前言
网络安全行业充满了专业术语、缩写和首字母缩略词。随着复杂攻击手段的增多,从端点到网络再到云端,许多企业正在转向一种新的方法来应对高级威胁:扩展检测和响应(Extended Detection and Response),这也催生了另一个缩略词:XDR。尽管XDR今年在业界领袖和分析师社群中获得了很多关注,但XDR仍然是一个不断发展的概念,因此,围绕这个主题存在很多混淆。
❄什么是XDR?
❄XDR与EDR有何不同?
❄它与SIEM和SOAR相同吗?
SentinelOne作为EDR市场的领导者和新兴XDR技术的先驱,我们经常被问到这意味着什么以及它最终如何有助于实现更好的客户成果。本文旨在澄清关于XDR以及与EDR、SIEM和SOAR相比的一些常见问题。
❄什么是EDR?
EDR(端点检测和响应)为组织提供了监控端点以寻找可疑行为的能力,并记录每一个活动和事件。然后,它将信息进行关联,以提供关键的上下文来检测高级威胁,并最终运行自动化响应活动,例如在接近实时的情况下将受感染的端点与网络隔离。
❄什么是XDR?
XDR是EDR(端点检测和响应)的进化版。与EDR仅收集和关联多个端点的活动不同,XDR扩大了检测范围,不仅包括端点,还包括网络、服务器、云工作负载、SIEM等。这提供了一个统一的、单一视窗,跨越多个工具和攻击途径。这种改进的可见性为这些威胁提供了上下文,以协助分类、调查和快速补救工作。
XDR自动地收集和关联多个安全向量的数据,促进更快的威胁检测,以便安全分析师可以在威胁范围扩大之前迅速做出响应。开箱即用的集成和预调整的检测机制跨越多个不同的产品和平台,有助于提高生产力、威胁检测和取证。
❄XDR与SIEM有何不同?
当我们谈到XDR时,有些人认为我们是用不同的方式描述安全信息和事件管理(SIEM)工具。但XDR和SIEM是两个不同的东西。
SIEM收集、汇总、分析和存储来自整个企业的大量日志数据。SIEM从一开始就采取了非常广泛的方法:收集几乎所有来源的可用日志和事件数据,以用于多种用途,包括治理和合规、基于规则的模式匹配、启发式/行为威胁检测,如UEBA,以及跨遥测源的狩猎。
然而,SIEM工具需要大量的微调和努力来实施。安全团队也可能因SIEM产生的大量警报而感到不堪重负,导致SOC忽视关键警报。此外,尽管SIEM从数十个来源和传感器捕获数据,但它仍然是一个被动的分析工具,发出警报。
XDR平台旨在解决SIEM工具在有效检测和响应针对性攻击方面的挑战,并包括行为分析、威胁情报、行为分析和分析。
❄XDR与SOAR有何不同?
安全编排和自动响应(SOAR)平台被成熟的安全运营团队用于构建和运行多阶段的剧本,这些剧本通过API连接的生态系统的安全解决方案自动执行操作。相比之下,XDR将通过市场(Marketplace)实现生态系统集成,并提供自动化简单操作的机制。
SOAR是复杂、昂贵的,并且需要一个高度成熟的SOC来实施和维护合作伙伴集成和剧本。XDR则意在成为“SOAR-lite”:一个简单、直观、零代码的解决方案,提供从XDR平台到连接的安全工具的可操作性。
❄什么是MXDR?
管理型扩展检测和响应(MXDR)扩展了MDR服务,覆盖整个企业,提供一个全面管理的解决方案,包括安全分析和运营、高级威胁狩猎、检测以及在端点、网络和云环境中的快速响应。
MXDR服务通过MDR服务增强客户的XDR能力,以提供额外的监控、调查、威胁狩猎和响应能力。
为什么XDR越来越受关注并产生热议?
XDR取代了孤立的安全措施,并帮助组织从统一的角度解决网络安全挑战。通过一个包含整个生态系统信息的原始数据池,XDR比EDR允许更快、更深入、更有效的威胁检测和响应,收集和整合来自更广泛范围的数据源。
XDR提供了更多关于威胁的可见性和上下文;以前可能不会被解决的事件将被提升到更高的认知水平,使安全团队能够补救并减少任何进一步的影响,最大限度地减小攻击的范围。
典型的勒索软件攻击会穿越网络,降落在电子邮件收件箱中,然后攻击端点。通过独立查看每一个这些方面来解决安全问题会让组织处于劣势。XDR整合了不同的安全控制,以提供跨企业安全领域的自动化或一键响应操作,如禁用用户访问、在疑似帐户被泄露的情况下强制多因素身份验证、阻止入站域和文件哈希等——所有这些都是通过用户编写的自定义规则或内置在指导性响应引擎中的逻辑来实现的。
这种全面的可见性带来了几个好处,包括:
通过跨数据源的关联,减少平均检测时间(MTTD)。
通过加速分类和减少调查和范围的时间,减少平均调查时间(MTTI)。
通过启用简单、快速和相关的自动化,减少平均响应时间(MTTR)。
提高整个安全领域的可见性。
此外,多亏了AI和自动化,XDR有助于减轻安全分析师的手动工作负担。XDR解决方案可以主动和迅速地检测复杂的威胁,提高安全或SOC团队的生产力,并为组织带来巨大的ROI提升。
结束语
对于许多企业来说,选择适合的供应商是一项挑战,尤其是在寻找检测和响应解决方案时。最大的难题通常是理解每个解决方案提供了什么,特别是当各个供应商的术语不同,意义也可能不同。
就像任何进入市场的新技术一样,有很多炒作,购买者需要明智。事实是,并非所有的XDR解决方案都是相同的。SentinelOne Singularity™ XDR统一并扩展了多个安全层面上的检测和响应能力,为安全团队提供了集中的端到端企业可见性、强大的分析能力,以及跨完整技术堆栈的自动化响应。
♚上海甫连信息技术有限公司
DocuSign | Okta | Yubikey | BlackBerry | Cylance | SentinelOne