在过去的一年多时间里,各种规模的安全厂商都在XDR(eXtendedDetectionandResponse)领域逐步投入:有的从终端安全入手,有的则从网络层面入手。无论哪种方式都是切入的好方法,毕竟XDR的价值在于将安全从一系列端点产品转移到一个独立的平台上,从而实现威胁在企业内的可视化。将从不同的执行点获取数据,然后进行分析,使企业能够更快地发现威胁,并根据威胁的辐射半径做出响应。EDR等传统安全工具往往只能检测威胁的存在,但很难真正了解威胁——尤其是威胁源于那些不会发生的“正确行为”。这就是为什么大多数检测和响应工具往往在检测方面比响应做得更好——而XDR可以改变这一点。XDR贯穿所有的安全级别,这也是很多厂商加入这个圈子的原因。因此,XDR中出现了大量的“服务商”,有的提供真正的XDR解决方案,有的只是冠以XDR之名。这里为选择XDR方案的企业提供五点筛选建议:1.跨安全图的可视化能力XDR中的“X”是“扩展”的意思,因此XDR工具需要具备广泛的可视化能力,但希望安全厂商能够针对所有的威胁都有相关的安全产品,这显然是不现实的。那么,XDR厂商至少应该提供终端、云、网络的可视化能力,然后整合其他领域的第三方数据,比如邮件和应用相关的数据。理论上,XDR厂商应该具备三大支柱能力,然后通过合作伙伴模式输出其他能力。跨不同系统链接功能是一项挑战,但也是可行的。2.基于机器学习的分析能力安全系统产生海量数据,即使是最优秀的犯罪专家也无法手动分析。机器学习算法可以发现可能表示攻击的最小异常值。虽然一些安全专家不愿意放弃对机器的可见性权利,但这是大规模部署XDR的唯一方法。多年前,医疗行业面临着同样的问题:医生不愿意让机器学习系统读取核磁共振图像,但他们很快发现,让机器学习来完成这项工作,医生自己可以获得更多收益。花时间治疗患者,而不是浪费在查看数据上。在这一点上,安全性和XDR也是如此。3.自动化响应类似于基于机器学习的分析能力,对安全事件的自动化响应也需要一定的信任。有人认为自动化威胁响应有风险,但人工处理会减慢响应速度,一旦发生漏洞,企业将损失数百万。一个好的妥协可以让XDR系统推荐一个响应方案,安全团队可以验证并实施这个方案。这类似于特斯拉的自动驾驶仪:驾驶员仍然需要将手放在方向盘上,但汽车才是控制者。4.协同响应自网络安全诞生以来,网络、终端、云端无法协同响应的问题就一直困扰着安全团队。网络团队可能已经察觉到威胁并及时阻断,但没有通知终端责任团队,导致一些恶意软件在企业内部悄然运行。XDR需要一个集成的响应系统,允许安全团队从单个仪表板消除网络、端点和云威胁。这可以实现快速响应并使威胁半径保持可控。5.简化工作流程安全领域有一句话叫做“复杂是敌人”,这句话同样适用于XDR。今天的精细安全工具创建了一个几乎看不见的警报流,充满了误报的噪音。因此,在过去几年的重大安全事件中,安全厂商声称已经检测到事件,但安全团队没有采取任何措施。报警太多和没有报警没有本质区别。XDR系统需要提供基于简化调查的完整视图,以便于发现问题的根本原因、事件的顺序以及从多个来源获得的威胁情报细节。XDR部署需要考虑的另一件事是:虽然有许多出色的解决方案,但它们只有在人们使用它们时才有效。XDR的最佳实践需要打破不同安全团队之间的壁垒,CISO会让不同的安全团队自上而下相互协作。XDR的概念提出已经两年了,人和流程也要进化。
