火热与争议并行,XDR路在何方?

XDR是在企业原来形成的一个个检测和响应闭环基础上,通过对各个环节的扩展,构建一套更综合、更智能,更动态的安全检测和响应体系

7月14日,【网安新视界】第一季第一课开讲,极盾科技CEO丁杨带来了独家分享——《XDR的过去、现状与未来》。

当XDR(扩展威胁检测及响应)的概念走向台前,火热与争议并行。一千观众有一千个哈姆雷特,XDR究竟路在何方?这位15年安全行业老兵给出了自己的答案。

01 需求何来?

安全是一个技术和业务的基本属性,必然随着技术和业务的发展不断演变,在演变的过程中,攻防对抗是永恒的轴心,所以从攻防角度可以把安全产品大致分成两类,攻击类产品和防护类产品。

安全防护类产品一般都包含“检测-响应”体系,精细一点可以理解成OODA循环。

OODA循环最早用于信息战领域,在空对空武装冲突敌对双方互相较量时,看谁能更快更好地完成“观察—调整—决策—行动”的循环程序。

通过OODA循环的定义可以看出,它同样适用于有着“对抗”特征的网络安全领域,分别对应安全防护产品的“数据收集-检测-响应-优化”四大核心模块。

火热与争议并行,XDR路在何方?_第1张图片 

在过去,面对安全需求,我们只需要不断增强此闭环中各项能力即可。

而当下,随着数字化时代到来,业务多样性增加、业务变化速度加快、以及技术架构复杂度提升等变化给企业安全带来更高的挑战。

单一维度和单一闭环无法满足现阶段安全的需求,我们尝试通过可扩展的的检测和响应框架来进一步提升安全防护能力。

就这样,更加“立体”的XDR来了。

02 定义谁主?

“X”代表Extended,是“扩展”的意思。

其主要扩展的是“OODA循环”框架下的四大核心模块

火热与争议并行,XDR路在何方?_第2张图片

 首先、数据收集模块。可以通过“数据维度“和”数据量级“两方面去实现数据收集的扩展。

第二、检测模块。主要包括三个可扩展的点,检测内容(特征类和行为类)、检测方式(离线计算到实时计算)和检测维度(人工经验到模型算法)。

第三、响应模块。其追求的是一套自动化的响应机制,通过快速阻断极大的帮助企业安全止损。

第四、优化模块。通过多角度的机器学习算法,以及离线和在线的结合,实现自适应优化。

所以,如果一定要给XDR下定义的话,我们认为XDR是在企业原来形成的一个个检测和响应闭环基础上,通过对各个环节的扩展,构建一套更综合、更智能,更动态的安全检测和响应体系。

03 价值几何?

那么,极盾科技是如何尝试去构建这样一套XDR体系?

我们把思路跳脱出传统的网络安全,看看完整的业务风控体系是如何做的。

下层的五个风控模块(风控数据维度、核心风控技术、核心风控算法、计算平台、大数据平台)主要是去构建一套风控体系所依赖的数据、算法和算力。

而关键的上层风控体系,往往也会包括事前、事中、事后的闭环,即事前的监测逻辑、事中的识别逻辑、事后的处置逻辑、以及关联起来后的调优逻辑。通过这样一个体系,形成智能高效的一个OODA循环。

火热与争议并行,XDR路在何方?_第3张图片 

基于以上业务风控体系,我们看到的至少如下的三大优势。

  1. 多场景的适配能力
  2. 业务场景的关联能力
  3. 业务闭环,持续优化迭代的能力

这些优势天然的和 “扩展”能力对应,如果我们将业务场景转换成各种安全场景,终端数据转换成网络流量、日志和行为数据,一个好的XDR平台的价值定位也就呼之欲出了。

XDR是整个企业网络安全中的核心决策平台

04 核心能力?

XDR不是一个人在战斗,它是多种检测和响应能力的团队作战。

因此,我们在做XDR产品安全体系研究和落地的时候,主要会关注和补充其4大核心能力。

火热与争议并行,XDR路在何方?_第4张图片 

第一,跨场景关联分析和行为链路关联分析。对应到不同的安全设备、安全检测数据的维度。例如像日志、流量很多时候没有核心区别,往往是可以关联起来做分析的。

第二,实时的决策和计算框架。目前离线计算框架已经比较成熟,而实时计算框架是一个非常重要的缺口,去提供一套互补的计算能力。

第三,可视化低代码模式的用户体验。XDR有一个多场景适配能力,对运营人员的用户体验和使用便利性要求非常高,需要一套可视化的低代码平台去降低运营成本。

第四,持续优化迭代的闭环运营体系。如何能够持续地优化迭代一个闭环的运营体系,也是XDR平台优先要去考虑的问题。

05 应用场景?

在商业社会中,任何科学技术都应该用于解决商业场景中的具体问题,业务需求引领技术发展,技术发展赋能业务进步。

XDR更是如此,下面介绍下我们在XDR客户实践中碰到比较多的4个典型场景。

第一、单点安全设备增强,通过XDR去快速地收集挂载在单点的安全设备上面,去增强它这块的能力,比如说去快速地挂载在DLP产品上面,更好地解决 DLP 上的一些误杀。

第二、任意安全事件关联分析,比如说通过IDS防火墙和 WAF的数据结合,去解决单点的误报和告警的优化问题。

第三、风险指标、行为模式提取。通过XDR去沉淀一些统一的计算指标算子,这些算子可以在新的场景上去快速地复用和组装,从而形成一个安全指标和行为的中台

第四、场景化安全响应。根据多个安全数据源分析出来的风险事件主体,如IP、账号、session、人员联动不同的安全设备自动化处置。

06 趋势挑战?

结合本次的介绍,我们可以总结一些比较清晰的发展趋势。

第一、“行为”侧联防联控机制。数据侧的联防联控通过情报共享可以解决,但行为侧的联防联控仍缺乏有效机制,XDR通过标准化的行为搭建逻辑和安全运营的商业模式,有机会打造“行为”侧的联防联控平台。

第二、更智能的未知风险识别能力。通过更智能的非监督等机器学习算法,可以有效缓解安全样本数据缺少的难点。同时通过实时的流计算能力结合离线的机器学习、知识图谱等模型算法,可以更好的发掘未知风险。

第三、自适应运营体系。更“轻量级”的用户界面,助力快速有效的安全运营。以及自动化推荐和优化机制,打造自适应的安全检测和响应框架,也是技术上可去拓展的点。

你可能感兴趣的:(安全,spring,网络安全,大数据,知识图谱)