数字时代,XDR(扩展检测与响应)的无限可能

6月29日,由国际云安全联盟CSA大中华区主办,亚信安全承办的“数字时代,XDR的无限可能”研讨会在线上召开。

本次研讨会由CSA大中华区副秘书长许木娣主持,亚信安全高级威胁治理产品总监冯君贺、金睛云华联合创始人&副总裁胡文友、CSA大中华区专家&乐信集团信息安全中心总监刘志诚、碳泽COO常颢、极盾科技解决方案总监龚磊等专家共同探讨了XDR市场成熟度与技术发展趋势,深入分析XDR聚合创新技术在不同数字化场景防护能力,通过发现并抵御更多潜藏网络中的危险暗礁,为数字化未来安全护航。

XDR安全原生力支撑数字化场景防护

冯君贺在XDR安全原生力讲解中谈到,Gartner针对高级攻击提出了面向未来的自适应安全架构,从预测、防御、检测、响应四个维度构建安全能力,以求实现安全建设模式从应急响应到持续响应的根本性转变。然而,用户在“发现”和“响应”之间却存在着巨大的能力鸿沟。XDR正是在这样的背景下,为了治愈“痛点”产生的。

数字时代,XDR(扩展检测与响应)的无限可能_第1张图片

2020年,国际权威机构Gartner将XDR命名为第一大安全趋势,并表示XDR解决方案将提高检测准确性,并提高安全运营效率和生产率。

化解无效威胁警报过载、安全运营效率低、安全威胁追溯难…具体来看,XDR是一个统一的安全事件检测和响应平台,可以联动EDR、SIEM、SOAR等不同层面的安全产品的能力,实现跨产品、跨层级的安全数据获取、威胁检测和事件响应。同时,XDR基于大数据分析和机器学习能力,强化对高级威胁的分析,以及攻击杀伤链的理解和还原,让安全人员可以真正聚焦在数量有限且真正具备影响力的安全事件上。

数字时代,XDR(扩展检测与响应)的无限可能_第2张图片

AI+数据驱动XDR创新能力再提升

高级威胁加速演化、传统安全产品弊端凸显,以及人工成本的持续攀升,倒逼着XDR创新技术的研发与应用提速。

胡文友在演讲中表示:尽管大部分 XDR 解决方案可以缓解网络威胁复杂性方面的挑战,但大多数 XDR 解决方案都侧重于跨产品警报关联,并且仍然需要大量人工干预,而现实状况是运维团队在繁重的工作压力之下分身乏术。因此,在威胁检测领域需要人工智能技术不断迭代优化,增强自我学习及数据分析运算能力。

数字时代,XDR(扩展检测与响应)的无限可能_第3张图片
XDR的核心是用机器学习替代特征签名技术。目前,金睛云华形成以AI检测能力为核心的XDR解决方案和以AI分析能力为核心的智慧安全运营(AISecOps)两条业务线,减轻安全运营人员的负担,实现从警报管理、调查到事件响应的全天候覆盖, 从而进一步提高安全运营效率。

XDR是数据驱动安全发展的必然选择

刘志诚表示,数据作为安全能力的核心生产力,至关重要。

数字时代,XDR(扩展检测与响应)的无限可能_第4张图片
单数据源的静态数据,日志是第一代安全产品的基础,而多数据源的静态数据结合人工处置分析形成第一代安全运营平台SOC。随着整个时代的一个演进,对流量分析,行业开始出现一个动态数据态势感知类的产品,国内叫态势感知的产品。整合多源静态、动态数据的人工智能分析,形成异步第二代安全运营平台SIEM,多源静动态内外部数据人工智能分析的实时同步自动化编排(SOAR)与应用形成了XDR。

XDR能带来的价值越来越显著,一方面,它拓展度量增加信息收集的可视化,结合安全智能的威胁情报的体系,来提升安全分析自动化能力的过程,促进威胁检测,提高安全分析和检测的准确性与及时性,自动化和编排提升响应和回复的速度,这也是能够把风险降低到最低的过程

从 21 年 Gartner 发布的技术趋势来看,XDR仍是需有一定成熟期,正经历成熟上升阶段的一个技术,那么将来它也会面对不同的挑战,也会有一个从上升期到衰落期,然后再到成长期的一个过程,所以说,XDR是数据驱动安全发展的必然。

如今,网安厂商加快布局,推出多形式的 XDR 产品,反映出 XDR 市场前景的广阔。但是,实时、动态、智能、自动化技术仍然是制约XDR的关键因素,唯有持续创新才能突破瓶颈。

共话XDR未来 畅谈行业新发展

在研讨会的最后,刘志诚主持圆桌讨论,通过连线冯君贺、胡文友、龚磊和常颢,从信息孤岛、取证、客户、行业发展等多个角度探讨了XDR技术的未来发展趋势。

冯君贺表示,第一个要解决的问题,就是XDR产品与产品之间的联动问题,他认为产品和产品之间存在信息孤岛,导致了安全人员,没有很好地把产品用起来,产品与产品之间的信息共享问题,也同样存在,一旦打破产品间的信息孤岛,能产生一加一大于二的效果。

对于XDR的落地难点,胡文友表示,最大的难点是如何把前端采集设备做轻做小,如果前端太重,无论是网络流量还是终端的数据采集,都会受到影响,做的越重,意味着对终端性能影响就越大,进而产生稳定性、可靠性、兼容性等问题。以传统产品为例,胡文友提到,传统产品只是解决了告警问题,原始流量及终端上的原始数据无法采集,XDR的发展,最核心一定要解决调查取证的问题,只有这样,研判分析人才能够去对告警日志进行对应的研判分析。

龚磊认为,XDR在原有体系下,依然能够被广泛认可的原因,是因为其横跨领域覆盖了防御能力、检测能力以及响应能力。从这个角度来讲,XDR本身就是未来企业整体建设中的一个核心载体,从而被广泛地寄予厚望。

信息安全高速发展态势下,常颢提到,XDR方案提供了一个特别好的总控和大脑,在这个大脑的基础上,整个行业可以形成合力,去解决数据格式的标准化问题。当下,数据格式的友好度欠佳,尤其是接口的技术生态,没有形成统一的标准,相对于外企的竞品之间,技术生态的友好度,还有很大的进步空间。最近几年,客户非常关注信息安全的能力在业务上的体现,从而让业务安全更有价值,XDR扩展范围,加深各种能力之后,某种程度上给客户提供了更多的可能性,从而在业务安全层面,让信息安全价值得以体现。

作为近两年最为热门的安全技术方向,XDR无疑融合了众多安全能力,并将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。不过,XDR成为普适性产品还有一段比较长的路要走。不积跬步无以至千里,不积小流无以成江海,XDR的未来还需要全球安全厂商的共同努力。

查看XDR研讨会视频回

进入官网,了解更多

公众号:云安全联盟CSA

你可能感兴趣的:(CSA,网络,安全)