XDR關鍵能力與產品演進分析
隨著人工智慧技術的快速融入,新一代網路技術使攻擊變得更加隱蔽和快速,基於對抗性機器學習的攻擊和高階威脅使攻防對抗的戰鬥越來越慘烈,而為了應對各種挑戰,“XDR”解決方案應運而生。在安全牛最新開展的《XDR技術應用指南報告》研究專案中,我們通過對國內外安全廠商XDR發展現狀以及甲方企業應用需求的調研,對XDR進行了以下定義:XDR是一種新一代安全技術框架,全面收集威脅情報、端點資料、安全日誌、流量分析資料以及雲端安全資料等企業安全運營資料,綜合利用大資料、人工智慧、自動化技術,以體系化方式實現對威脅或攻擊的快速檢測和響應。
當前,越來越多的安全廠商推出XDR產品或方案,但是因為資料處理(多源資料處理解析、業務場景建模、威脅分析等)的演算法和能力基本隱藏於幕後,它們之間也沒有統一標準,導致廠商之間能力差異較大。同時XDR作為一種高互動體驗型的產品,在視覺化、自動化響應、關聯分析查詢時也會存在較大的應用體驗差異。
通過調研,我們認為合格XDR產品應該具備的主要能力包括以下方面:
1) 跨越網路、雲和端點進行分析,更快發現隱藏威脅
通過收集多種來源資料,並對上下文進行分析,實現對端點、網路甚至雲環境的全面可視和情境理解,一旦有攻擊發生,可以智慧檢測攻擊的每個階段,並快速識別。
2) 對威脅簡化調查和溯源
孤立的安全裝置每天產生海量的告警,安全人員不得不把大量的精力和時間消耗在這些“事件”上,XDR可以基於上下文安全資訊對警報進行關聯和分組,減少無意義的報警,只把有意義的告警生成事件提交給安全人員,通過智慧的關聯分析,實現事件溯源。
3) 自動化威脅響應
XDR提供自動化技術和工具,以減少安全人員手動操作的頻率和人為操作出錯的概率,提高安全運營效率;通過安全劇本編排將安全人員經驗固化為自動執行的劇本,配合安全裝置聯動響應,達到快速阻斷攻擊的目的。
4) 自適應優化
需要能夠融合第三方情報以及現有事件轉化而來的情報,不斷耦合威脅發現模型,進行自適應優化。
XDR在實際應用中能不能真正達到預期效果是企業CSO最關注的問題之一,組織在選擇XDR工具時需要綜合考評產品的實際能力,考慮XDR產品自身特點、以及使用體驗上的主觀影響因素等,各類考評指標難以具體量化。
因此,我們認為可以通過能力矩陣模型的方式來評估XDR產品的實際能力。我們將XDR能力級別表示為五個層次,五個層次在“視覺化”、“資料整合”、“檢測技術”、“響應技術”、“自適應優化”這五個方面均有不同的能力體現。
XDR能力矩陣
通過XDR能力矩陣模型,可以評估XDR產品對應的能力級別,並對XDR產品未來發展進行展望:
L1-基礎的威脅發現與響應
大部分的威脅告警、事件分析、事件響應任務都由安全運營人員完成,因為人工介入的工作很多,系統的聯動響應能力得不到發揮,也很難得到完整的攻擊路徑分析及視覺化呈現。
L2-基於已知威脅的發現與響應
能夠基於多種來源的安全資料進行分析並發現威脅,能夠發現簡單的攻擊行為並告警,但此級別的檢測與分析能力基本基於對已知威脅,事件響應往往還需要藉助人工處置。
L3-基於高階威脅的發現與響應
能夠對多種來源的安全資料進行關聯分析,並能通過機器學習和人工智慧演算法深度挖掘分析資料,從而發現一些複雜的攻擊以及高階威脅行為。通過聯動響應技術,對可疑及未知威脅,進行緩解或消除,協助安全人員快速溯源、調查取證,並顯示覆雜攻擊的完整攻擊鏈。
L4-自動化的威脅發現與響應
在L3級別的基礎上,通過內建或者自定義響應流程,自動化處理大部分的重複安全事件,通過與多種安全產品的聯動響應自動化阻斷、攔截大部分攻擊,對於關鍵資訊可以進行自動留存或者溯源分析。
L5-自適應的威脅發現與響應
在L4級別的基礎上,XDR系統通過自適應機制,將企業安全運營過程中總結的經驗,及與自身業務相關的威脅情報等不斷與系統耦合,不斷修正威脅模型,以增強對威脅的檢測能力,提高威脅發現的精準度。
目前,國內XDR還處於早期探索階段,但隨著市場需求的快速增長,安全廠商正在快速提升XDR產品的應用能力。國產XDR主要包括兩種產品發展路線:
一種是全面整合自有品牌下的大資料分析平臺、EDR、NGFW、NDR、蜜罐等單點能力,組成完整XDR整體解決方案,提供覆蓋終端、網路、應用、雲端等多層防禦的安全能力。該類XDR方案通常具備較豐富的私有API來執行自動化操作,可通過開箱即用式整合和跨產品的預先調優檢測機制,快速實現可擴充套件的威脅檢測和響應。
另一種型別是打造通用性、輕量化的XDR平臺,通過靈活、智慧化的日誌分析及關聯查詢,實現威脅快速檢測和響應。這種模式的開放性更高,可以對接更多第三方安全產品,通過標準協議或安全API與不同廠商的安全產品進行聯動響應,但在與第三方安全供應商進行能力整合時也將面臨挑戰。
根據報告調研,我們發現目前多數國產XDR產品(方案)在輕量化部署、複雜策略生成、快速關聯分析、智慧告警、快速溯源等方面表現穩定,具備了較強的可用性。但是,在安全能力整體聯動和實現自動化響應等方面,僅有少數頭部廠商產品表現較出色, 國產XDR解決方案要實現智慧安全運營所要求的理想價值,還需要一定時間的升級迭代。
來自 “ 安全牛 ”, 原文作者:陳發明;原文連結:https://www.aqniu.com/industry/81709.html,如有侵權,請聯絡管理員刪除。
相關文章
- 如何使用Wardley地圖實現產品能力的演進分析?地圖
- 軟體成分安全分析(SCA)能力的建設與演進
- 容器產品關鍵能力覆蓋最多,阿里雲打贏雲原生關鍵一戰!阿里
- 4個資料分析思路分享:關鍵指標與產品如何把握?指標
- 透過 Gartner 報告 4 年變化看超融合適用場景與關鍵能力演進
- 從GrowingIO產品到平臺的進化看資料分析的演變
- 思博倫推出SimIQ加快GNSS產品演進
- 深信服XDR,2022年度優秀軟體產品!
- 產品能力是一種底層能力
- 有贊個性化推薦能力的演進與實踐
- 四個關鍵能力,強化企業資產安全管理
- 關於軟體的程式碼混淆的產品對比與分析
- SLG品類進化:《萬國覺醒》產品分析報告
- 騰訊大資料高階產品總監洪桃李:決勝未來的4大關鍵能力大資料
- 我的產品/競品分析鍛鍊記錄(分析產品核心)
- BBSSDK 產品分析
- WebGIS產品分析Web
- 軟體產品安全測試,保障軟體產品質量的關鍵性步驟
- 產品戰略框架:進攻與防守 - reforge框架
- 龍尚“大連線”戰略 產品落地成關鍵
- 龍尚“大連線”戰略產品落地成關鍵
- 淺談網路靶場的關鍵能力與應用方向
- 產品經理的私房菜 - 騰訊產品模型 - 學習能力篇模型
- SLG遊戲產品分析與GS運用技巧遊戲
- 網際網路商業模式的關鍵:打造核心產品與生態圈平臺模式
- SCADE — 產品級安全關鍵系統的MBD開發套件套件
- 螞蟻自研移動端 xNN-OCR 技術演進與能力開放
- 資料產品:CDP(客戶資料平臺)必備的產品能力
- 現代資料棧中的消費層 BI+AI 產品的演進AI
- 硬核 - Java 隨機數相關 API 的演進與思考(上)Java隨機API
- 我就是要打螺絲!《關不住我吧》產品分析
- 調查表明:資料分析對產品成功至關重要
- 揭秘華為如此多成功專案的產品關鍵——Charter模板
- Hadoop演進與Hadoop生態Hadoop
- 完美世界伊迪:高品質電競賽事是促進產業協同發展的關鍵產業
- 關於SAP CRM產品主資料建立頁面上的產品類別顯示邏輯分析
- hadoop 原始碼分析HDFS架構演進Hadoop原始碼架構
- 電商商品系統的演進分析