数字化发展进程不断提速,为广大企业与用户提供了便利,也带来难以预见的风险。从云计算到移动互联网,再到元宇宙,随着物理世界和虚拟世界的边界越来越模糊,安全的边界也变得无限宽广。数字化为企业提供了大量价值,但也将更多的数字资产暴露在网络空间。在黑产日益猖獗的今天,黑客有了更多的武器向企业发起攻击,网络安全威胁态势日益严峻,威胁数量日益激增,新型变种屡次袭来。随着受创面增大,企业常常买了一堆设备,梳理了一系列流程,依然无济于事,安全防护效果长久成为企业的“心病”。 如何主动为可能的风险做好准备,是很多企业需要积极应对的功课。
2020年Gartner发布的《Top Security and Risk Management Trends》报告中,提到的第一项技术趋势XDR,正为上述问题提供了一种新的思路。根据Gartner的定义,XDR是指特定供应商提供的威胁检测和事件响应工具,这种工具统一将多个安全产品整合在一个安全操作系统里。因此,XDR大幅度简化了企业对安全威胁的发现和处置流程,并从全局化的视角,助力解决企业整体安全运营的难题。
1 企业为什么需要XDR?
事实上,当前企业所面临的安全现状远比想象更差。例如,在2021年的一次攻防演练中,某头部大型企业系统屡屡被攻破。盘点后发现,该企业的整体安全体系很低效,尽管购买了一堆设备,很多处置工作仍然需要众多人力完成,并且缺乏快速识别入侵的具体情况和来源,与精准响应安全事件的能力。这反映的也是当下外部安全态势的一个典型特征:黑客技战术手法不断升级,从利用系统与应用漏洞的攻击,转向无明显攻击特征、隐蔽的攻击,如加密通讯、隐蔽隧道、私有协议等。这些新型的攻击方式,导致很多企业“中招”很久都不自知。据统计,入侵平均识别时间为207天,而传统安全防护相对“静默”的方式,让企业对安全威胁的感知越来越弱,随之风险也越来越大。除了外部因素,企业不断走向数字化转型,业务复杂性不断提升,也为传统的安全防护体系带来了巨大考验,混合IT、移动办公、多云架构、混合云的应用,每一次新技术的采用,新架构的部署,都会让企业发现威胁、处置威胁的难度变得更大。
这个问题并非偶然现象,也不禁让人思考:不论是头部大型企业,还是中小企业,到底如何全面提升安全效果?新技术的诞生是源于过去解决不好的问题,这是为什么XDR技术被寄予厚望的原因。而回到检测响应技术本身,XDR也绝非业界独有的技术流派。在此之前,也有EDR和NDR这些技术出现,但这两项技术,仅能分别针对终端和网络去做事件告警,无法生成完整的攻击故事线,也就无法精准响应的安全事件。这让更具备全局视角的XDR成为了企业安全攻防的必选项。
2 XDR“真假美猴王”,企业如何辨别?
正因为XDR逐渐受到企业的认可,热度不断提升,因此,在最近几年,主流的安全厂商,都开始布局XDR的产品线,市场上层出不穷的XDR也出现了真假难辨,很多EDR或者NDR的产品包装之后,纷纷打上了XDR的标签,对用户来说,就有点像真假美猴王一样,让企业无从选择。那么,从用户的视角,要如何去分辨哪些产品才是真正的XDR?
第一,真正的XDR一定是网端一手遥测数据的深度聚合分析,并针对分析结果做研判和处置的过程。所以首先要具备数据采集的完备性,以及对丰富数据源扩展不同的数据的严谨性。
我们知道,大量数据的处理会带来功能上带来巨量的资源消耗,如果不能对数据采集和传输做预处理,并保证数据的完整又安全,就会大幅提高数据传输和处理的压力。国内的很多所谓的XDR产品都有这个问题,因为资源占用率高到影响业务效率,因此普遍难以落地。这就要求安全厂商能够基于构建的安全产品联动能力体系,整合网端能力,通过多级过滤引擎,对数据做预处理和压缩,通过智能化过滤,占用资源更少,通过一手遥测数据采集,并进行聚合分析,能够实现大幅度告警削减。第二,真正的XDR需要具备可持续的生长能力。其实对企业来说,EDR和态势感知的产品能力都是安全建设重要的组成部分。只是过去有很多安全产品,只能做单点检测而缺乏产品之间的联动。
由此,XDR需要具备可扩展的接口开放性,能够协同态势感知、EDR、SOAR等产品,化繁为简,带来持续生长的安全效果体验。基于XDR平台,还可以为广大用户提供轻量级安全运营中心方案。 第三,没有绝对的安全,再高超的技术也不能完全替代人。因此XDR需要和专家团队的服务并行,才可以协同解决更多的问题,托管检测响应服务MDR应运而生。
Gartner指出:“MDR服务结合先进的分析、威胁情报和人力专长,提供全天候的威胁监测、检测和响应……可以快速降低人员、流程和技术的正确组合的复杂性,提高效率。”MDR服务将实现云地协同7X24小时在线,持续监测威胁和事件,从监测、判断、调查到处置,服务专家实时处置闭环,定期汇总成果和分析安全趋势,减轻运维人员日常工作压力,让安全工作省力省心。客观地说,XDR也需要有对业务场景的理解,是辅助客户处置安全威胁的工具,客户选择XDR不止是选择一个方案,更选择了一个价值和服务。回过头来看深信服近期推出的XDR平台,似乎也在极力朝着以上描述的几个能力展示着强大的实力。
3 深信服 SaaS XDR 如何将价值带给用户
作为业界公认的技术发展方向,XDR并不是解决所有问题的“万能钥匙”,也是需要客户结合自身能力现状和当前业务存在的问题,来共同寻求答案的。深信服深知,唯有与客户的实际业务相结合,才能让XDR的价值发挥得更为出众。解决企业当下安全攻防面临的所有的问题,要站在客户的视角上,不仅要发挥XDR的技术价值,也要考虑XDR在客户现场部署的便捷性,以及对客户的使用成本问题。因此,轻量化、易落地和高性价比的SaaS XDR 明显是企业当下最需要的服务。以深信服SaaS XDR为例,能够给客户带来哪些实际的价值?通常企业IT常年要应付复杂的系统运维,他们主观上不太愿意接受频繁的软硬件搭建,深信服则采取“开箱即用”的高效交付模式,在客户的本地只需部署相关采集设备和防护组件,与SaaS XDR平台对接,即可完成安全运营方案交付和使用,免去了客户对复杂交付的担忧。同时,通过SaaS化交付,解决了安全设备一次性投入成本高、版本更新难、可扩展性差等问题。同时,要保证交付后的服务能够与时俱进,高效迭代,通常这都是企业IT部门的工作。而深信服的SaaS XDR通过海量实时安全数据,结合威胁情报和专家研究,不断构建最新的检测算法和模型,持续增强检测精度。另外,要确保安全事件处置的准确率,就需要加入人工专家的力量,对于一般企业而言,这也代表了运营成本的增加。那么,深信服SaaS XDR可将自动生成的所有安全事件,经过云端专家做二次分析研判,确保安全事件99.9%准确率,用户仅需进行处置,不用再担心误报问题,进一步释放运营压力。除了这些站在客户视角的价值之外,用户还可以绑定深信服SaaS XDR的微信,订阅所需推送内容,实现及时查看安全事件详情,并可一键快速处置,快速下发隔离、查杀等指令,实现整个运营过程的轻便、简单、高效。
安全威胁就像是悬在客户头顶上的利剑,XDR作为一个新生事物,还需要企业慢慢建立起正确的认知,深信服也愿意成为一个引领者,比如通过科普视频内容传递XDR的理念。深信服也从中立的视角,告诉用户XDR的技术可以帮助其解决什么问题,分辨真正的XDR应该是什么样的,什么才是适合用户的产品,让用户少走弯路。很多企业常会陷入复杂的网络攻防当中,将宝贵的时间耗费在安全事件的检测,和无休止的查缺补漏的过程中,深信服作为XDR的引领者,正完美演绎着“将简单留给客户,将复杂留给自己。”
