XDR介绍
自2020年以来, XDR(扩展检测和响应)就成为了网络安全领域的一个热词,尤其是随着疫情和网络威胁带来的新变化,XDR的热度持续上升。XDR是一种新的技术,更是一种解决方案型的产品,为检测和响应带来了新的可能性。比如Gartner在2020年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案就是XDR。在代表趋势的Hype Cycle中,有两个重点的Hype Cycle都提到了XDR这个关键技术。同时,国外各大厂商也在不断的宣传自己的XDR解决方案,包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。 此外,在2020年Gartner线上的Summit在主题演讲《Top Trends in Security and Risk Management》中的八大趋势中,第一个也是XDR,作为SIEM和SOAR的替代方案出现在主流市场中。
现在普遍认为XDR源于EDR(端点检测与响应)。EDR是一种安全工具,监视与网络相连的终端用户硬件设备上的可疑活动与行为,并自动响应以阻断察觉到的威胁,同时为进一步调查留存取证数据。从名字上可以看出,XDR跟EDR的关系最近,同时终端类型的安全产品也是在事件响应中最重要的产品。但是XDR是一种解决方案型的产品,在安全运营体系中加入了一些有实际安全价值的产品中,以此来提高整体的检测和响应效率。
XDR在Gartner的定义是:SaaS类型的安全威胁检测和响应平台,集成了大量的产品,并统一了相关license收费,具体产品功能视厂商而有所不同。XDR产品主要有三大价值:1. 直接集成安全产品开箱即用;2. 有统一的安全数据归一化和中心化可供分析和查询;3.由于有多种产品的配合和协调,因此可以改进检测的敏感性;4.多产品联动处理改变单一产品的响应过程。XDR产品的最小集合需要有威胁情报的持续更新,以及需要数据的归一化和中心化处理以便分析和关联。标准化的解决方案需要SaaS的存储,图数据库的支持分析,集成相关的安全产品,包括EDR、防火墙、SEG、CASB、CWPP等等。
XDR的价值,最直接就是两个:一个就是能够提高安全运营的效率和价值,增强检测和响应的能力,可以通过集成多种安全产品并统一进行安全理解;另一个就是降低安全运营的复杂度。一个统一的解决方案,可以统一在一个产品界面进行安全问题的解决,而不需要每个产品进行单独的对接调整,降低了安全运营的对接成本和使用成本。XDR的核心优势体现在三个层面:1. 改进保护、检测和响应的能力;2. 提高安全运营员工的效率;3. 降低获得有效检测和响应能力的总体拥有成本(TCO)。
需要考虑的问题
疫情以来,威胁形势继续发展并迅速扩大。随着从端点到网络再到云的攻击方法成倍增加,许多企业使用一流的解决方案来应对每一种攻击方法,以保护这些特定漏洞。然而,这些工具并没有将整个技术堆栈中的安全问题联系起来。因此,安全数据是孤立地收集和分析的,没有任何上下文或关联。
随着 XDR 越来越受到关注并成为关键的下一代安全工具,在使用 XDR 解决方案时,你应该考虑以下五个问题。
1. XDR 解决方案是否提供了丰富的跨堆栈可见性以及从多个数据源无缝获取的能力?
EDR 解决方案非常适合从端点获取安全相关信息。但是,它们缺乏跟踪分析技术,无法为准确描述可能跨越其他来源的攻击者的行为和目标提供可靠的分析。强大的 XDR 平台通过启用来自多个安全层和可能的攻击点的跟踪分析来解决跟踪分析限制问题。这使得持续监控和管理传入警报成为可能。此外,借助威胁情报源,XDR 系统可以主动搜索隐藏的威胁。
Singularity XDR 可以使企业从任何技术产品或平台实时无缝地提取结构化、非结构化和半结构化数据,打破数据孤岛并消除关键盲点。通过Singularity最近收购的 Scalyr,该解决方案可以让安全团队在单个仪表板中查看由来自所有平台的不同安全解决方案收集的数据,包括端点、云工作负载、网络设备等。
Singularity XDR 使分析人员可以利用从多个不同解决方案中将事件信息聚合到单个情境化“事件”中所获得的洞察力。它还为客户提供中央执行和分析层点集线器,以实现完整的企业可见性和自主预防、检测和响应,帮助组织从统一的角度应对网络安全挑战。
2. XDR 解决方案是否提供跨不同安全层的自动化上下文和关联?
许多 EDR 解决方案需要(人工)安全团队进行调查。但考虑到生成的警报数量,许多安全团队没有足够的资源来处理每一个事件。一个强大的 XDR 解决方案应该通过人工智能和自动化的内置上下文和关联来增强。
SentinelOne 获得专利的 Storyline 技术在整个企业安全堆栈中提供实时、自动化的设备构建上下文和关联,将断开连接的数据转换为丰富的故事,并让安全分析师了解他们环境中发生的完整事情。自动将所有相关事件和活动链接到一个具有唯一标识符的故事情节中。这使安全团队可以在几秒钟内查看所发生事件的完整上下文,而无需花费数小时、数天或数周手动关联日志和链接事件。
SentinelOne 的行为引擎跟踪整个环境中的所有系统活动,包括文件/注册表更改、服务启动/停止、进程间通信和网络活动。它检测作为恶意行为指标的技术和策略,以监控隐蔽行为,有效识别无文件攻击、横向移动和主动执行 rootkit。 Singularity XDR 自动将相关活动关联到统一警报中,提供活动级别的洞察力,并允许企业跨不同方法关联事件,以促进将警报作为单个事件进行分类。
3. XDR 解决方案是否通过集成的威胁情报自动丰富威胁?
随着新的威胁的出现,外部环境的缺乏使得分析人员难以确定警报或指标是否代表了对其组织的真正威胁。威胁情报提供有关威胁、漏洞和恶意指标的最新信息,让安全团队能够专注于最重要的事情。精心构建的 XDR 解决方案支持来自多个来源的威胁情报集成,以帮助安全团队快速有效地确定警报的优先级和分类。
Singularity XDR 集成了威胁情报,用于检测和丰富来自领先的第三方源和SentinelOne的专有来源,这些来源通过实时威胁情报自动丰富端点事件。它使安全团队能够获得关于攻击指标 (IoC) 的额外上下文风险评分,例如 IP、哈希、漏洞和域。例如,通过SentinelOne的 Recorded Future 集成,从 80多万个来源中自动丰富威胁,使客户能够加速威胁调查和分类功能。客户还可以利用 SentinelOne 研究策划的搜索查询库,该库不断评估新方法,以发现新的 IOC 和战术、技术和程序 (TTP)。
4. XDR 解决方案是否可以跨不同域自动响应?
当然,事件检测和调查需要触发有效的响应以缓解攻击事件。响应需要预先定义且可重复,以提高修复效率并干预正在进行的攻击的任何步骤。应对措施应明确规定可用于缓解攻击的短期和长期措施。了解威胁产生的原因对于提高安全性和防止今后发生类似的攻击也至关重要。必须采取一切必要措施,以确保类似的攻击不太可能再次发生。
Singularity XDR 使分析人员能够采取所有必要的操作来自动解决威胁,在整个区域的一台、多台或所有设备上一键式自动解决威胁,而无需编写脚本。只需单击一下,分析师就可以执行修复操作,例如网络隔离、在恶意工作站上自动部署代理或跨云环境自动执行策略。
Singularity XDR 还允许客户利用 Storyline 提供的分析功能,通过 Storyline Active-Response (STAR) 创建特定于其环境的自定义自动检测规则。 STAR 允许企业整合其业务环境并根据其需求定制 EDR 解决方案。借助 Storyline Active-Response (STAR) 自定义检测规则,你可以将查询转换为自动搜索规则,在规则检测到匹配项时触发警报和响应。 STAR 使你可以灵活地创建特定于你的环境的自定义警报和响应,以自动、快速地检测和遏制整个环境中的威胁。
5. XDR 解决方案是否让你轻松与领先的 SOAR 工具集成?
由于你的 SOC 中可能部署了其他安全工具和技术,因此你的 XDR 解决方案应该让你能够利用你在安全工具方面的现有功能。关键功能将是内置集成,包括自动响应、集成威胁情报。
SentinelOne 通过 Singularity Marketplace 向第三方系统(如 SIEM 和 SOAR)提供越来越多的集成组合。 Singularity 应用程序托管在SentinelOne可扩展的无服务器功能即服务云平台上,只需点击几下即可与支持 API 的 IT 和安全控制结合在一起。 Singularity Marketplace 是 SentinelOne 平台的一部分,使客户能够消除编写复杂代码的障碍,使自动化在供应商之间变得简单和可扩展。安全团队可以通过在不同域中的安全工具之间推动统一、协调的响应,轻松地确定最佳行动方案,以修复和防止安全攻击。
本文翻译自:https://www.sentinelone.com/blog/5-questions-to-consider-before-choosing-the-right-xdr-solution/如若转载,请注明原文地址