首页 > 传媒 > 关键词 > 全面检测最新资讯 > 正文

全面检测与响应网络威胁,靠XDR来实现,靠谱吗?

2021-04-01 15:02 · 稿源:站长之家用户

  在网络安全行业中,网络威胁的检测与响应是个历久弥新的研究方向,魔高一尺,道就要高一丈。全球著名IT信息化咨询研究机构Gartner追着这个方向看了多年,从NTA推到NDR,从EPP说到EDR,在去年又提出了Extended Detection and Response的概念,也就是可扩展的检测与响应。国内厂商一向追热点概念追得很紧,不管是安全大厂还是站稳在细分领域里的新兴创业公司都纷纷跟了一波XDR的浪潮。是概念还是方向,是昙花一现还是任重道远?本文今天就此简单探讨一二。

  一、XDR是个筐,什么都可以往里装?

  先说定义。Gartner给出的定义是,XDR is a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed security components.这意味着XDR是某一个特定供应商的整体检测响应解决方案,可以将多个安全产品集成到一个统一的安全操作系统中,至少要包含“云-端-流量”的结构。简单来说,如果想做好威胁检测这件事,就得保证SIEM/SOC系统能看到更多的东西,同时也要看得更准。

  然而实际情况是,如果想看得更多,就要接入更多的安全产品把各种日志数据收过来,结果就是每天几十上百万的告警,根本没法看得准。如果想要看得准,那就要接入各种安全产品,比如NTA/NDR,从流量里发现威胁,以及EDR,从端点上发现威胁,还有UEBA、蜜罐、资产和攻击面盘点等,统统都要用上,这就又出现了新问题,即使各家产品都非常OK,但在对网络威胁的分析上仍然很难协同,尤其是在各家供应商在某些细分领域有竞争关系的时候。

  XDR更像一种“破罐子破摔”,既然没办法和其他产品打通,那干脆全都一揽子自己做吧!产品线完善的大厂们开始窃喜:该有的模块我都有,搞个XDR不就是手拿把掐的事儿,就算现在没有,我也可以用钱解决,缺啥买啥不香吗?有单点优势的新型创业公司们自己已经开始私下偷偷开搞,有流量的盯着端点,有端点的盯着威胁狩猎,蜜罐起家的直接全都想要……一时间,XDR仿佛变成了一个筐,有关检测和响应的产品/服务全都可以往里面装。

  二、XDR到底是啥?

  事实果真如此吗?脱离现象看本质,我们先要明确XDR为什么会被提出来。XDR出现,背后的需求就是单一安全的场景下,检测与响应能力或多或少都会受到限制,安全事件的故事讲不完整。就好比写字楼里有一伙惯偷,流量检测只能通过他们的行进路线来判断他们是坏人,端点检测则会清楚记录他们在每一间办公室里做了什么,而这两个场景之间的联系却没办法建立起来——单个场景中低风险的告警需要聚合起来,才能成为一个完整的、高风险的攻击事件,而这是单个检测产品无法做到的,因此才会产生检测与响应的盲区。

  因此,XDR系统的主要功能应该包括以下几点:

  1.把现有的安全产品全都集成起来。

  2.在中央存储库中对数据进行集中和规范化处理和存储,最好是基于SaaS化的,以进行分析和查询。

  3.在协同了其他安全产品的基础上,提高检测准确率。

  4.一键处置响应,快速关闭相应攻击点。

  一言以蔽之,XDR要统一多个安全场景,一键处置攻击事件,并且也能将攻击事件的来龙去脉述说得清楚明白。所以在这个基础上,能够辅助讲故事的模块都是好模块。XDR更像是一种需要长期规划的解决方案,要往筐里装什么全看各家厂商八仙过海。目前典型的整合手法比如市值非常高的CrowdStrike收购日志管理平台Humio,指名道姓要补足自己XDR能力;跨领域补足自己模块的比如微步在线,刚拿了E轮5 亿人民币,还发了新品OneEDR,结合他们此前的流量检测产品TDP,也打算要走XDR的路线了。国内想或者已经在做XDR的还有未来智安和亚信安全,一个是初创的A轮公司,一个是递交申请挂牌科创板的老牌安全公司,由此也能看出,XDR无论在国际还是国内,都将成为大厂小厂同台竞技的新领域。

  三、XDR可能有哪些搞法,关键技能和需要注意的点是什么?

  前面说到XDR的底配版就是要满足“云+端+流量”,除去端点和流量以外,企业的资产和攻击面盘点也非常重要,网关、邮件、防火墙、DNS解析、用户行为分析等产品都需要接入,要么自己具备,要么API化打通。理论上讲,XDR产品需要和SIEM/SOC深度结合,来提高整体威胁的检出和处置能力,而一部分XDR可以作为SIEM/SOC的平价替代品,当企业组织没有精力/人员/预算去搞一套SIEM/SOC时,选一家好的供应商来一套XDR可能也是不错的选择。

  目前Gartner在《Innovation Insight for Extended Detection and Response》报告中列出来的供应商名单还仅限于大厂们,如思科、趋势、McAfee、微软、赛门铁克、Palo Alto Networks等,也有像CrowdStrike、Rapid7 这类从某一个产品起家、跻身于世界上最优秀安全公司行列的企业。对这些大厂们来说,实现XDR的愿景或许会更容易一些,但XDR对产品仍然会存在一些要求。

  第一,产品需要足够开放,各个产品API化的程度要高,并且因为XDR要处理来自四面八方的日志,这就要求产品在交换数据时更加顺畅,对网络带宽和计算资源的占比要小,处理能力要高,简而言之就是要“丝滑”。

  第二,目前来看XDR产品大的趋势都是两条腿走路,要想检测做得好,威胁情报和机器学习能力都少不了,这俩一个负责知彼,一个负责知己。云端威胁情报需要做到量大、高准确度、高频率更新,机器学习则是要通过动态建模来帮助企业建立自己的检测响应体系,包括企业自身的威胁情报库、企业的误报告警特征等。这两条腿一个都不能少,不过理论上来说,威胁情报做得好的厂商一般在机器学习领域都有着丰厚的积累成果,而威胁情报也正是准确检测的核心能力,所以威胁情报能力出众的厂商会在迈向XDR的时候具备先天优势,这也能从Gartner列出的名单上窥见一二,这份名单可以说绝大部分重合了Gartner的《全球威胁情报市场指南》可信供应商列表。

  第三,大厂推出自己XDR解决方案的时候容易陷入“你们就是想让我买全家桶”的困境中,各条产品线能力的参差不齐会很影响XDR的效果以及客户满意度;而小厂、新兴公司的XDR解决方案往往又会缺不少东西,毕竟是从单点起家,想变成多面手也需要历经风雨才能见到彩虹。所以XDR能否作为一种战略持续在一家安全公司中推行下去,还是非常考验产品的梳理和研发迭代能力的。

  说了这么多,理想的XDR会是什么样?可能安全运维人员关注最多的就是首页的风险模块,以一个又一个攻击事件为维度,展现出企业内部目前存在着多少网络威胁,低级的威胁已经被自动化处置和溯源,中高级的风险则需要安全运维人员或分析师介入,而这背后则是通过收集网关、DNS解析、邮件、蜜罐、流量、终端等等各种地方的数据,尽可能穷尽了企业的服务器、端口、IP域名、应用组件、进程等可能遭受攻击的资产,同时威胁情报和机器学习不断地运作,才能呈现出这样的结果。不过肉眼可见的是,想达到这样的境界,不管是大厂小厂还都有长路要走,毕竟产品的堆栈不是一切,XDR好不好用,还是误报率和漏报率说了算。


这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 信办约谈 “深度伪造”已成新兴网络威胁

    1.近日,国家互联网信息办公室、公安部指导各地网信部门、公安机关加强对语音社交软件和涉“深度伪造”技术的互联网新技术新应用安全评估工作。近两年,深度伪造,即deepfake不断登上新闻头条,成为一种主要的新兴网络威胁:比如“假靳东”事件骗局,仅靠合成的语音和视频就能演变成现象级诈骗;比如2017年,有人制作发布了奥巴马的deepfake演讲视频,引起全球风波;甚至连美国安全专家都曾发出警告,称DeepFake可能成为对下届美国总统大选造?

  • 活动 | 欢迎加入网络安全威胁信息共享计划

    活动简介据Gartner定义,威胁情报是指已出现或新的资产威胁和危险的、基于证据的信息,包括情景、机制、指标、影响和可行建议,可用来通知企业针对相关威胁或危险做出决策。从情报的收集、处理、分析、传递,到反馈应对策略,每一个环节都需要大量知识图谱以及强大技术“后盾”支撑。作为深耕网络安全 20 余年的腾讯安全,结合多年黑灰产对抗经验,已形成较强的数据处理能力和自动化分析能力,目前已助力多行业数百家企业机构快速?

  • 委员通道上,网络安全行业代表周鸿祎讲述我国网络安全行业取得世界级成果

    3 月 4 日下午,全国政协委员、九三学社中央委员、 360 集团创始人、董事长周鸿祎代表网络安全行业,登上全国政协十三届四次会议首场“委员通道”,就数字化时代的“必答题”,提出在国家大力支持下,规划智慧城市网络安全大脑建设。 “我国已进入数字时代,建设数字中国正成为新的潮流。”周鸿祎说道,“但数字化技术是一柄双刃剑。” 一方面,各行各业、各级政府都在利用数字化技术转型升级,推动高质量发展;另一方面,带来了?

  • 货拉拉:呼吁多方发力筑牢网络货运安防线

    搭载共享经济蓬勃发展的顺风车,近年来网约货车行业发展势头尤为迅猛。与此同时随之而来的安全问题也成为社会热点的话题。今年两会期间不少代表就如何有序监管网络货运平台、如何提升网约货车安全性等问题纷纷提案建言。在物流行业专家认为,安全问题绝不是某一家企业或某一个平台的问题,而是整个网络货运行业的问题。与网约客运行业不同的是, 2016 年《网络预约出租汽车经营服务管理暂行办法》年出台实施,各地也纷纷出台相应实

  • 斩断网络诈骗黑手,浙江移动面推进“断卡行动”

    当前,全国电信网络新型违法犯罪高发,非法买卖电话卡、银行卡(以下简称“两卡”)用于电信网络诈骗的问题日益突出,严重损害人民群众切身利益。为严厉打击整治涉“两卡”违法犯罪活动, 2020 年 10 月,全国“断卡”行动拉开序幕。浙江移动积极贯彻落实“断卡”行动工作部署,强化警企协同和源头治理,加强技术拦截,开展常态化防诈骗宣传,切实维护社会治安稳定,保护广大百姓切身利益。强化警企协同,坚持源头治理与打击惩戒相结

  • Clubhouse失速背后的创业公司网络安全之殇

    产业互联网时代,一款产品只要击中用户心中的某个角落,就能在比特世界里激起共鸣,变身众人追捧的“网红”。初创公司对年轻人喜好的变化更加敏感,时不时就能涌现出一些“爆款”产品。但它们往往因为网络安全建设薄弱,难以应对突然暴涨的流量,和随之而来的网络攻击。近日语音社交软件Clubhouse一度风靡全球,广泛热议之下却被曝出存在信息泄露风险。曝出信息泄露风险,Clubhouse急速降温Clubhouse在产品体验上有点像中国互联网?

  • 十四五规划强调加快数字产业化 网络安全被多次提及

    智慧城市、数字政府、数字乡村等成为十四五规划重点词的同时,“网络安全”也被多次点名。近期,十四五规划全文发布,第五篇章“加快数字化发展 建设数字中国”指出,培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,提升通信设备、核心电子元器件、关键软件等产业水平。迎接数字时代,网络安全重要性与日俱增。全国政协委员、 360 集团创始人、董事长周鸿祎认为,数字化正在重新定义网络安全,网络安全已经成

  • 快手护苗携手反诈民警 聚焦青少年网络安全

    免费送手机、免费送游戏皮肤,天上真的会掉馅饼?日前,在全国中小学生安全教育日到来之际,快手官方账号快手护苗与警务大V大碗警花的萌萌警官(快手ID:1337219720)在3月25日晚6点进行直播连麦活动,聚焦青少年网络安全,让青少年及家长们在寓教于乐中收获满满。一个半小时的时间里,这场直播累计观看人次达265万,收获点赞量近115万。 如今,短视频平台流量红利成为重要资源,一些不法分子通过短视频、直播方式发布不良信息,给

  • 一文了解Roxe:基于区块链的下一代全球支付网络

    去中心化、点对点传输的区块链技术,让即时价值转移成为了可能。互联网技术的发展,让即时信息传递成为了可能,人们的工作、生活、通讯、娱乐等方式也因此发生了翻天覆地的变化。信息的即时传递、经济全球化进程的加速以及货币资金的跨境流动日益频繁,都使得消费者、机构对传统资产以及加密货币等数字资产的价值转移提出了更高的要求,但目前全球价值转移远远落后于信息转移,全球资产转移的高摩擦、高费用的弊端也愈加凸显。区块

  • 网络电视盒子哪款好?老用户评价最高的五款网络电视盒子

    对于新手小白来说相信都知道电视盒子选购起来真是一件伤脑筋的大事。虽然网络电视盒子品牌也算太多,但是网络电视盒子的参数和各种功能还是会让新用户不知如何去选择。到底网络电视盒子哪款好呢?这五款老用户评价最高的网络电视盒子,小编还是强烈推荐的。Top1.泰捷WE30C网络电视盒子泰捷WEBOX是由腾讯、创新工场所投资的一个牌子, 10 多年来一直专注在音视频领域,专业水准是业内公认的,拥有很多独家的视频专利技术,本身的实?

  • 2021网络机顶盒十大排名,重磅盘点热门网络机顶盒

    2021年网络机顶盒排行榜又迎来了重新的洗牌,小编最近做了网络机顶盒的口碑调查,根据目前市场上各大网络机顶盒的口碑和知名度列了一个2021年网络机顶盒排名榜,希望对大家有帮助。一、泰捷WE40网络机顶盒好评指数:★★★★★泰捷WEBOX可以说是业内公认专业水准高的品牌,10年来一直专注音视频领域,拥有很多独家的视频专利技术,本身的技术实力很强悍,泰捷WEBOX销量已经突破200万台,是现在最畅销的品牌之一。现在来说说泰捷WE4

  • 2021网络机顶盒哪个好?评测达人力荐五大网络机顶盒

    作为评测过大大小小数码产品的评测老达人,一直都有朋友向我咨询网络机顶盒应该如何买, 2021 网络机顶盒哪个好的问题。于是也萌发了我想评测网络机顶盒的想法,经过将近 1 个月的体验评测,我给大家挑选几款觉得好用的网络机顶盒,并且把我的真实体验告诉大家。◆泰捷WE30C网络机顶盒值得买指数:★★★★★泰捷是目前销量特别火爆的网红品牌,很多明星网红都带过货。这个牌子背后是腾讯投资,在网络机顶盒里是专业度极高的品牌,

  • 深信服圆满完成2021国两会网络安全保障工作

    3 月 11 日,十三届全国人大四次会议落下帷幕,预示着今年全国两会的胜利召开。此次全国两会作为我国新发展阶段的首届全国两会,重要程度毋庸置疑,引起了全国各行各业乃至国际社会的高度关注。深信服作为此次全国两会网络安全保障主要技术支撑单位之一,在网络安保主管单位的统一指挥下,以强大的安全能力和专业的服务团队,圆满完成了安全检测、现场安全检查、现场安全值守、应急响应处置等多项网络安全保障工作,得到了网络安保主管单

  • 推荐时代,我们需要什么样的网络内容社区?

    不知道从什么时候开始,互联网社区产品的建造哲学开始向着人类城市靠近,以至于《美国大城市的生与死》这本书,几乎成了产品经理们的必读书目。当然,上述发言不是说这种类比没有意义,而是单纯感慨,为什么即使到了5G时代,打造一个虚拟社区,还会像建造一个人类宜居的城市一样复杂。

  • 重橙网络联合Adobe技术团队,钻研提升Flash Player安

    被大众所熟知的Flash Player是一款广泛使用的、专有的多媒体程序播放器。在互联网应用早期,Flash Player能够使用矢量图形技术来最小化文件大小、节省网络带宽,因而成为嵌入网页中的小游戏、动画以及图形用户界面常用的格式,为互联网生活增添了不少动效及色彩。2019 年以来, 2020 年后Flash Player将停止运营的流言四起,而现在, 2021 年已至,舆论中心的Flash Player却以合作的方式获得新生,Flash小游戏、swf课件播放、视频?

  • 2021网络机顶盒排行榜,全网讨论度最高的五款机王

    网络机顶盒怎么挑选,选择什么牌子更靠谱?对一个新手来说,选购网络机顶盒可以说是无从下手,不妨和我一起看看今年的网络机顶盒排行榜情况,下面介绍的五款都是全网讨论度最高的,大家可以进行参考。一、泰捷WE40网络机顶盒泰捷这个牌子在国内特别火,专业程度很高。是网络机顶盒中唯一做过直播技术的牌子,技术团队拥有丰富的视频经验,技术实力毋庸置疑,是目前公认销量特别高的网红盒子。这次以泰捷家顶配款的泰捷WE40为例:在

  • 2021网络电视盒子推荐:五大品质过硬的网络电视盒子

    品质,是检验一款产品是否持久耐用的标准。品质包括很多方面,包括质量、性能、实用性、耐用性等等。在网络电视盒子里,这一套同样受用。因此咱们今天给大家分享 2021 年最强网络电视盒子推荐,就从品质角度入手,分享五大品质过硬的网络电视盒子。※泰捷WE30C网络电视盒子泰捷WEBOX这个牌子是由腾讯、创新工场所投资,过去十年的时间里,一直专注视频体验的研发。由于专业水准高,产品质量强,就算在天猫十一促销节日没有任何促销

  • 须眉科技&汇通达成立合资公司,深入构建国销售网络

    2021 年 3 月 23 日, AWE中国家电及消费电子博览会(以下简称:AWE)在上海虹桥国家会展中心拉开帷幕。须眉科技携多款潮流新品剃须刀及新锐个护子品牌“大先生”亮相此次展会。在AWE首日,须眉科技副总经理兼中国区销售总经理刘洪浩发布了须眉科技 2021 年全国招商政策,来自全国各地的经销商、代理商及合作伙伴悉数到场,并对 2021 年须眉科技的营销策略十分看好,共展宏图之志。在此次发布会前夕,须眉科技联手中国最大的农村商

  • 周鸿祎两会提案:提速智能汽车健康发展,推进网络安全强制测试成必然

    2021 年全国两会即将在京拉开帷幕,全国政协委员, 360 集团创始人、董事长周鸿祎在《关于加强智能汽车网络安全的提案》中,提议把网络安全系统像“安全带”一样列为智能汽车标配,同步推进智能汽车网络安全强制测试,并强化智能汽车产生的数据安全监管,保障智能汽车行业的健康发展。伴随新基建的高速推进,我国智能汽车产业呈现出井喷式增长,预计到 2025 年,智能汽车占比将达到当年汽车销量的50%。但随着汽车智能化程度的提高?

  • 2021网络电视盒子哪个好?追剧党首选的5款网络电视盒子

    这几年通过网络收看电视节目已经成为了大多数人的选择。当然除了部分只把注意力放在手机上的人之外,更多的用户还是通过智能电视以及网络电视盒子来看电视节目。那么网络电视盒子哪个好?这个问题还是难倒挺多用户的,下面就让我们来了解下五款追剧党最爱的网络电视盒子吧!NO.1泰捷WE40网络电视盒子泰捷WEBOX是由腾讯、创新工场的投资的一个品牌,在网络电视盒子里可以说是头部品牌了,这些年一直专注视频体验的提升,拥有10年的?

  • 热门标签

热文

  • 3 天
  • 7天