(chǎn)品開箱即用;2.?有統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢;3.由于有多種產(chǎn)品的配合和協(xié)調(diào),因此可以改進(jìn)檢測的敏感性;4.多產(chǎn)品聯(lián)動處理改變單一產(chǎn)品的響應(yīng)過程。XDR產(chǎn)品的最小集合需要有威脅情報的持續(xù)更新,以及需要數(shù)據(jù)的歸一化和中心化處理以便分析和關(guān)聯(lián)。標(biāo)準(zhǔn)化的解決方案需要SaaS的存儲,圖數(shù)據(jù)庫的支持分析,集成相關(guān)的安全產(chǎn)品,包括EDR、防火墻、SEG、CASB、CWPP等等。
XDR的價值,最直接就是兩個:一個就是能夠提高安全運營的效率和價值,增強(qiáng)檢測和響應(yīng)的能力,可以通過集成多種安全產(chǎn)品并統(tǒng)一進(jìn)行安全理解;另一個就是降低安全運營的復(fù)雜度。一個統(tǒng)一的解決方案,可以統(tǒng)一在一個產(chǎn)品界面進(jìn)行安全問題的解決,而不需要每個產(chǎn)品進(jìn)行單獨的對接調(diào)整,降低了安全運營的對接成本和使用成本。XDR的核心優(yōu)勢體現(xiàn)在三個層面:1.?改進(jìn)保護(hù)、檢測和響應(yīng)的能力;2.?提高安全運營員工的效率;3.?降低獲得有效檢測和響應(yīng)能力的總體擁有成本(TCO)。
需要考慮的問題
疫情以來,威脅形勢繼續(xù)發(fā)展并迅速擴(kuò)大。隨著從端點到網(wǎng)絡(luò)再到云的攻擊方法成倍增加,許多企業(yè)使用一流的解決方案來應(yīng)對每一種攻擊方法,以保護(hù)這些特定漏洞。然而,這些工具并沒有將整個技術(shù)堆棧中的安全問題聯(lián)系起來。因此,安全數(shù)據(jù)是孤立地收集和分析的,沒有任何上下文或關(guān)聯(lián)。
隨著 XDR 越來越受到關(guān)注并成為關(guān)鍵的下一代安全工具,在使用 XDR 解決方案時,你應(yīng)該考慮以下五個問題。
1. XDR 解決方案是否提供了豐富的跨堆棧可見性以及從多個數(shù)據(jù)源無縫獲取的能力?
EDR 解決方案非常適合從端點獲取安全相關(guān)信息。但是,它們?nèi)狈Ω櫡治黾夹g(shù),無法為準(zhǔn)確描述可能跨越其他來源的攻擊者的行為和目標(biāo)提供可靠的分析。強(qiáng)大的 XDR 平臺通過啟用來自多個安全層和可能的攻擊點的跟蹤分析來解決跟蹤分析限制問題。這使得持續(xù)監(jiān)控和管理傳入警報成為可能。此外,借助威脅情報源,XDR 系統(tǒng)可以主動搜索隱藏的威脅。
Singularity XDR 可以使企業(yè)從任何技術(shù)產(chǎn)品或平臺實時無縫地提取結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù),打破數(shù)據(jù)孤島并消除關(guān)鍵盲點。通過Singularity最近收購的 Scalyr,該解決方案可以讓安全團(tuán)隊在單個儀表板中查看由來自所有平臺的不同安全解決方案收集的數(shù)據(jù),包括端點、云工作負(fù)載、網(wǎng)絡(luò)設(shè)備等。
Singularity XDR 使分析人員可以利用從多個不同解決方案中將事件信息聚合到單個情境化“事件”中所獲得的洞察力。它還為客戶提供中央執(zhí)行和分析層點集線器,以實現(xiàn)完整的企業(yè)可見性和自主預(yù)防、檢測和響應(yīng),幫助組織從統(tǒng)一的角度應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。
2. XDR 解決方案是否提供跨不同安全層的自動化上下文和關(guān)聯(lián)?
許多 EDR 解決方案需要(人工)安全團(tuán)隊進(jìn)行調(diào)查。但考慮到生成的警報數(shù)量,許多安全團(tuán)隊沒有足夠的資源來處理每一個事件。一個強(qiáng)大的 XDR 解決方案應(yīng)該通過人工智能和自動化的內(nèi)置上下文和關(guān)聯(lián)來增強(qiáng)。
SentinelOne 獲得專利的 Storyline 技術(shù)在整個企業(yè)安全堆棧中提供實時、自動化的設(shè)備構(gòu)建上下文和關(guān)聯(lián),將斷開連接的數(shù)據(jù)轉(zhuǎn)換為豐富的故事,并讓安全分析師了解他們環(huán)境中發(fā)生的完整事情。自動將所有相關(guān)事件和活動鏈接到一個具有唯一標(biāo)識符的故事情節(jié)中。這使安全團(tuán)隊可以在幾秒鐘內(nèi)查看所發(fā)生事件的完整上下文,而無需花費數(shù)小時、數(shù)天或數(shù)周手動關(guān)聯(lián)日志和鏈接事件。
SentinelOne 的行為引擎跟蹤整個環(huán)境中的所有系統(tǒng)活動,包括文件/注冊表更改、服務(wù)啟動/停止、進(jìn)程間通信和網(wǎng)絡(luò)活動。它檢測作為惡意行為指標(biāo)的技術(shù)和策略,以監(jiān)控隱蔽行為,有效識別無文件攻擊、橫向移動和主動執(zhí)行 rootkit。Singularity XDR 自動將相關(guān)活動關(guān)聯(lián)到統(tǒng)一警報中,提供活動級別的洞察力,并允許企業(yè)跨不同方法關(guān)聯(lián)事件,以促進(jìn)將警報作為單個事件進(jìn)行分類。
3. XDR 解決方案是否通過集成的威脅情報自動豐富威脅?
隨著新的威脅的出現(xiàn),外部環(huán)境的缺乏使得分析人員難以確定警報或指標(biāo)是否代表了對其組織的真正威脅。威脅情報提供有關(guān)威脅、漏洞和惡意指標(biāo)的最新信息,讓安全團(tuán)隊能夠?qū)W⒂谧钪匾氖虑椤>臉?gòu)建的 XDR 解決方案支持來自多個來源的威脅情報集成,以幫助安全團(tuán)隊快速有效地確定警報的優(yōu)先級和分類。
Singularity XDR 集成了威脅情報,用于檢測和豐富來自領(lǐng)先的第三方源和SentinelOne的專有來源,這些來源通過實時威脅情報自動豐富端點事件。它使安全團(tuán)隊能夠獲得關(guān)于攻擊指標(biāo) (IoC) 的額外上下文風(fēng)險評分,例如 IP、哈希、漏洞和域。例如,通過SentinelOne的 Recorded Future 集成,從 80多萬個來源中自動豐富威脅,使客戶能夠加速威脅調(diào)查和分類功能。客戶還可以利用 SentinelOne 研究策劃的搜索查詢庫,該庫不斷評估新方法,以發(fā)現(xiàn)新的 IOC 和戰(zhàn)術(shù)、技術(shù)和程序 (TTP)。
4. XDR 解決方案是否可以跨不同域自動響應(yīng)?
當(dāng)然,事件檢測和調(diào)查需要觸發(fā)有效的響應(yīng)以緩解攻擊事件。響應(yīng)需要預(yù)先定義且可重復(fù),以提高修復(fù)效率并干預(yù)正在進(jìn)行的攻擊的任何步驟。應(yīng)對措施應(yīng)明確規(guī)定可用于緩解攻擊的短期和長期措施。了解威脅產(chǎn)生的原因?qū)τ谔岣甙踩院头乐菇窈蟀l(fā)生類似的攻擊也至關(guān)重要。必須采取一切必要措施,以確保類似的攻擊不太可能再次發(fā)生。
Singularity XDR 使分析人員能夠采取所有必要的操作來自動解決威脅,在整個區(qū)域的一臺、多臺或所有設(shè)備上一鍵式自動解決威脅,而無需編寫腳本。只需單擊一下,分析師就可以執(zhí)行修復(fù)操作,例如網(wǎng)絡(luò)隔離、在惡意工作站上自動部署代理或跨云環(huán)境自動執(zhí)行策略。
Singularity XDR 還允許客戶利用 Storyline 提供的分析功能,通過 Storyline Active-Response (STAR) 創(chuàng)建特定于其環(huán)境的自定義自動檢測規(guī)則。STAR 允許企業(yè)整合其業(yè)務(wù)環(huán)境并根據(jù)其需求定制 EDR 解決方案。借助 Storyline Active-Response (STAR) 自定義檢測規(guī)則,你可以將查詢轉(zhuǎn)換為自動搜索規(guī)則,在規(guī)則檢測到匹配項時觸發(fā)警報和響應(yīng)。STAR 使你可以靈活地創(chuàng)建特定于你的環(huán)境的自定義警報和響應(yīng),以自動、快速地檢測和遏制整個環(huán)境中的威脅。
5. XDR 解決方案是否讓你輕松與領(lǐng)先的 SOAR 工具集成?
由于你的 SOC 中可能部署了其他安全工具和技術(shù),因此你的 XDR 解決方案應(yīng)該讓你能夠利用你在安全工具方面的現(xiàn)有功能。關(guān)鍵功能將是內(nèi)置集成,包括自動響應(yīng)、集成威脅情報。
SentinelOne 通過 Singularity Marketplace 向第三方系統(tǒng)(如 SIEM 和 SOAR)提供越來越多的集成組合。Singularity 應(yīng)用程序托管在SentinelOne可擴(kuò)展的無服務(wù)器功能即服務(wù)云平臺上,只需點擊幾下即可與支持 API 的 IT 和安全控制結(jié)合在一起。Singularity Marketplace 是 SentinelOne 平臺的一部分,使客戶能夠消除編寫復(fù)雜代碼的障礙,使自動化在供應(yīng)商之間變得簡單和可擴(kuò)展。安全團(tuán)隊可以通過在不同域中的安全工具之間推動統(tǒng)一、協(xié)調(diào)的響應(yīng),輕松地確定最佳行動方案,以修復(fù)和防止安全攻擊。
