10月26日,由国内首个XDR落地厂商未来智安(XDR SEC)主办的2022 XDR网络安全运营新理念峰会(2022 XDR New Vision Summit,简称“XDR Summit 2022”)在北京成功举办。峰会圆桌论坛环节以“安全运营——现状、对策、未来”为主题,由数世咨询创始人兼总经理李少鹏担任主持人,XDR领域专家未来智安创始人兼CEO唐伽佳、华为XDR领域专家&终端安全架构师杜鹏、微软大中华区网络安全业务总经理严立忠、腾讯安全玄武实验室负责人于旸、Palo Alto Networks资深安全顾问杜建峰,共同针对安全运营的发展现状、定位,在企业发展和经营战略中的位置,当前用户侧对安全运营的认知,网络安全目前面临的最为严峻的威胁与应对策略,XDR与目前安全体系中网络安全运营以及其他的安全产品、工具体系、服务的结合点,XDR为企业安全管理带来的帮助,以及XDR技术未来的发展趋势等问题,结合未来智安、华为、微软、腾讯安全玄武实验室、Palo Alto Networks各家企业的研究与实践经验各抒己见,从国内外市场的全面视角肯定了XDR技术对网络安全运营管理的重大价值,以及未来良好的发展趋势。
李少鹏:各位嘉宾心目当中的安全运营是什么样的状态?安全运营在企业的经营战略中占据什么样的位置?
杜鹏:我最早接触安全运营是在零几年,对比SOC和XDR,SOC更偏管理,真正涉及到安全检测和响应的比较少;而XDR针对的是检测和响应,点打的非常准。无论是SOC还是XDR,安全运营需要先明确客户群体,目前SOC基本存在于大型企业或是金融、保险机构,而制造企业无论规模大小,从现有的市场调研来看,他们安全运营能力还比较弱。几万人规模的制造企业可能连专有的安全人员都没有,在这样的基础和现状下,要实现安全运营存在难度。关于安全运营的定位,我认为它在未来肯定会作为企业数字化或者是数字孪生方面的基础设施。
于旸:腾讯安全实验室也在做安全运营有关的工作,我的感受是,首先安全运营在所有的安全防御措施里面用一句话概括是“最后一公里”或是“最后一厘米”。安全是由人、技术、设备、规则或是制度组成,要通过安全运营来达成安全的效果。在所有的安全手段里,安全运营非常重要。目前市面上不同的安全产品差别巨大,各企业的安全运营水平也同样存在巨大差异,尤其是一些在三线四线城市里的很多企业,面临的安全威胁和大企业一样,但可能企业的安全运营水平还很低,这时我们在做XDR这类产品时应该考虑到,当企业没有特别强的技术力量,甚至是几乎没有技术力量时,我们能够给他们带来什么。这可能是一片非常大的蓝海。
唐伽佳:安全分为两个层面,安全运营是一个比较大的概念。XDR更多聚焦在威胁检测和响应——detection and response,其实就是运营,它已经脱离、甚至超越了理想的态势感知平台,态势感知的理想非常丰满,而最后效果却出了很多的问题。
XDR首要解决的问题是数据的问题,不需要“大而全”,只需要精准的数据就可以知道攻击来源及过程,“大而全”的数据会使安全运营人员陷入无尽的数字沼泽中。XDR的特点是聚焦,通过主机的EDR威胁检测能力与基于流量的NDR威胁检测能力,基于丰富的遥测数据更细粒度的感知底层数据变化,从而研判用户侧网络安全风险。在和客户沟通的过程中我们了解到,客户从现阶段到未来都会重金投入解决的问题是如何让安全真正运营起来,形成可以管理、控制的安全生态。
严立忠:我从用户落地的角度,或者说是从更容易实现安全运营的角度,去探讨XDR的重要性及未来。在传统的概念里,网络安全运维最高的境界是用SOC或者SIEM实现高大上的运维模式,但截至目前,世界500强的企业都无法实现这个最高境界,那么中小企业则会更难,因为SOC或者SIEM对安全运营人才的能力和经验要求非常高,在未来很长一段时间内很多企业可能都无法做到,个人认为这个时候正是XDR产生的重要机缘,这个过程中如果企业还没有形成足够的运维能力,XDR可以类比为一个轻量级的SIEM或者SOC,快速落地甲方的运维需求。
杜建峰:国内企业在安全运营方面差距比较大,据我了解,在海外的部分大型机构,非互联网公司,甚至是制造业企业也已经对安全运营已经形成了一定的体系化和流程化,这些海外的大型机构在两三年前已经有专职的安全运维人员,而且是一个组的人员,且已经生成一些标准。安全运营这个需求是一直存在的,但安全运营人才非常稀缺,我们了解到有些客户近两年是通过XDR的SOAR做安全运营,他们根据业务生成了一套标准化的体系,不是依靠人作治理,而是将管理上升为一定的标准,这些是客户比较看重的,除了能把大量的时间聚焦出来,最重要的是形成了一套技术标准,安全运维不依靠运维人员也可以长期可持续性执行下去。Palo Alto Networks认为XDR在安全运营里是非常好的。
李少鹏:请问华为的杜总和Palo Alto Networks的杜总,你们认为目前我们面临网络安全最大的、最严峻的问题是什么?我们的应对策略是什么?
杜建峰:Palo Alto Networks本身是一家做安全的公司,最开始是做网络层面的防火墙类型,最近这些年开始大规模向云原生的方向转化。国内对云原生感受可能还没有那么深,但是在海外已经有大量的数字化转型事例。安全运营最大的问题是变化非常快,向云原生转化的非常快速。而云原生有一个最大的问题是没有强大的安全性,如果要适配安全性,则对协作性要求非常高,包括XDR,因为接口难度是很大的,所以安全运营是方向,安全运营最大的难度是要对接、识别,这个确实存在挑战性。
杜鹏:我之前接触到很多国际客户,尤其是北美的客户,他们数字化程度已经非常高,企业的数字资产只有足够重要、有价值的时候,才有可能在安全上有相应比例的投资。这点在国内可能会面临严峻的挑战,国内的信息化程度没有大家想象的那么高,另外信息化程度高的公司可能对上云安全性的接受度不高。尤其是行业云、政府云,基本上都处于闭环的状态,闭环状态下无论是远程运维还是现场运维,都是不可扩展的,这给提供产品的厂商和安全运营的公司带来极大的挑战。XDR有扩展性,但同时也面临着问题,需要从大量数据中辨别出有价值的数据。XDR本身就是端到端的一个系统的解决方案,安全厂商在设计这个产品的时候也要有系统的考虑,在前端需要过滤数据,让真正有价值的数据进入后端。
李少鹏:严总的演讲里提到过,您认为所有的数据都是有用的。针对这点您是怎么理解的呢?
严立忠:角度不一样,像Splunk,是大数据起源的,基于数据做分析,从理论上认为数据的样本越丰富、越通顺,得出的结果准确性越高。当然它的困境在于有没有足够的好技术,比如搜索技术,能在大量的数据里快速找到有用的数据,或者快速找到它们之间的关联和规律,这是一个难题。
唐伽佳:XDR有别于SIEM特别大的一个点是它聚焦在Detection and Response,检测和相应,XDR的扩展性并不是无限扩展,它的扩展性是指在攻击链上扩展它认为有必要的遥测数据。流量侧可能会有很多的检测产品,但基于流量层面最有价值的数据是有遥测属性的,有上下文关联信息,有前因后果的数据。在EDR终端侧也是一样的,未来智安XDR平台有原生的流量数据和终端数据采集能力,特别是在终端,我们构建了3000多个采集点,目的是为了可以在整个过程中降低告警,背后的逻辑是构建足够的遥测能力,最后能输出想要的完整事件。
李少鹏:未来智安XDR平台为什么要进行如此大量的数据采集?XDR和其他安全体系的结合点是什么?
唐伽佳:去年我们提出了XDR的概念,XDR具有三种能力:降低告警数量、快速响应、保护客户投资。今年我们提出 “安全左中右”理念,我们认为XDR需要一个很好的落地方式,不仅仅停留在概念层面,因为数据对接、数据运营是非常庞大的工作量。基于去年提出的概念,在面对不同的客户、不同场景和不同数据需要的时候,需要做大量的开发工作。无论是微软的XDR,还是Palo Alto Networks的XDR,大家强调的都是产品的原生能力,因为原生数据更能体现效果。站在客户立场,客户也是更希望能将其自己采集的数据利用起来。
对于攻击面管理,未来智安XDR对资产的采集是基于安全属性的采集,而不是基于IT维度,所以采集的维度和属性越多,越有利于事件化的构建。这两年时间里我们一直在思考如何让XDR“接地气”而不是停留在概念阶段,走到客户实际运营场景中,分析客户的运营痛点,由此我们提出了“安全左中右”这个理念。 “左”的部分包含攻击面管理,攻击面范围较为宽泛,企业所有可被利用的风险因素都能称为攻击面,攻击面管理需要持续监控所有风险因素,而XDR与之不同的地方在于可以从检测和运营两个角度提取有价值数据。
我们聊了100多家客户,有一半以上客户提出,他们想了解当攻击发生之后哪台资产出了问题、账号是否已经泄露。这两个需求的解决方案不能只停留在终端和流量检测层面,而要结合攻击面,所以XDR的扩展性是从整个检测和运营角度把需要用到的数据与Detection and Response数据相对应,从各种视角将“左”、“中”、“右”聚焦在威胁检测和响应的运营体系中,它不是大而全的而是聚焦的,而且基于丰富的数据,客户可以自定义形成自身威胁检测的模型。
李少鹏:微软认为XDR与其它安全体系的结合点是什么?
严立忠:微软有自己的XDR产品“XDR+SIEM”,在安全领域强调完整的安全。在一个完整的体系里XDR能解决当前实用的问题,但是它并不能解决所有问题,所以我们还要附加SIEM、SOC。微软认为当我们对网络运营有足够高要求的时候,SIEM、SOC还是一个归宿。今天我们谈论的网络安全大部分是IT安全,此外其实应该还有OT和IoT,这两个方面国内涉及的比较少。例如8月份发生的某家电公司被黑客勒索事件,这属于OT和IoT领域。前段时间国内新能源汽车有关的企业也出现了问题,该企业主张核心系统不上云即可确保安全,最后结果证明不上云也是不安全的。所以我认为无论是XDR还是SOC一定会向IT领域之外延伸,延伸到OT甚至IoT。
李少鹏:在具体的工作环节中,XDR能给现在的安全团队带来什么样的帮助?
唐伽佳:客户侧每天有千万个告警,如何在有效的时间窗口内发现这些告警是我们需要关注的。借助比较好的手段、平台或者技术,通过非常有限但高效的安全人员,就能在千万个告警背后发现可能存在的几十条的安全事件,这是一个非常重要且是客户非常关注的点。
第二个作用是提升响应效率。传统的安全运营方式是全人工处理:出现安全事故后,安全专家抵达现场,基于事故进行核实、溯源、加固,可能需要一天才能处理好,效率非常低。而XDR有一个非常重要的功能是响应和处置,基于专家知识库的沉淀实现的自动化响应方式,可以极大提升运营效率。这两方面是客户最关心的。
“安全左中右”理念中“左”的部分包含攻击面管理,相比SIEM、SOC、态势感知更有优势,终端数据与流量数据相互结合,甚至在终端发现资产的时候还可以结合没有安装agent的终端,能发现一些影子资产,数据在不断被丰富,这个过程中整个体系的运转可以结合背后的数据,整个资产面的管理也可以在安全运营过程中在“左侧”提前做好。这对于客户来说是一个让人兴奋的需求,做到攻击的预测,摸清家底的同时能提前预知到攻击。
李少鹏:如何看待基于风险视角的漏洞管理?另外,您认为XDR未来有哪些趋势?
于旸:我们之前也调研过国外的相关产品,有一些产品号称EDR采集量每24小时可以压缩到10兆以下,甚至20兆左右,但实际上基本都是要大于这个数字。经过我们团队分析研究,这些产品这样宣传也有一定的依据,但是一个理想状态,如果真正希望达到理想状态,就需要做 “预测”。刚才提到的漏洞优先级就是基于预测去排漏洞优先级,包括刚才讲的攻击面管理都是连在一起的,先要做攻击面管理,才能排出优先级,比如基于专家知识库判断在客户环境里某些威胁是不可能发生的,与之相关的数据就可以不用采集。当IT资产发生了变化,引入了相关威胁之后再去采集这部分数据,这种情况下,我们研究发现,在都做得很完美的情况下,确实能实现每24小时采集20多兆的数据,只不过事实上很难做到,问题在于有些前期工作没有做好,比如攻击面管理,资产管理,任务优先级,漏洞优先级等。但这也是好事,恰恰因为这个事情摆在这儿,我们都知道努力的方向是什么,提升的空间是什么。
关于未来XDR这个领域的发展,以往的安全知识主要是以规则的形式存在于检测类产品中,未来XDR会在更高的维度和更深的层面与产品相结合。能否将攻防知识储备与产品进行深入结合,决定了未来的安全产品的发展好坏。
李少鹏:各位对XDR的未来发展趋势怎么看?
杜鹏:如果从成本和效果的均衡来看,既要达到效果又要均衡成本,我认为攻防、网络、终端都需要提前做一些预处理,检测方面需要做一些动态的模型或者是ROI、ROC的引擎,从溯源的角度,本地需要做溯源的数据库来降低成本,再在云上做统一的编排调动,从多维度或者更高水平的统一调度和编排。例如发现针对漏洞的攻击,该攻击针对哪些资产就需要有一个类似XDR的统一调度的平台,这个时候瞬时动态的打开终端上更高、更全量、更深度数据的采集,以这种方式从效率和成本上均衡的去做这个事情。
杜建峰:XDR技术在海外和国内都有落地,它有自己的土壤。除了帮助客户解决问题、降低成本、提升效率、减少响应时间、降低安全风险,XDR在未来还有其它方向的发展。XDR不只是做一些底层安全数据上的分析,我们希望XDR未来会形成一个平台类的产品,过去的XDR是一个附属的产品,未来XDR的功能丰富到一定程度会在安全运营里形成一个主产品,其他产品,包括很多新兴的产品,都以XDR平台为标准进行接入。目前已经有这个迹象,未来XDR在安全运营中非常重要,因为它有很多作用,可以降低响应时间,攻击面管理可以梳理出资产,又降低了人工管理的成本。
最近在国内有很多客户也在咨询安全运营平台产品,当达到一定程度的时候,这个产品就会形成类似云原生的市场地位,除了我们的自由产品,也允许我们的合作伙伴和客户将他们做的一些兼容非常好的产品上传到XDR平台,让它变成一个共享平台,现在有一些安全运营产品确实是这样,我们也看到好多客户、合作伙伴贡献出来的产品,这确实是一个越来越丰富的过程,也确实是一个方向。
严立忠:总体来讲我特别相信XDR会有很大的发展,但是可能会有三个方向有障碍必须要去突破。第一是标准。微软的独家产品非常多,有很多EDR的产品,可以做到数据的“全”和”多”。在现有技术背景下,微软的XDR可以采集到充足可靠的数据,可以实现EDR交互分享的能力。未来EDR如果统一了标准,无论是哪个厂家的数据都可以通用,这是一个美好的想象。从方向上来讲应该是这样的。另外,云化一定是一个方向,因为这是技术本身的逻辑决定的。XDR强调搜集到的信息要放在一起相互关联,相互分析,那么用云一定是最快的、最实时、最动态的。第三个方向,XDR下一步的发展要做到智能化,要有可预测性,帮助客户防患于未然,这是高级安全网络需要达到的能力,这就依赖于威胁情报的利用,威胁情报也只能通过云,将来XDR和威胁情报的结合也会越来越紧密。
唐伽佳:今天峰会的主题是“安全左中右”,探讨安全运营的“现状、对策、未来”,我认为要从客户的场景出发,思考客户需要什么样的运营能力。我认为有三个方向:
第一,检测的有效性。XDR的“X”扩展性是要帮助客户做好检测的能力,当检测能力完善后,客户只需要关注事件本身,不再被零散的告警所困扰,这是一个比较理想的状态,但是我们的方向。
第二,对攻防有足够的理解。对攻防能够理解且能预测到攻击,是一个非常美好的愿景,通过SOAR安全的自动化编排能力,安全专家沉淀大量剧本,当有不同的攻击进来,告警可以直接关联剧本,我们的安全运维人员可以一键点击剧本,剧本将自动进行后续的操作,这是一个理想的状态。
第三,XDR的核心不是“大而全”的东西,它聚焦在威胁检测和响应。无论是在演习还是在HW期间,XDR平台能形成安全检测和运营的抓手,帮助客户提高运营效率;在平时安全运营期间,客户可以增加自定义模块。安全人员通过XDR平台可以发现很多运维的问题,甚至可以发现一些运维人员的违规操作,这些都可以在自定义的威胁检测的能力模块里实现。所以XDR也是需要往业务上走,这至少是未来两三年的方向。
——END——