随着攻击者使用更复杂的战术、技术和步骤(TTP)来绕过传统的安全防御措施,组织机构越来越需要一个统一的、主动的安全措施来保护整体技术资产,但也面临一个新的问题:过多安全设备产生的大量警报让他们产生了警报疲劳;安全设备之间数据集成太少,无法进行关联分析,从而导致无法对安全事件做出及时响应。
安全工具过多产生的困扰
在这种情况下,EDR、SIEM、SOAR、XDR等技术应运而生,尤其是XDR的热度持续上升。年,Gartner将XDR命名为第一大安全趋势,并表示XDR解决方案将“提高检测准确性,并提高安全运营效率和生产率。”那XDR到底是什么,它们之间又有什么区别?
什么是XDR?
XDR是一个统一的安全事件检测和响应平台,可以自动化地从多个安全软件收集数据并进行关联分析。XDR需要不断更新有关攻击战术和技术的情报,还需要进行数据标准化和其他形式的预处理来支持数据关联分析。这通常需要大量基于SaaS的数据存储,最好是能够连接未定义事件的图数据库。XDR可以将面临威胁的多种安全组件(例如EPP/EDR、防火墙、NIPS、SEG、CASB和SWG等)整合到统一的安全运营系统中来。
XDR通过将多个安全产品整合到一个统一的安全事件检测和响应平台,从而为用户提供更高价值。检测高级威胁需要的不仅仅是单点解决方案的堆叠,XDR可以通过关联分析,提供更优质的上下文信息,从而优化事件响应。XDR提供的高级威胁检测和响应能力包括:
将大量警报转换为少数几个需要人工调查的安全事件提供集成的事件响应方案,包括来自所有安全组件的上下文,以快速解决警报对基础设施控制点做出响应,包括网络和端点为重复性任务提供自动化功能通过提供跨安全组件的通用管理和工作流,减少培训,并增加对Tier1分析师的支持提供高质量的检测内容,几乎不需要调整
XDR改进了安全人员对环境中的攻击做出响应时的关键功能:
检测:通过将端点监控数据与各种渠道收集和分析的安全事件相结合,识别更多、更有意义的威胁。调查:通过人机协作将所有相关威胁信息关联起来,并应用安全态势相关的上下文减少噪声信号,找到根本原因。建议:为安全分析师提供规范性建议,以便进行深入调查,并提供相关的响应行动,有效遏制或缓解检测到的风险和威胁。威胁狩猎:在包含多个供应商的监控数据存储库中进行通用查询,搜索可疑威胁行为,让威胁猎人根据建议进行定位并采取行动。
XDR与EDR、SIEM、SOAR的区别
看到这里,很多人的第一反应可能是:XDR与EDR(终端检测与响应)、SIEM(安全信息和事件管理)、SOAR(安全编排自动化和响应)的功能非常相似,比如都有异构数据采集、数据标准化、关联分析,而且通常都会采用大数据分析技术,还可能都有剧本编排与自动化响应技术。那它们之间有什么区别呢?
XDR是EDR的升级版
XDR是EDR的自然演变。EDR仅仅解决了终端上的检测响应,但是其他层面解决得较少,但XDR将检测范围扩大到终端之外,以提供跨终端、网络、服务器、云工作负载等的检测、分析和响应。「XDR」中的「X」就指为了提供更广泛、更可靠的检测及回应所能涵盖的所有信息来源。
这种解决方案可以打破壁垒,将安全产品天然融合在一起,产生1+12的效果,自动收集多个安全向量的数据并进行关联分析,促进更快的攻击检测,以便安全人员可以在攻击范围扩大之前快速做出响应。通过集成多个不同产品和平台,并预先调整好检测机制,XDR有助于提高安全人员进行检测、取证、分析和响应的效率。
XDR是SIEM的补充版
XDR与SIEM最大的区别在于集成模式的部署以及目的上。XDR自带一个统一界面以供直接集成相关的安全产品,而SIEM需要一些单点产品与其进行定制的对接。XDR更多