全面檢測與響應(yīng)網(wǎng)絡(luò)威脅，靠XDR來實現(xiàn)，靠譜嗎？

在網(wǎng)絡(luò)安全行業(yè)中，網(wǎng)絡(luò)威脅的檢測與響應(yīng)是個歷久彌新的研究方向，魔高一尺，道就要高一丈。全球著名IT信息化咨詢研究機構(gòu)Gartner追著這個方向看了多年，從NTA推到NDR，從EPP說到EDR，在去年又提出了Extended Detection and Response的概念，也就是可擴(kuò)展的檢測與響應(yīng)。國內(nèi)廠商一向追熱點概念追得很緊，不管是安全大廠還是站穩(wěn)在細(xì)分領(lǐng)域里的新興創(chuàng)業(yè)公司都紛紛跟了一波XDR的浪潮。是概念還是方向，是曇花一現(xiàn)還是任重道遠(yuǎn)？本文今天就此簡單探討一二。

[[390913]]

一、XDR是個筐，什么都可以往里裝？

先說定義。Gartner給出的定義是，XDR is a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed security components.這意味著XDR是某一個特定供應(yīng)商的整體檢測響應(yīng)解決方案，可以將多個安全產(chǎn)品集成到一個統(tǒng)一的安全操作系統(tǒng)中，至少要包含“云-端-流量”的結(jié)構(gòu)。簡單來說，如果想做好威脅檢測這件事，就得保證SIEM/SOC系統(tǒng)能看到更多的東西，同時也要看得更準(zhǔn)。

然而實際情況是，如果想看得更多，就要接入更多的安全產(chǎn)品把各種日志數(shù)據(jù)收過來，結(jié)果就是每天幾十上百萬的告警，根本沒法看得準(zhǔn)。如果想要看得準(zhǔn)，那就要接入各種安全產(chǎn)品，比如NTA/NDR，從流量里發(fā)現(xiàn)威脅，以及EDR，從端點上發(fā)現(xiàn)威脅，還有UEBA、蜜罐、資產(chǎn)和攻擊面盤點等，統(tǒng)統(tǒng)都要用上，這就又出現(xiàn)了新問題，即使各家產(chǎn)品都非常OK，但在對網(wǎng)絡(luò)威脅的分析上仍然很難協(xié)同，尤其是在各家供應(yīng)商在某些細(xì)分領(lǐng)域有競爭關(guān)系的時候。

XDR更像一種“破罐子破摔”，既然沒辦法和其他產(chǎn)品打通，那干脆全都一攬子自己做吧！產(chǎn)品線完善的大廠們開始竊喜：該有的模塊我都有，搞個XDR不就是手拿把掐的事兒，就算現(xiàn)在沒有，我也可以用錢解決，缺啥買啥不香嗎？有單點優(yōu)勢的新型創(chuàng)業(yè)公司們自己已經(jīng)開始私下偷偷開搞，有流量的盯著端點，有端點的盯著威脅狩獵，蜜罐起家的直接全都想要……一時間，XDR仿佛變成了一個筐，有關(guān)檢測和響應(yīng)的產(chǎn)品/服務(wù)全都可以往里面裝。

二、XDR到底是啥？

事實果真如此嗎？脫離現(xiàn)象看本質(zhì)，我們先要明確XDR為什么會被提出來。XDR出現(xiàn)，背后的需求就是單一安全的場景下，檢測與響應(yīng)能力或多或少都會受到限制，安全事件的故事講不完整。就好比寫字樓里有一伙慣偷，流量檢測只能通過他們的行進(jìn)路線來判斷他們是壞人，端點檢測則會清楚記錄他們在每一間辦公室里做了什么，而這兩個場景之間的聯(lián)系卻沒辦法建立起來——單個場景中低風(fēng)險的告警需要聚合起來，才能成為一個完整的、高風(fēng)險的攻擊事件，而這是單個檢測產(chǎn)品無法做到的，因此才會產(chǎn)生檢測與響應(yīng)的盲區(qū)。

因此，XDR系統(tǒng)的主要功能應(yīng)該包括以下幾點：

1.把現(xiàn)有的安全產(chǎn)品全都集成起來。
2.在中央存儲庫中對數(shù)據(jù)進(jìn)行集中和規(guī)范化處理和存儲，最好是基于SaaS化的，以進(jìn)行分析和查詢。
3.在協(xié)同了其他安全產(chǎn)品的基礎(chǔ)上，提高檢測準(zhǔn)確率。
4.一鍵處置響應(yīng)，快速關(guān)閉相應(yīng)攻擊點。

一言以蔽之，XDR要統(tǒng)一多個安全場景，一鍵處置攻擊事件，并且也能將攻擊事件的來龍去脈述說得清楚明白。所以在這個基礎(chǔ)上，能夠輔助講故事的模塊都是好模塊。XDR更像是一種需要長期規(guī)劃的解決方案，要往筐里裝什么全看各家廠商八仙過海。目前典型的整合手法比如市值非常高的CrowdStrike收購日志管理平臺Humio，指名道姓要補足自己XDR能力；跨領(lǐng)域補足自己模塊的比如微步在線，剛拿了E輪5億人民幣，還發(fā)了新品OneEDR，結(jié)合他們此前的流量檢測產(chǎn)品TDP，也打算要走XDR的路線了。國內(nèi)想或者已經(jīng)在做XDR的還有未來智安和亞信安全，一個是初創(chuàng)的A輪公司，一個是遞交申請掛牌科創(chuàng)板的老牌安全公司，由此也能看出，XDR無論在國際還是國內(nèi)，都將成為大廠小廠同臺競技的新領(lǐng)域。

三、XDR可能有哪些搞法，關(guān)鍵技能和需要注意的點是什么？

前面說到XDR的底配版就是要滿足“云+端+流量”，除去端點和流量以外，企業(yè)的資產(chǎn)和攻擊面盤點也非常重要，網(wǎng)關(guān)、郵件、防火墻、DNS解析、用戶行為分析等產(chǎn)品都需要接入，要么自己具備，要么API化打通。理論上講，XDR產(chǎn)品需要和SIEM/SOC深度結(jié)合，來提高整體威脅的檢出和處置能力，而一部分XDR可以作為SIEM/SOC的平價替代品，當(dāng)企業(yè)組織沒有精力/人員/預(yù)算去搞一套SIEM/SOC時，選一家好的供應(yīng)商來一套XDR可能也是不錯的選擇。

目前Gartner在《Innovation Insight for Extended Detection and Response》報告中列出來的供應(yīng)商名單還僅限于大廠們，如思科、趨勢、McAfee、微軟、賽門鐵克、Palo Alto Networks等，也有像CrowdStrike、Rapid7這類從某一個產(chǎn)品起家、躋身于世界上最優(yōu)秀安全公司行列的企業(yè)。對這些大廠們來說，實現(xiàn)XDR的愿景或許會更容易一些，但XDR對產(chǎn)品仍然會存在一些要求。

第一，產(chǎn)品需要足夠開放，各個產(chǎn)品API化的程度要高，并且因為XDR要處理來自四面八方的日志，這就要求產(chǎn)品在交換數(shù)據(jù)時更加順暢，對網(wǎng)絡(luò)帶寬和計算資源的占比要小，處理能力要高，簡而言之就是要“絲滑”。

第二，目前來看XDR產(chǎn)品大的趨勢都是兩條腿走路，要想檢測做得好，威脅情報和機器學(xué)習(xí)能力都少不了，這倆一個負(fù)責(zé)知彼，一個負(fù)責(zé)知己。云端威脅情報需要做到量大、高準(zhǔn)確度、高頻率更新，機器學(xué)習(xí)則是要通過動態(tài)建模來幫助企業(yè)建立自己的檢測響應(yīng)體系，包括企業(yè)自身的威脅情報庫、企業(yè)的誤報告警特征等。這兩條腿一個都不能少，不過理論上來說，威脅情報做得好的廠商一般在機器學(xué)習(xí)領(lǐng)域都有著豐厚的積累成果，而威脅情報也正是準(zhǔn)確檢測的核心能力，所以威脅情報能力出眾的廠商會在邁向XDR的時候具備先天優(yōu)勢，這也能從Gartner列出的名單上窺見一二，這份名單可以說絕大部分重合了Gartner的《全球威脅情報市場指南》可信供應(yīng)商列表。

第三，大廠推出自己XDR解決方案的時候容易陷入“你們就是想讓我買全家桶”的困境中，各條產(chǎn)品線能力的參差不齊會很影響XDR的效果以及客戶滿意度；而小廠、新興公司的XDR解決方案往往又會缺不少東西，畢竟是從單點起家，想變成多面手也需要歷經(jīng)風(fēng)雨才能見到彩虹。所以XDR能否作為一種戰(zhàn)略持續(xù)在一家安全公司中推行下去，還是非常考驗產(chǎn)品的梳理和研發(fā)迭代能力的。

說了這么多，理想的XDR會是什么樣？可能安全運維人員關(guān)注最多的就是首頁的風(fēng)險模塊，以一個又一個攻擊事件為維度，展現(xiàn)出企業(yè)內(nèi)部目前存在著多少網(wǎng)絡(luò)威脅，低級的威脅已經(jīng)被自動化處置和溯源，中高級的風(fēng)險則需要安全運維人員或分析師介入，而這背后則是通過收集網(wǎng)關(guān)、DNS解析、郵件、蜜罐、流量、終端等等各種地方的數(shù)據(jù)，盡可能窮盡了企業(yè)的服務(wù)器、端口、IP域名、應(yīng)用組件、進(jìn)程等可能遭受攻擊的資產(chǎn)，同時威脅情報和機器學(xué)習(xí)不斷地運作，才能呈現(xiàn)出這樣的結(jié)果。不過肉眼可見的是，想達(dá)到這樣的境界，不管是大廠小廠還都有長路要走，畢竟產(chǎn)品的堆棧不是一切，XDR好不好用，還是誤報率和漏報率說了算。