近日,知名咨询机构Gartner正式发布了2022年安全运营技术成熟度曲线(HypeCycle)。正如大多数业内人士所预测的那样,XDR最终站在InflatedExpectationsPeakofInflatedExpectations的顶端,成为安全操作系统最热门的行业技术之一,如下图所示:2022年安全运营技术成熟度曲线(HypeCycle)长期以来,业界对XDR技术持有两种截然相反的观点。虽然XDR近年来风头正劲,甚至盖过了零信任。Gartner还预测,到2027年,XDR技术的应用率将从目前的5%飙升至40%。然而,即便风头正劲,不少安全专家对XDR的态度依然消极,认为XDR本身存在局限性,这将使其未来的市场化之路举步维艰。这次XDR的峰会,并没有让大家认同“XDR将成为未来安全运营的关键技术”,而是进一步激化了他们之间的分歧,就像粉丝和路人对流量明星的态度一样,讨论者对XDR的态度截然不同:支持者认为XDR将引领新的安全操作系统,是未来不可或缺的关键技术;而反对者则认为XDR技术在世界上不值得,比SIEM和SOAR还差。这只是一个技术概念。安全专家在LinkedIn上讨论XDR技术的未来发展趋势也是讨论的焦点。具有不同技术和背景的安全从业者看到了截然不同的趋势。有意思的是,这次Gartner还推出了一个新的运营服务分支——ManagedSIEM,于是“明年会不会有ManagedXDR”就成了大家的新话题。既然XDR技术已经登峰造极,我们决定加入这场热议:XDR在安全操作系统中到底有多重要,未来的发展趋势又将如何?如果读者也对此感兴趣,不妨凑个热闹,留下您的宝贵见解。为什么XDR如此受欢迎?在回答这个问题之前,我们首先要搞清楚什么是XDR技术。2018年,PaloAltoNetworks首席技术官NirZuk首次提出XDR(ExtendedDetectionandResponse)的概念。2020年,Gartner发布《顶级安全和风险管理趋势》报告,XDR被评为安全趋势No.1,一时间成为业界??最热门的网络安全技术。随后,Gartner先后发布了《扩展检测和响应(XDR)的创新洞察》和《扩展检测和响应(XDR)市场指南》两份核心报告,对XDR的技术架构、核心能力、市场趋势等进行了详细阐述,给予了XDR极高的评价。Gartner对XDR的定义是:XDR是一种基于SaaS的、特定于供应商的安全威胁检测和事件响应工具,它将多种安全产品集成为一个具有凝聚力的安全性,将操作系统中所有许可的安全组件统一起来。用更通俗的话来说,理想的XDR技术实际上是安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测和响应(EDR)以及网络流量分析(NTA)等产品组合的结果。其核心部分可分为前端和后端:前端组件包括多种安全工具和传感器获取多点安全能力和多源安全数据,后端组件提供汇总分析能力实现关联分析、编排和自动化响应。影响。从以上信息不难看出,XDR其实是SIEM的进阶版,也就是说XDR出现的需求方原因是目前的SIEM等解决方案无法满足企业安全操作系统关联的需求分析,导致大量无效告警信息降低安全运维效率,导致企业安全运营孤岛效应。随着疫情全球化的加剧和企业数字化进程的深入,企业数据呈爆炸式增长,其对数据联动的需求进一步增强,海量的数据也让孤岛效应更加明显。在两个阶段的叠加下,企业迫切需要一款能够实现数据采集、集中分析、统一处理、响应编排的安全产品,让安全运营摆脱孤岛效应,更重要的是提升企业的水平安全操作和标准化产品挂钩而不是依赖于不稳定的个人技能水平。至此,让我们回到“为什么XDR如此受欢迎?”这个问题。其底层支撑逻辑是,安全操作系统已经到了必须变革的时候,其日益增长的数据联动和内部打破孤岛效应的需求已成为共识。这个时候,谁能解决这个问题,谁就会成为下一阶段安全运营的核心要素之一,其未来的成长性和市场足以让资本兴奋不已。正是在这样的背景下,XDR的概念诞生了,给出了一条似乎能够实现这一目标的具体路径。如果不流行,谁会流行?XDR有用吗?这里需要明确的是,红色并不一定代表正确,一项技术在走红的过程中难免会产生泡沫,这是无法避免的。因此,反对者认为XDR技术只是一种解决安全运营问题的尝试,在资本的帮助下迅速走红。这种表象隐藏着自身的局限性,最终只能落得血本无归和无休止的警报疲劳收场。和低于标准的结果。那么,XDR技术到底有没有作用呢?到底是假噱头还是真技术?众所周知,SIEM之所以饱受诟病,是因为其处理不同来源安全数据的能力依然薄弱,能够提供的事件响应和可视化也十分有限。孤立的安全设备每天都会产生大量警报,导致安全运营受到影响。SOAR虽然对SIEM平台进行了优化,但可以增强安全数据之间的联动效果,根据预设的剧本(Playbook)安排安全事件,实现自动响应。但是对于来自许多不同来源的安全数据,安全团队仍然需要手动设置剧本并定义警报级别和响应。XDR技术的出现,似乎可以解决上述问题。XDR的核心作用在于能够跨越不同的数据源和IT架构,集中收集云、网络、终端、威胁情报等多源安全数据/工具。通过大数据、人工智能、用户行为分析等智能分析手段,对安全数据/事件进行关联分析,还原攻击路径,实现对整个攻击面的全面可视化,解决安全孤岛问题。基于动态更新的事件库和预设的处置场景,对产生的告警进行自动编排和分流,实现自动响应。因此,XDR技术比EDR、SIEM、SOAR更先进,甚至可以看作是SIEM、EDR、SOAR的集成升级版。也就是说,XDR技术至少比现有的安全技术更有发展潜力。再好的理念,如果不能落地,最终还是会面临泡沫破灭的下场,那么XDR应该如何落地呢?事实上,无论是在国内还是在国外,XDR技术的实现效果都没有其概念描述的那么完美,对海量数据的分析和计算能力还有待突破,事件生成机制和事件分析方法有待进一步完善。进一步完善和规范。另外,落地后会给企业带来新的问题。目前XDR技术的实现方式主要有两种:一种是原生的XDR方案;另一种是混合XDR解决方案。原生XDR方案最大的优势在于可以最大限度的发挥XDR技术的实施效果。依托安全产品和工具的原生特性,完全可以实现云、网、端数据联动和深度分析,全面监控和自动响应,大大简化安全运营工作,提高安全运营效率。但是,它的缺点也非常明显。企业必须摒弃原有的安全架构,采用新的原生安全架构,从某家供应商采购原生安全产品。但是,大多数安全产品都来自同一个供应商。对于企业来说,这本身就是一个不安全的决定,更何况这样的重大变革需要耗费大量资源,管理层也很难通过。HybridXDR解决方案不需要更改安全架构,也不需要局限于某个供应商,但它们不如原生XDR解决方案有效。毕竟,如果不同厂商的安全产品和工具存在一定差异,则很难实现自动关联和响应。综上所述,XDR技术的核心优势在于能够跨多源、跨IT架构,深度集成所有安全组件,打通各类安全数据和事件,配合人工智能等前沿分析手段,实现关联分析和自动响应。实际实现过程远不如技术理念。企业需要承担相应的成本,降低对XDR的潜在预期。也就是说,XDR技术未来的发展趋势值得期待,但现阶段还存在一定的概念泡沫,寻找更具体的XDR实现方式就是挤掉泡沫。XDR赋能MSSXDR技术高效运行的未来发展趋势值得期待,但现阶段还存在一些概念上的泡沫,寻找更具体的XDR实现方式就是挤掉泡沫。如上所述,原生XDR和混合XDR方案都存在一定的劣势,仅靠现有技术和条件无法完全解决。因此,业界也开始将目光投向“XDR技术支持的MSS运营服务”,尝试“CurvePracticeXDR技术”。两者之间似乎存在某种契合。MSS不是一个新概念。早在1990年代,MSS服务的概念就在海外诞生。经过20多年的发展和完善,MSS已经成为企业加强安全能力的重要举措之一,不断以厂商强大的安全能力为企业赋能,取得了预期的安全效果。MSS的核心优势在于厂商可以远程监控企业的安全状况,持续感知安全风险,并在风险发生时及时预警和消除,确保企业自身业务不受影响。这既避免了现场安保人员的负担,也满足了企业的安全需求。同时,这也是企业用户最担心的。他们真的只在线上就能实时了解安全情况,出现问题能及时响应吗?而这恰恰是XDR技术的强项,可以帮助厂商进一步加强MSS的能力。在XDR的赋能下,MSSP可以利用XDR的底层框架,以更低的成本提供更智能、更高效的安全运营服务。另一方面,借助MSSP成熟的管理模式和丰富的专家经验,XDR解决方案也可以顺利实施。MSS与XDR相结合的趋势在近几年已经被市场实践和验证。许多XDR提供商在其产品解决方案中包含MDR(ManagedDetectionandResponse)服务,或者与网络安全托管服务提供商MSSP合作,为客户提供7/24小时的监控和管理。随着MSS和XDR的进一步结合,供应商服务形态和技术水平的进一步提升,MSS和XDR将分别从技术架构和管理形态两个维度提升企业的安全运营效率。随着疫情的持续影响和数字化转型的加速,安全基础相对薄弱的中小企业更容易受到网络攻击,对网络安全能力的需求更加迫切。在缺乏安全投入和安全团队的前提下,依靠MSS服务快速提升整体安全能力是一个不错的选择。不同的是,大型集团公司拥有完备的保障体系和人事制度,对MSS服务的需求远不如中小企业。相反,他们更倾向于在企业信息安全系统的长期建设中逐步实施新技术。,新架构。此时,XDR技术的实施因企业规模而发生了明显的变化:中小企业更倾向于通过MSS间接增强安全能力,而大型企业则根据自身情况选择原生XDR或混合XDR方案。具体条件。对于具有强大自研能力的大厂商来说,原生的XDR方案更为完美。XDR技术的未来可期。目前,国际XDR市场还处于早期探索阶段,但即便如此,与现有的安全技术相比,XDR已经显示出明显的优势。埃森哲针对XDR等行业安全运营工具的效果进行了研究分析。结果表明,XDR产品在各个维度的表现都完全领先于行业平均水平。平均威胁检测周期小于1分钟,平均威胁响应周期小于10分钟,远高于同类安全工具的效果。更重要的是,XDR技术还有广阔的提升空间。随着安全运营产品和工具的高度融合,多源数据的融合联动分析能力、关键事件的自动识别和响应能力将得到提升。强,数据孤岛问题有望得到解决。这就要求XDR必须不断迭代智能化、自动化的检测和响应技术,用AI自动化操作代替安全人员,实现数据的自动采集和分析,综合分析和自动处置。可以预见,未来自动化、智能化将成为XDR的核心指标,也有可能实现。同时,原生的XDR方案正在快速向云原生转变,这也让XDR的落地变得更加容易。云环境是一个天然的集成点,可以满足XDR集中部署的需求。安全组件和应用程序可以摆脱与物理资源/设备的紧密绑定。虚拟化部署进一步加强了安全组件之间的弹性和互操作性。也更容易实现数据之间的联动分析和处理。混合XDR解决方案也取得了相应的进步。随着越来越多的安全厂商联手组成XDR联盟,将通过技术融合克服不同厂商安全产品之间数据不兼容的弊端,提高产品工具的联动效率,实现数据的深度分析以及自动决策和响应。而当混合式XDR方案的效果凸显时,又会促使更多的安全厂商加入XDR联盟,从而形成良性循环。可见,虽然XDR技术的落地还存在一定的问题和弊端,但业界已经在寻找可以实现的路径,并产生了一些可以预见的效果。随着网络安全形势的日益复杂,安全运营的底层支撑逻辑将更加强大,成为XDR技术快速演进的核心驱动力。正因如此,XDR技术的未来可期。
