设为首页 - 加入收藏 辽源站长网 (http://www.0437zz.com)- 云主机,资讯,互联网,人工智能,云计算,大数据,区块链,VR,站长网!
热搜: 4 2019
当前位置: 首页 > 云计算 > 正文

青藤云安全:XDR是安全运营的最佳解决方案吗?

发布时间:2020-10-22 22:04 所属栏目:[云计算] 来源:网络整理
导读:XDR是Gartner今年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案。在代表趋势的Hype Cycle中,有两个重点的Hype Cycle都提到了XDR这个关键技术。 图1:终端安全成熟度曲线2020 图2:安全运维成熟度曲线2020 同时,国外各

XDR是Gartner今年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案。在代表趋势的Hype Cycle中,有两个重点的Hype Cycle都提到了XDR这个关键技术。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图1:终端安全成熟度曲线2020

青藤云安全:XDR是安全运营的最佳解决方案吗?

图2:安全运维成熟度曲线2020

同时,国外各大厂商也在不断的宣传自己的XDR解决方案,包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。

此外,在今年Gartner线上的Summit在主题演讲《Top Trends in Security and Risk Management》中的八大趋势中,第一个也是XDR,作为SIEM和SOAR的替代方案出现在主流市场中。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图3:《Top Trends in Security and Risk Management》中介绍的Top8趋势

一、XDR演进路线及其定义

XDR是一种新的技术,它的演进路线又是如何呢?提到XDR,不得不先提及一下EDR的发展路径。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图4:EDR的发展路径

EDR首先脱胎于EPP这种传统的安全产品,最终在使用机器学习、行为分析、威胁狩猎等领域极大加强了终端上的安全能力。EDR之前的核心能力还在于杀毒能力,加入了机器学习后作为高级的杀毒能力,再到后面变成了EDR,着重于检测和响应能力,将来会发展到响应能力的自动化,包括了威胁情报,以及SOAR的对接等。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图5:终端保护工具的演进

其核心能力金字塔跟CWPP类似,可以看出来EDR的重点区分点在于行为分析、异常检测和响应以及威胁狩猎。底层的能力都是传统EPP的范围,包括了杀毒、内存保护、应用控制等功能。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图6:终端控制措施金字塔

从名字的演进来看,以及厂商的解决方案来看,XDR跟EDR的关系最近,同时终端类型的安全产品也是在事件响应中最重要的产品。但是XDR是一种解决方案型的产品,在安全运营体系中加入了一些有实际安全价值的产品中,以此来提高整体的检测和响应效率。

XDR在Gartner的定义是:SaaS类型的安全威胁检测和响应平台,集成了大量的产品,并统一了相关license收费,具体产品功能视厂商而有所不同。XDR产品主要有三大价值:1. 直接集成安全产品开箱即用;2. 有统一的安全数据归一化和中心化可供分析和查询;3.由于有多种产品的配合和协调,因此可以改进检测的敏感性;4.多产品联动处理改变单一产品的响应过程。XDR产品的最小集合需要有威胁情报的持续更新,以及需要数据的归一化和中心化处理以便分析和关联。标准化的解决方案需要SaaS的存储,图数据库的支持分析,集成相关的安全产品,包括EDR、防火墙、SEG、CASB、CWPP等等。

如下图所示,XDR的概念架构主要集中在终端客户的保护形态上,当然也可以在数据中心保护,IAM或者是SASE的保护上。从下图可以看出,终端客户的保护上需要最上层的一些安全产品,然后是数据的归一化,以及数据湖再到数据关联,从而形成事件响应、自动化、工作流以及API的相关价值。当然在数据中心、身份安全以及SD-WAN的场景下也可以使用类似的架构来保证其特殊场景的安全。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图7:XDR概念架构

二、XDR的价值与风险

讲到XDR的价值,最直接就是两个:一个就是能够提高安全运营的效率和价值,增强检测和响应的能力,可以通过集成多种安全产品并统一进行安全理解;另一个就是降低安全运营的复杂度。一个统一的解决方案,可以统一在一个产品界面进行安全问题的解决,而不需要每个产品进行单独的对接调整,降低了安全运营的对接成本和使用成本。

讲到这个价值,自然而然就会想到SIEM这种类型的产品,他们之间的区别又是什么?XDR跟SIEM最大的区别在于集成模式的部署上以及目的上。XDR可能自带一个统一界面以供直接集成相关的安全产品,而SIEM更多的需要一些单点的产品与其进行定制的对接。XDR更多的关注与威胁的检测和响应,而SIEM更多的在于报警的集中处理和存储以及合规的考虑。

XDR的厂商本身会拥有相关的安全研究团队,针对于每一种安全攻防技术和产品检测会有深入的研究。然后再集成相关的安全产品来解决这些安全问题,可以使用SaaS交付甚至可以使用云原生的架构。但是目前XDR的解决方案都是一个安全厂商整体提供的,一般来说都是有比较长的产品线的厂商,从中选取比较有安全运营价值的安全产品形成整体解决方案,包括Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和Symantec等厂商。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:cgcctv@126.com,我们将及时予以处理。

网友评论
推荐文章