近日,「把酒话网安」系列活动之“网安三人行——XDR离我们还有多远?”直播活动在“网安小酒馆”举办。数世咨询创始人李少鹏、脑动极光集团首席信息安全官张坤、腾讯安全高级产品专家黄海做客直播间,共同探讨XDR在国内的挑战以及未来的发展方向。
以下为重点内容演讲实录:
XDR的核心功能有哪些?
腾讯安全黄海:XDR所有核心功能有三大基础,第一是端点安全能力,也是最关键的能力,有的时候我们会称之为安全的最后一道防线。第二是大数据告警和分析能力,XDR将不同来源的威胁串联成一个完整的事件,对分析人员而言可以提高效果,同时对整个攻击事件过程中的攻击手法的覆盖也有提升,可减少以往漏报、误报的问题。第三是各类API的对接。XDR可通过集成多个产品的API,推动快速的自动化响应。
脑动极光张坤:XDR的出现是因为EDR满足不了现有需求,XDR的X解决的是EDR的局限性,从“用户终端--网络--云--虚拟化--负载均衡--主机--数据库”。它解决的是每一个端点X 的覆盖。D实际上是检测,R是所有做安全的人最恐慌的一个点即响应,比如说端上的时候我们能接受的响应时间是两分钟,网络能接受是30秒,数据库接受的是10秒。XDR需要扩大其安全的覆盖面,它不能再像过去那样只聚焦于一点,应该是作为一个联防联动的能力,既要有思考能力也要有管理能力。对于中小型企业来说,XDR是一个由工具变为能力的一个跨越的点。 腾讯安全黄海:XDR定位是围绕威胁的检测和响应场景的,为了更好的支撑这个场景,需要打通EDR、NDR等原来单一的产品能力,这会遇到第一个挑战,如何让多种安全能力更好的融合,使得威胁检测效果更好。第二个挑战是客户的供应商选择问题,这也是因为有第一个挑战后,厂家都希望尽可能的集成自有的安全产品能力,但这导致客户无法更好的做多供应商管理,这里存在厂家和客户的冲突问题。第三个挑战就是当XDR的威胁检测和响应能力更依赖于各种大数据技术的时候,如何让客户自己的维护成本更低,而不至于被各类大数据运维问题困扰的问题,这需要XDR要么通过SaaS化来减少客户运维,要么优化产品交付能力,让产品尽可能轻量化。 脑动极光张坤:第一个挑战是缺少标准化,产品缺少一些共识共知共通性,每个企业都有自身更擅长的地方,但是沉淀不够,XDR面临的不是单一的场景,而是像私有云、混合云、纯公有云等混合模式。第二个挑战是XDR一定是有排他性的,产品之前主要是解决功能性问题,现在主要是解决场景问题,逐步的我们会发现XDR不是一个流量分析工具,不是一个杀毒软件,不是一个SOC,也不是一个风控管理系统。 脑动极光张坤:能把XDR做好,真真正正是需要技术沉淀的,它需要了解整个的互联网架构,既要有接纳性也要有对接,而且还得获得认可。小的初创型企业或许能将某个模块做好,但真正能把蛋糕做大的还得有综合实力。如果按5力模型去分析的话,供应商议价能力、用户议价能力、潜在用户竞争、现有用户竞争以及其他的同行业竞争,结果也就十分清晰了。做XDR不是单一技术的问题,需要有思想,有场景化,有管理平台去进行打磨。
腾讯安全黄海:做XDR,从技术上来看,公有云的一些互联网厂家在先天上是具有一定优势的,因为这些厂家安全能力已经覆盖端点的、网络,并且业务也都是SaaS化的,客户维护成本很低,云上API对接难度也小很多。传统安全企业要做XDR则需要打碎原有的组织结构,组件新的产品团队,这会有组织结构上的挑战,所以传统公司会很难做XDR。小型厂商如果是很小规模,XDR是做不起来的,但如果初创型公司投入大一点,组织结构变动上更加激进一点,团队整合打通,做XDR还有一线可能。 腾讯安全黄海:从威胁运营角度来看,如果是在公有云上,建议首先要覆盖住主机安全,这是最关键的一点。然后是网络安全,这些都是基础。再往后要看客户的IT规模和日常威胁告警的量级,当客户面对的问题比较多,建议XDR平台的使用要跟上,一般建议虚拟机规模到达200台的客户都应该考虑这个问题。如果问题放到混合云或传统IT范围,客户的解决方案相对会多样一些,客户需要基于自身的安全建设规划以及供应商选择来看如何建设,建议可以把XDR作为SOC或态势感知的一个下级平台支撑整体安全运营;针对一些特别小型的客户,建议主机安全放首要,其他安全内容基于自身的投资来看,对于没有足够人力考虑安全工作的公司,可以考虑使用MDR服务来实现一些服务托管。
脑动极光张坤:从务实的角度来看,XDR并非适合所用企业,它更适合中大型企业,因为其处理的量十分庞大,包括大量数据、大量攻击源、攻击节点需要处理。当一个企业的端点、网络有大量事故,靠人难以处理时,则需要XDR。千台规模以下是不用太考虑XDR,当需要更清晰、更快捷的进行管理时,可以考虑部署。另外,向大型客户推广XDR也有一定难度,一是大型客户自身已有固定化的技术架构,二是其前期已经有大量千万级基础设施的投入,变动成本大。 脑动极光张坤:预测未来会有精简版XDR出现,轻量级的具体呈现形态,可能会以EDR为核心,再就是和互联网通用型资产联合联动。XDR未来轻量化的方向就是把一些真正的能力从静态变为动态。当实现从处理的动态到能力的动态时,这将会是XDR的一个亮点。第二个是XDR后期的发展逃不开整个南北向的覆盖,要么实现自身的能力,要么吸收其他的能力。从市场上来看,中型市场是XDR真正走入大家视野实现变现的一个点。
腾讯安全黄海:未来第一个要做的事情是要扩展在威胁检测上的覆盖面,更好地支撑业务以及和业务结合;第二点是更好地融入现有的市场环境,更好地融入安全市场,所以无论是出现小型化的方案也好,还是出现轻量版的版本也好,都需要逐步去摸索。从腾讯云的角度来看,未来将会联合更多的生态合作伙伴,更好地推进。总的来说,需要回归业务本身,不会去做虚的一些概念,因为安全本身也是腾讯云的一个重要基石,需要去夯实和做好。
数世咨询李少鹏:总结来看,XDR一是要广,二是要准,三是灵,比如说云SaaS化,用起来就很轻量级很方便。
以上是本次「网安三人行」三位嘉宾的观点精华整理,XDR作为一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法,结合了SIEM、SOAR、EDR、NTA以及集中安全数据和事件响应。随着互联网的飞速发展和远程办公的增加,新一代网络攻击技术变得更加隐蔽、狡猾和复杂。于企业而言,XDR相对传统安全方案,具备“降维打击”的优势,将成为网络安全建设的重要发展方向。
