隨著數字化轉型的飛速發展,企業面臨的安全威脅日益嚴峻。但是,目前許多企業仍在沿用傳統孤島式的安全能力建設模式,這種模式缺乏對全域性安全資料的可見性,導致面對海量告警,安全產品自動化程度不高,安全人員也難以提高工作效率。
在此背景下,XDR(Extended Detection And Response:擴充套件檢測響應)成為了網路安全領域的新興之秀。據瞭解,XDR最早由Palo Alto Networks於2018年提出,在2020年被Gartner命名為第一大安全趨勢,同時Gartner稱XDR解決方案將提高檢測準確性、安全運營效率和生產率。
近日,騰訊安全聯合權威機構Gartner在全球釋出了XDR白皮書——《XDR,威脅檢測與響應的利器》。騰訊安全副總裁方斌在寄語中表示:XDR可以匯聚跨產品、跨層級的全域性安全資料,利用機器學習等技術提升對全域性資料的關聯和分析能力,有效幫助企業走出安全孤島。
而騰訊依託自身成熟的雲上安全能力,率先在國內拓展雲上XDR方案,並對私有化場景進行賦能。針對公有云環境和傳統IT環境,形成兩套相對獨立的方案,應對不同應用場景需要。
安全威脅日益嚴峻,XDR成檢測與響應利器
當前,傳統安全系統面臨著更加隱蔽、更加智慧、更具破壞性的新一代網路攻擊。尤其在威脅檢測方面,企業面臨的安全挑戰越來越大,高階威脅的發現越來越難以透過單一的安全能力來實現,海量告警、孤島式安全能力建設的缺陷、現有安全產品自動化能力不高、企業被動的安全防禦策略等現實困境,使得企業急需尋找一種新的資訊保安防護措施,加固雲上安全防線。
XDR作為可演進式整合安全架構,結合了安全資訊和事件管理(SIEM)、安全編排自動化和響應(SOAR)、端點檢測與響應(EDR)以及網路流量分析(NTA),集中安全資料和事件響應,是雲上安全防護的有效利器。面對不斷加速的數字化轉型和紛繁複雜的網路攻擊,XDR可促進威脅防禦、檢測、響應等安全功能之間的協同和互操作,幫助企業提升威脅檢測和響應的效率和效果。
XDR的模型架構
據白皮書介紹,XDR擁有五大核心能力和六大顯著優勢。首先,XDR支援對終端、網路、雲和工作負載的安全防護並具備控制能力,此外,還擁有安全整合和互操作能力、大資料處理和機器學習分析能力、自動化編排能力、威脅情報能力。XDR的優勢體現在可演進式整合安全架構,更快、更深度的威脅發現,一處檢測、全域性響應,提升安全運營效率,支援混合基礎設施和最佳化企業安全支出成本。
Opportunity Snapshot的研究顯示,71%的安全負責人表示,他們的團隊需要訪問威脅情報、安全運營資料、事件響應和漏洞資料,而64%的企業無法跨職能共享威脅情報資料。XDR面向實際的網路攻擊防護需要,有效提升威脅檢測的及時性,並快速收斂已發現安全事件所造成的影響,改變企業現有安全能力零散建設運維成本高、安全能力難以協同、單點產品利用不足等帶來的安全支出成本居高不下的難題。
鑑於XDR技術的上述優勢,國外廠商透過相互合作,積極探索XDR前進方向,目前網路安全界已成立了三大XDR“聯盟”,分別由Crowd Strike領導,由Mimecast等供應商發起,以及由IBM參與。同時,思科、微軟、Check Point等實力雄厚的大型廠商都在整合單個產品以構建XDR套件,加大投資研發力度。據Grand View Research研究顯示,到2028年,XDR市場規模預計將達到20.6億美元,2021-2028年的複合年增長率將達到19.9%。
中國XDR市場前景廣闊,各大廠商積極探索
中國市場XDR發展前景亦十分廣闊,據CIC最新發布的《網路安全威脅情報行業發展報告(2021年)》顯示,當前我國威脅情報市場規模約為10.69億元。另外,在11月,全球網路安全領導企業Palo Alto Networks和普華永道中國宣佈擴大合作,以XDR等產品為依託,在中國市場提供安全運營服務。同時,以騰訊安全為首的威脅情報服務提供商紛紛入局XDR賽道。凡此種種,都標誌著XDR在研發投入與創新動力方面將迎來一波高潮。
聚焦到中國市場,中小企業數量佔據了中國企業總數的半壁江山,2020年底中小企業數量便已突破4200萬家。研究機構Gartner釋出的報告顯示,2021年全球資訊保安和風險管理技術與服務支出預計將達到1504億美元。為了抵禦攻擊,企業機構將擴充套件和規範威脅檢測和響應活動,由於沒有足夠的網路安全人才或技能來推出自己的整合架構,中型企業和小型企業對XDR有著強烈的需求。
XDR作為融合了“EDR+NDR+SOAR+威脅情報+安全中臺+X”的一站式安全檢測與響應平臺,不論是傳統IT環境,還是公有云、私有云、單雲、多雲、混合雲架構,XDR都能夠更快、更準確地檢測網路攻擊活動,並以開箱即用的自動化操作快速應對各類繁瑣枯燥的安全任務,有效應對告警過載難題。
當前,各類產業主體都在積極圍繞以XDR為代表的威脅情報技術及商業模式展開探索。在有科技產業界風向標之稱的Hype Cycle(技術成熟度曲線)中,端點安全和安全運維都提及了XDR技術。此外,據ESG對339位企業安全專業人員的調查資料顯示,58%的人認為XDR可以透過增強、改進、聚合當前的安全分析功能來實現SOC的現代化,55%的人認為XDR可以透過與SOAR整合來實現安全流程自動化。
XDR已獲得市場發展的絕佳時機,安全技術廠商正抓住機會,聚焦企業需求痛點,探索XDR熱門解決方案的發展方向。
騰訊率先拓展雲上XDR方案,全面覆蓋各類IT環境
騰訊安全作為XDR探索的重要廠商代表,擁有20餘年網路攻防對戰經驗,一直以來都懷揣“做世界一流的威脅情報”的美好願景,為使用者構建更加穩固的數字時代安全底座。
據白皮書內容顯示,基於PaaS層的安全算力演算法支撐,騰訊XDR方案可面向雲環境和私有化環境分別提供針對性方案,覆蓋客戶IT各類場景需要,同時其雲原生方案整合度高、部署成本極低、SaaS化服務即申請即使用,還可憑藉雲上各種基礎設施針對使用者訪問等場景進行威脅檢測與分析,擁有包括雲上成熟的大資料和機器學習能力、安全算力演算法在內的諸多優勢。
騰訊XDR解決方案
例如,在公有云上,騰訊安全雲上成熟的API介面可為XDR平臺提供較為便捷的響應能力,同時藉助CWPP、WAF、IOA、SaaS等產品,還可針對混合雲環境進行滲透,實現對混合雲的集中威脅檢測與響應;在私有化環境中,騰訊安全將IOA終端安全、NDR解決方案進行整合,兼顧環境特點的同時接入更多第三方裝置告警與日誌;針對雲環境和傳統IT環境並存的客戶,騰訊安全透過SIEM實現對多套XDR平臺結果的整合,滿足客戶合規和審計方面的需求。
Gartner聯合騰訊安全XDR白皮書的釋出,勾畫了更為清晰的XDR發展歷程,對於不滿足於現有獨島式、分散安全能力現狀,希望提升安全威脅應對整體能力,以及採用整合化、可演進式的安全體系建設的企業送來了“及時雨”,同時也為傳統安全系統進化提供了新路徑。
從發展理念上來看,白皮書構建了一個清晰的、基於XDR的發展願景。隨著數字化時代網路安全領域攻防對抗的不斷升級,XDR匯聚跨產品、跨層級的全域性安全資料,利用機器學習等技術提升對全域性資料的關聯和分析能力,提升高階威脅的發現能力和發現速度,有效解決當前孤島式安全能力建設難題。
從技術手段上來看,白皮書提到的雲原生是XDR實踐的一個新方向。XDR廠商將考慮針對公有云提供針對性的安全方案,以更好的相容混合雲架構,同時以XDR整合一體化聯防聯控思想搭建的雲原生安全體系,有效提升針對各類威脅的檢測能力、響應效率,並透過SOAR提升響應自動化水平,降低MTTR。
從實踐落地上來看,騰訊安全為雲上XDR探索提供了參考模板。目前使用騰訊雲上XDR方案的客戶,可將公有云上失陷事件的MTTD時間減到分鐘級。依靠雲原生XDR方案和SIEM結合的方式,客戶得以實現各類IT環境下的統一威脅運營,依託自身成熟的雲上安全能力,騰訊率先在國內拓展雲上XDR方案,並對私有化場景進行賦能。
我們看來,白皮書梳理了XDR演進與應用,有利於推動後續標準的共建。未來,平臺SaaS化是必然選擇,XDR會朝著技術更加成熟、產品整合能力和標準化程度更高、安全廠商間的合作更加緊密的趨勢發展。XDR在繼續聚焦事件響應的同時,會加強事件的背景和損害判斷,行業內將逐步形成一些針對事件調查的通用方法與標準。
點選閱讀白皮書原文:https://www.gartner.com/technology/media-products/newsletters/Tencent/1-288EO9Z3/index.html
