除了EDR和NTA，为什么还要基于XDR？

网络安全永远是一场“道高如法，魔高十尺”的军备竞赛，但现实往往很骨感。网络安全的“道”往往赶不上网络攻击的“妖”。面对千变万化的攻击技术，XDR（Cross-LayerDetectionandResponse）被视为下一个可以抵御恶魔的进阶“道”。除了EDR（端点检测和响应）、NTA（网络流量分析）和SIEM（安全信息和事件管理）等主流安全解决方案，为什么还需要XDR？XDR如何提高企业安全性？下面，我们试作解答。从被动到主动随着人工智能技术的快速融合，新一代高级网络攻击技术变得更加隐蔽、狡猾和复杂，并确立了相对于传统安全解决方案的“降维打击”优势。例如，对抗性机器学习攻击的威胁已成为安全社区的一个严重问题。这种类型的攻击几乎不可能用现有的主流安全解决方案检测到，因为它以机器学习算法为目标，削弱了它们检测入侵的能力，更糟糕的是，攻击者可以欺骗系统为攻击者打开大门。为了对抗对抗性机器学习等高级和复杂的威胁，企业需要采用更先进的解决方案，因为传统的入侵检测系统(IDS)无法抵御此类威胁。端点检测和响应(EDR)和网络流量分析(NTA)等被动、被动安全方法也无法检测到隐秘攻击。上述主流安全解决方案可以提供对威胁的分层可见性，但对隐蔽的网络攻击“视而不见”。企业需要一种更主动的安全方法来快速识别隐藏的复杂威胁并实现对特定威胁实例的可见性。此外，这种主动方法需要提供跨网络、端点和云基础设施的数据可见性。可以实现这一愿景的流行解决方案之一是XDR（跨层检测和响应）。什么是XDR？XDR是一种跨多个安全层收集和自动关联信息以快速检测威胁的方法。它监控来自公司网络内不同来源或位置的威胁。由于传统安全工具和解决方案之间缺乏联系，事件分流和调查过程存在孤岛，导致大多数安全分析师的事件关联和攻击视图受到限制，这为攻击者隐藏自己提供了良好的机会。XDR通过全面的整体检测和响应策略消除安全孤岛。它收集信息并将关系与跨多个安全层的深度活动数据进行匹配，包括为端点、服务器、电子邮件、云和工作负载配置的安全层。可以自动分析各种数据以更快地检测威胁，并让安全分析师有足够的时间进行彻底调查。传统反应式(Reactive)方法的缺点EDR、NTA和安全信息和事件管理(SIEM)绝不是薄弱的安全解决方案，但是，这些解决方案的工作方式为顽固和狡猾的攻击者留下了空间。传统安全系统的最大问题之一是警报过载（疲劳）。EDR等主流场景和策略会生成大量缺乏上下文信息的警报。这些缺乏有效信息的不完整安全警告对于安全操作人员意义不大，“全选+删除”是这些警告的常见去向。根据IDCInfoBrief，只有21%的企业收集了足够的信息来采取行动。大多数组织(56%)表示，他们通过安全系统收集的信息只能让他们对问题的根本原因有一个粗略的了解，而不是能够查明具体问题并实施适当的解决方案。根据Solarwinds白皮书调查数据。一家千人左右的公司，其SIEM系统每秒记录的安全事件多达20亿条，也就是说每天的安全事件高达200万条。即使是最好的安全运营中心(SOC)分析师也可能难以处理如此严重的事件产生的大量警报。困扰传统安全系统的其他问题是需要专业知识和耗时的事件调查，有时可能需要几个月的时间。例如，使用EDR，据报道入侵识别时间可达197天，攻击遏制时间可达69天。同样，传统安全系统以工具和技术为中心的性质分散了对更重要的操作需求的注意力。正如IDCInfoBrief中所述，23%的公司表示他们的安全团队花在维护和管理安全工具上的时间比进行实际安全调查的时间要多。与此同时，19%的公司表示其安全产品组合分散或缺乏整合。XDR通过其收集深入活动数据以及跨层扫描、搜索和调查路径的综合方法解决了传统安全解决方案的缺点。使用人工智能和高级分析，XDR可以在安全警报过载的情况下发现真正的威胁。“魔”高于“道”的时代本文无意贬低EDR的价值。许多公司有充分的理由继续依赖EDR。但是，由于其先天设计侧重于托管端点，因此存在功能限制。同样，EDR在它可以识别和阻止的威胁的类型和范围以及被攻击实体的识别和对攻击的最佳响应方面也有限制。同样，我们也不能说NTA是一场表演。网络流量分析仍然很重要，但NTA需要超越网络监控的狭隘领域。NTA系统还会生成大量日志，因此很难将网络警报与其他相关安全事件数据相关联。业界已尝试改进EDR和NTA，但这些改进通常是作为单独的解决方案或额外的安全层来实现的。这意味着数据孤岛的问题依然存在。目前，XDR是企业升级检测和响应系统的首选整体方式。XDR减少了SOC检测警报和评估哪些警报值得关注和采取行动所需的时间。XDR不会取代SIEM，但会增强它以充分利用SIEM生成的安全日志和通知。换句话说，XDR是传统安全系统演进的新路径，以跟上网络犯罪攻击技术和方法的演进。扩展检测和响应XDR可精确定位和跟踪来自各种来源和位置的隐藏威胁。这个先进的系统提高了企业IT团队的工作效率，并加快了安全调查的速度。XDR提供超越端点的多层安全性，扩展检测和响应。此外，XDR创建了一个集成的自动化平台，可实现跨安全层的完全可见性。因此，也有业内厂商将XDR（Cross-layerdetectionandresponse）称为“扩展检测和响应”，也有人将“X”解释为“广泛”，因为XDR不仅可以识别和应对威胁，也是一个全面的安全解决方案。XDR能够确定用户是如何被感染的、入口点在哪里、攻击如何横向移动以及有多少其他用户被感染。此外，XDR与SIEM和安全编排、自动化和响应(SOAR)系统的集成使分析师能够在更广泛的安全生态系统中使用XDR。【本文为专栏作者“安安牛”原创文章，转载请通过安安牛（微信公众号id：gooann-sectv）获得授权】点此查看作者更多好文