青藤云安全：XDR是安全运营的最佳解决方案吗？

发布时间：2020-10-22 22:04:44 所属栏目：云计算来源：网络整理

导读：XDR是Gartner今年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案。在代表趋势的Hype Cycle中，有两个重点的Hype Cycle都提到了XDR这个关键技术。图1：终端安全成熟度曲线2020 图2：安全运维成熟度曲线2020 同时，国外各

在改进保护、检测和响应能力上，可以使用共享的威胁情报联动对每个安全组件进行检测，比如网络和终端的安全组件；也可以将一些低级别的告警合并形成一个高级别的事件；同时通过关联分析和自动化报警确认发现报警；对警告进行相关的分类分级。

在提高员工的生产率上，可以将大量的告警转换为少量需要人工调查处理的事件；提供所有安全组件的能力，让安全调查更加快捷方便；提供更多的响应方式，包括网络和终端等方面的；对于重复的工作可以做到自动化；可以减少对Tier 1人员的培训，只需要相关的工作流和管理流程；提供相对高质量的检测方法，并不需要太多的调整。

XDR解决方案本身的特质决定了这种产品的开箱即用的特性，所以客户一般只在乎是否能够实现实际价值，在交付中并不用考虑跟SIEM产品一样要对接各种各样的安全产品，然后还要考虑整体UseCase的设计以及关联分析的深度问题。

一般来说，安全市场都是在每个细分行业选择最好的安全产品，而不是选择这种方案型的套装。一个安全产品成熟了，市面上安全产品的领导者就会成为这个市场的定义者。安全行业发展到目前，基础架构的产品趋于成熟，一部分厂商已经拥有了相关的产品组合，所以集成这些安全产品变成了水到渠成的事情。同时利用大数据和机器学习又可以很好地提升安全能力。

在每个品类中采购最好的产品的思路会导致安全产品太多，但是很少有集成和联动。安全报警会过多，经常会无人值守，也没人经常性地去调整策略或者测试其有效性，升级一般也比较滞后。传统的企业的结合点在SIEM上，但是SIEM的优势在于收集日志，但是很少能改进检测的效率和真实性，也很少用到上下文分析和相关安全产品的关联分析。所以，对于企业来说，开发SIEM的Use Case以及深度和丰富的集成异构环境的产品是很难的事情。

XDR这类解决方案型产品就是应对这些挑战而出现的。XDR降低了对接各个厂商的成本，同时就可以开箱即用一些现成的安全事件剧本；也可以让一些务实的企业不用采购每个细分行业的最佳产品，而是直接打包一个产品来提高整体的安全运营效率。

XDR的核心能力要求有两个：一个是使用大数据技术，可以进行数据的收集、归一化、索引、搜索等等；另外一个能力使用多种检测技术，将每个安全技术检测点进行结合放大，把报警归结为事件。

XDR这类解决方案的产品目前还处于初期阶段，后续的发展演进路线可能出现风险。比如事件管理的基础问题就是新的事件源和数据量不断增加，所以会导致更复杂的分析、集成、检测和响应，XDR只能改进这个状况，并不能解决这个问题。XDR可能会导致对单一厂商过度依赖，会导致厂商锁定，也有可能牺牲某些组件的能力，而不能选择某个品类中最好的厂商。XDR可以提高效率，但是有可能牺牲一些能力。虽然集成了一些安全组件和能力，并不见得可以解决某些深度的安全问题。XDR的厂商一般只会提供自家的产品，但是产品是否有效就不见得，XDR可能变成一个集成方案而不是真正有价值的产品。提供XDR的厂商一般都是大厂商，一般来说演进速度要慢于创业公司，尤其是某个品类中的最好的公司。为了保证领先性，还需要通过收购或者集成的方式来保证竞争力。XDR厂商同样有一些盲点，需要集成其他安全厂商的产品，所以要考虑盲点的问题，来解决安全场景100%覆盖。一些新兴的SIEM或者SOAR厂商在集成某个门类中最优秀的产品来形成解决方案，这对XDR产品有极大的冲击。这种叫做OTT的安全能力，比如SOAR的一些新兴厂商就使用这种杠杆来实现这种效果。XDR的采购周期一般会比较长，可能企业安全负责人的任职周期都没有采购周期长，这可能会影响XDR产品的成功。

三、厂商的解决方案

下文将介绍厂商的一些评估标准。

Hunters.AI

Hunters.AI在介绍自身时是说开放的XDR解决方案，并能够利用丰富的终端、网络和云端的数据进行自动的威胁狩猎。这是一家专业的XDR厂商，重点在于强调其威胁狩猎能力。