加入收藏 | 设为首页 | 会员中心 | 我要投稿 辽源站长网 (https://www.0437zz.com/)- 云专线、云连接、智能数据、边缘计算、数据安全!
当前位置: 首页 > 云计算 > 正文

青藤云安全:XDR是安全运营的最佳解决方案吗?

发布时间:2020-10-22 22:04:44 所属栏目:云计算 来源:网络整理
导读:XDR是Gartner今年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案。在代表趋势的Hype Cycle中,有两个重点的Hype Cycle都提到了XDR这个关键技术。 图1:终端安全成熟度曲线2020 图2:安全运维成熟度曲线2020 同时,国外各

根据PA对XDR的理解,XDR常见的使用场景包括:威胁分级、威胁调查和威胁狩猎。在威胁分级方面,又包含5个步骤的动作:第一步是评估,包括外部报警、集成在SIEM中的报警、也包括内部的报警,主要是一些安全产品的报警,去确定是否是潜在的威胁行为;第二步是优先级排序,对这些报警进行自动分组进而变成安全事件,对于这些事件进行安全优先级排序,以便于安全分析师进行进一步分析;第三步分析,分析师可以进行可视化攻击链分析,这点是核心能力表现。第四步信息富化处理,根据攻击链的需要,需要更多的上下文以及不同设备的数据,所以需要更多的相关攻击信息上下文,可以做到根本原因分析;最后一步是验证,根据上述所有步骤的自动化,可以极大减少分析人员的手动行为,分析人员只用在信息富化的环节参与,可以将大量的事件投入在如何响应的环节,考虑如何缓解威胁等。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图11:使用XDR实现攻击链可视化

为了减少手动的调查威胁的事件,XDR可以加速这个过程,比如查询报警、查询威胁情报、查看相关网络相关细节等。如果在传统的方式下,需要手工的收集,在脑子中将这些信息进行聚合,并且要花费大量的时间。XDR可以自动化这些过程,并且分析出根本原因,并且进行攻击的时间线绘制。

威胁狩猎也是XDR重点解决的高级威胁问题。威胁狩猎根据内容的驱动不同分为:基于情报、基于知识、基于经验、基于合规、基于机器学习这五大类威胁狩猎能力。威胁狩猎一般都是针对于高级威胁而进行的人工动作,在这里可以自动化的通过产品进行分析。

Trend Micro

趋势科技也较早在全球范围内推出了XDR的解决方案,其口号是“看到你之前错过的”。根据收集自身相关产品的相关安全事件,包括了云工作负载、终端、邮件、网络的信息,收集到所谓的数据湖中,在此之上进行自动化的检测、威胁狩猎、根本原因分析等,可以将这些结果数据对接给SIEM或者SOAR,同时也可以搭配相关的安全服务以便于此种类型的产品体系的良好运营。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图12:趋势科技的XDR服务

其解决方案的重要突出特点是脱离仅仅一个视角,进行关联的检测和集成的调查和响应。XDR将分析的结果报警发送给SIEM,如果SIEM对这种高可信度的报警需要进一步的分析,需要在XDR的分析界面进一步调查,并采取相关动作。同时可以利用趋势科技的威胁情报资源对XDR进行赋能。很多的检测技术是参照ATT&CK的攻击战术和技术来进行检测技术的提升和覆盖。

Cynet

Cynet是一家从事EDR的以色列公司,同时也有其XDR的方案,其XDR的方案会与SOAR和MDR的服务一块表述,统一叫做自动化泄露保护平台。从下图可以看出其XDR的解决方案有EDR、UBA、NTA和蜜罐,基本的产品矩阵跟上述类似,唯一的区别就是用户层面的保护和蜜罐。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图13:Cynet自动化泄露保护平台

根据这些产品组合和统一化分析,Cynet可以做到的也是根本原因分析以及攻击时间轴表示。

青藤云安全:XDR是安全运营的最佳解决方案吗?

图14:Cynet XDR产品界面

其XDR带来的价值包括提高威胁的可见性和精确性,综合相关威胁的指标,有些威胁可能由大变小,有些威胁可能由小变大;同时可以降低很多威胁噪音。另一方面的价值在于提高效率,自动化降低误报的几率,让人员充分关注真正的威胁,从而让人员的效率得到了极大地提升。还有一方面就是降低成本,Cynet提供的服务都是免费的,同时其产品综合了一揽子安全产品,比单点采购要便宜一些。最后一个角度是,对于安全运营人员来说就是睡个好觉,这主要是通过7*24的服务体现的。

还有很多其他公司的XDR方案也集成了其自身的安全产品,进行了相关的威胁的检测和响应的组合。

四、总结

(编辑:辽源站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读