網絡安全永遠是“道高一尺魔高一丈”的軍備競賽，但現實往往很骨感，網絡安全的“道”，經常會跟不上網絡攻擊“魔”的腳步。而面對日新月異的攻擊技術，XDR(跨層檢測與響應)被看作是下一個能夠御魔的高級“道”。在 EDR(端點檢測與響應)、NTA(網絡流量分析)和SIEM(安全信息與事件管理)等主流安全方案之外，我們?yōu)槭裁催€需要XDR?XDR如何提升企業(yè)安全性?以下，我們嘗試解答。

[[348908]]

從被動到主動

隨著人工智能技術的快速融入，新一代高級網絡攻擊技術變得更加隱蔽、狡猾和復雜，對傳統安全方案更是建立起“降維打擊”的優(yōu)勢。例如，對抗性機器學習的攻擊威脅已成為安全社區(qū)的心腹大患。這種攻擊現有主流安全方案幾乎無法檢測到，因為它針對的是機器學習算法，削弱其檢測入侵的能力，更糟糕的是，攻擊者可欺騙操縱系統對攻擊者敞開大門。

為了應對類似于對抗性機器學習的高級復雜威脅，企業(yè)需要采用更高級的解決方案，因為傳統的入侵檢測系統(IDS)無法抵御此類威脅。而諸如端點檢測和響應(EDR)和網絡流量分析(NTA)之類的被動的，反應式安全方法也無法檢測隱蔽攻擊。上述主流安全方案能夠提供對威脅的分層可見性，但對于隱蔽的網絡攻擊則是“睜眼瞎”。

企業(yè)需要更主動的安全方案，能夠快速識別隱藏的復雜威脅，并實現對特定威脅實例的可見性。此外，這種主動方案還需要能跨網絡、端點以及云基礎架構提供數據的可見性。而能夠兌現這種愿景的熱門解決方案之一，就是XDR(跨層檢測和響應)。

XDR是什么?

XDR是一種跨多個安全層收集并自動關聯信息以實現快速威脅檢測的方法。它可以監(jiān)視企業(yè)網絡中不同來源或位置的威脅。

由于傳統安全工具和解決方案之間缺乏聯系，事件分類和調查過程存在孤島問題，導致大多數安全分析人員的事件關聯和攻擊觀點存在局限性，這給攻擊者隱藏自己提供了很好的機會。

XDR通過全面的整體檢測和響應策略消除了安全孤島。它收集信息并匹配許多安全層(包括為端點、服務器、電子郵件、云和工作負載配置的安全層)上的深度活動數據的關系?？梢詫Ω鞣N數據進行自動分析，以更快地檢測到威脅，并使安全分析人員有足夠的時間進行徹底的調查。

傳統反應式(被動式)方法的缺點

EDR、NTA和安全信息與事件管理(SIEM)絕對不是弱安全解決方案，但是，這些解決方案的工作方式為頑強而狡猾的攻擊者留下了可乘之機。

傳統安全系統的最大問題之一是警報過載(疲勞)。EDR等主流方案和策略會生成大量缺少有上下文信息的警報。這些不完整的，缺乏有效信息的安全警告對安全運營人員來說意義不大，“全選+刪除”是這些警告的常見歸宿。

根據IDC InfoBrief的數據，只有21%的企業(yè)收集了足以付諸行動的信息。大多數組企業(yè)(56%)表示，他們通過安全系統收集的信息只能使他們對問題的根源有個大略的了解，依靠這些信息無法鎖定具體問題并實施適當的解決方案。

根據Solarwinds的白皮書調查數據。擁有約一千名員工的公司的SIEM系統每秒鐘記錄的安全事件多達20億個，這意味著每天的安全事件高達200萬個。即使是最牛的安全運營中心(SOC)分析師也難以處理如此規(guī)模事件所產生的海量警報。

困擾傳統安全系統的其他問題是需要專業(yè)知識和耗時的事件調查，有時可能需要幾個月的時間。例如，使用EDR，據報道，入侵識別時間最多長達197天，而遏制攻擊時間可長達69天。

同樣，傳統安全系統的本質是以工具和技術為中心，這使得人們忽視了更為重要的運營需求。正如IDC InfoBrief中所述，有23%的公司表示其安全團隊將更多時間用于維護和管理安全工具，而不是進行實際的安全調查。同時，有19%的公司報告其安全產品組合中存在碎片或缺乏集成的情況。

XDR通過其收集深度活動數據以及跨層掃描，搜尋和調查路徑的綜合方法來解決傳統安全方案的缺點。借助人工智能和高級分析，XDR可以在安全警報過載中發(fā)現真正的威脅。

“魔”高于“道”的時代

本文無意貶低EDR的價值，大量公司有充分的理由繼續(xù)依賴EDR。但是，由于其先天設計(將重點放在托管端點上)而存在功能上的局限性。同樣，EDR在可以識別和阻止的威脅種類、范圍，以及對被攻擊實體的識別和對攻擊的最佳響應方面也存在局限性。

同樣，我們也不能說NTA是個擺設。網絡流量分析仍然很重要，但是NTA需要跳出網絡監(jiān)控這個狹窄領域。NTA系統也會生成海量日志，這使得將網絡警報與其他相關安全事件數據之間的關聯變得非常困難。

業(yè)界已經在嘗試改進EDR和NTA，但是這些改進往往最為單獨的解決方案或額外的安全層來實現。這意味著數據孤島問題依然存在。而XDR目前來看，是企業(yè)升級檢測和響應系統的首選整體方法。XDR能夠縮短SOC檢測告警的時間，并評估哪些警報值得關注和采取行動。XDR不會替代SIEM，但會對其進行增強，以充分利用SIEM產生的安全日志和通知。

換句話說，XDR是傳統安全系統進化的一個新路徑，以跟上網絡犯罪分子攻擊技術和方法的進化速度。

擴展的檢測和響應

XDR可以查明各種來源和位置的隱藏威脅并對其進行跟蹤。這種先進的系統可提高企業(yè)IT團隊的工作效率，并提高安全調查的速度。XDR提供了超出端點的多個安全層，從而擴大了檢測和響應范圍。此外，XDR創(chuàng)建了一個集成的自動化平臺，可實現跨安全層的完全可見性。

因此，業(yè)界也有廠商將XDR(跨層檢測與響應)稱為“擴展檢測和響應”，也有人將“X”解讀為“廣泛的”，因為XDR不僅可以識別和處理威脅，還是一種全面的安全解決方案。XDR能夠確定用戶是如何被感染的、切入點在哪里、攻擊如何橫向移動以及有多少其他用戶受到了威脅。此外，XDR與SIEM以及安全協調、自動化和響應(SOAR)系統的集成能夠使分析人員可以在更廣泛的安全生態(tài)系統中使用XDR。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文