首頁 > 關于我們 > 新聞動態 > 產品動態

?XDR :挑起“破冰安全孤島”重擔 探索未來安全“無限可能”

發布時間 2022-05-13
前言:

XDR(Extended Detection and Response,擴展檢測與響應)是近幾年產業熱點安全運營技術之一,總體來說,將各安全能力協同組織并集約化于統一平臺,進行調度、管理和分析。本文通過詳細解讀XDR技術以及啟明星辰泰合盤古平臺對XDR技術能力支撐,幫助大家更好地理解XDR。


精簡高效的“SOC”


在Gartner《Hype Cycle for Security Operations, 2021》報告中指出,XDR是特定供應商的威脅檢測與事件響應工具,能夠將多個安全產品集成至統一安全運營系統,主要功能包括安全分析、告警關聯、事件響應和事件響應劇本自動化。


1.png


從Gartner提出的定義中,以下三大方面尤為重要:


1、特定供應商。由特定供應商提供能夠整合各種安全能力的XDR平臺,進行統一交付和統一維護,讓用戶得到簡單易用的一站式安全價值,進而達到最好的安全效果、最小的運維成本及交付成本。


2、統一安全運營系統:隨著安全產品種類日益繁多及安全設備數量龐大,用戶急需能夠統一管理各安全能力及統一采集、分析、響應的一體化、易操作的安全運營平臺,成為了XDR技術發展的驅動力。


3、事件響應劇本自動化:XDR除了傳統SIEM能力外,事件響應以及圍繞事件的自動化處置是其中必備的核心能力,響應提供處置能力以完成安全閉環,自動化編排則提供易用性和擴展性的基礎保障。


整合安全能力 協同大作戰


“能用眾力,則無敵于天下矣;能用眾智,則無畏于圣人矣”。面對當今繁復多變的網絡安全環境,不孤立地看待問題、分析問題、處理問題成為網絡安全供需雙方的共同認知。


一是孤立的安全數據急需深度聚合。打破安全數據孤島、全局分析防護環境的整體態勢、降低誤報漏報及提升告警質量,是面對當前復雜網絡環境的必要方式,也是網絡安全產業共識。


二是孤立的原子能力急需協同閉環。面對日益復雜的入侵過程和手段,需要打通識別、防御、檢測、響應、恢復的安全全過程,通過自動化、可擴展的方式提供“軍團級”的實戰化防御能力。


2.png


XDR系統總體是基于數據湖及其配套數據處理能力形成數據中臺?;谥信_構建面向日志/告警/情報的數據流和面向安全策略的指令流,同時結合面向安全場景的事件分析系統、工作流編排系統、API集成系統形成自動化安全協同防御體系。在落地實現時,以下幾項為關鍵環節:


1、在安全數據處理方面,面對大量安全節點報出的業務系統、終端設備等海量告警,XDR系統可自動完成降噪和分診的工作,大幅提高響應效率和自動化效能。


2、在威脅分析方面,XDR系統基于風險視角實現安全管理、基于海量告警實現復雜關聯分析、基于內外威脅情報實現識別、基于用戶實體實現異常發現,形成多維度、可持續的威脅評估和分析系統。


3、在自動化響應處置方面,XDR系統具備SOAR系統基于工作流的劇本編排能力,而不同于SOC/SIEM中的SOAR系統,XDR的劇本通常具有場景特性以構建專精的、可擴展的安全自動化劇本。


4、在部署和交付方面,XDR系統結合國內IT特點,同時支持云地兩種模式的交付方式,以面對不同業務特性、安全需求的環境,從而建設本土化、優質的XDR系統。


云是對象是載體也是助力


在云計算環境中,基礎設施能夠實現動態、彈性的組合和變化,物理邊界的打破也讓包括計算、網絡、存儲等的各資源能夠快速、靈活的彈性組裝,是打破安全孤島、實現網絡安全互聯互通互操作的典型技術場景。


從安全防護視角來看,一方面,彈性動態的虛擬化場景要求新的安全防護架構。面對云化場景時,傳統以IP或指紋為識別方式的防護模式不再適用,實體識別、行為辨析、異常關聯等技術需要進行相應調整,安全策略和響應決策也需要隨業務和虛擬化基礎設施的變化而變化,圍繞身份和信任、從持續自適應的角度實現新的安全架構。另一方面,彈性的基礎設施為安全能力協同提供便利。支撐安全服務提供性能、能力、資源的可持續擴展,快速的可迭代能力,也為安全服務的持續增值提供便利。


依托統一運營平臺,提供可持續增值的多維度安全服務是XDR技術的顯著特點?;趪庠诨A設施云化成熟度和SaaS服務提供能力,以云的方式進行交付是提高安全服務交付效率、提高安全能力持續性供給能力以及降低安全供應商成本的有效手段。


一方面,數字化轉型已成為持續性國家戰略,新基建、5G等新型場景的發展,要求網絡安全需要更多地考慮云場景的需求。


一是XDR技術需要對云場景下的業務進行適配和防護。XDR的各項安全能力、策略調度、分析手段需要進行云化設計和適配以應對云場景資產的動態變化、策略的動態遷移、信任邊界的打破等一系列特征帶來的挑戰。


二是XDR技術需要基于云化基礎設施進行云原生化設計。安全產品的云原生化設計指安全產品自身的設計需要充分考慮將云作為基礎設施來承載安全服務,通常需要考慮虛擬化環境下的適配和調優、可擴展插拔的貨架式架構、大規模數據中臺架構、原生多租戶/多云支持等一系列問題。


三是XDR技術需要充分利用云場景下的新特性全面提升安全服務能力。XDR技術無論用于解決云場景下安全問題還是用于地端安全問題,都可以充分利用云化基礎設施下的各種新特性以提高自身能力,如使用容器化、微服務化等能在云上充分發揮優勢的技術,又采用DevOps、DevSecOps、零信任、CARTA等研發和安全設計理念。


另一方面,由于我國基礎設施云化水平與國際存在差距,地端防護架構仍是主流防護場景。


一是XDR技術需要對地端場景提供防護。對新建設安全方案的企業來說,XDR技術能夠提供一站式的安全防護,大幅降低企業在安全解決方案上的建設難度;面向有條件的企業,XDR技術能夠通過云化交付的方式降低交付難度;對已有安全產品、需要統一安全管理的企業來說,XDR技術基于應用集成和安全編排技術,實現原有安全設備和服務的利舊,降低企業安全升級的成本。


二是XDR技術需要支持地端私有化部署。對無法提供云化部署或安全性敏感度較高的客戶,提供私有化部署的能力,運用一體化硬件或通用硬件軟件交付的方式,完成特殊場景的支持。在這樣的場景下,XDR產品的設計需要充分考慮產品的可升級性,保障安全能力和安全價值的持續提升。


面向未來無限可能的“X”


在Gartner新發布的《Market Guide for Extended Detection and Response》里,已經將XDR技術擴展至FWaaS、NDR、SWG、EDR、UEM、DLP等能力的綜合體,因此,XDR中的“X”代表著安全能力的持續性擴展,結合數據中臺技術、自動化編排技術及安全分析技術,形成面向多種甚至未知安全場景的綜合型安全解決方案。


如果說SOC已逐漸發展為一個由統一運營平臺整合,那么XDR則為通過統一運營系統、提供面向多維場景的變形金剛。XDR不應局限為EDR、NDR和MDR的集合,而更應該注重“X”,技術上提供面向未來的可能性,能力上面向用戶定制安全場景,圍繞安全運營,持續提供可升級可擴展的安全服務。


3.png


從技術上來說,實現X的一種技術路線是基于組裝式理念,從支撐平臺到業務平臺,實現貨架式設計。在XDR技術中,組裝式支撐平臺像搭積木一樣去構建平臺能力,建立一個彈性、靈活和敏捷的數據平臺,將各技術組件進行打包整合,實現數據技術與業務解耦、業務無感知的平臺支撐,提供配置式大數據業務開發環境。組裝式安全業務則可構建貨架式安全應用,基于與業務解耦的支撐平臺,建設可插拔和可擴展的安全業務,從而以網格化的方式提供各項安全服務,并聚合在統一的運營平臺中,提供一站式安全服務。


泰合盤古平臺 組裝式平臺的落地實踐


泰合盤古平臺是啟明星辰集團推出的第四代平臺底層架構,通過多領域、高強度的技術創新與項目實戰打磨,以全新架構提供高性能、高可用、更靈活、更安全的全面業務支撐。


基于對安全生態和安全協同重要性的考慮,平臺采用組裝式應用程序(Composable Applications)架構技術,將基礎架構、網絡安全、數據安全、云安全、IT應用等多領域的廠商緊密集成,借助安全數據中臺、AI智能分析、低代碼可視化、SOAR自動編排響應等技術,構建廣泛的網絡安全生態系統。


4.png


同時,平臺遵循系統科學思想,通過面向網絡安全互聯互通協同防御的需求進行安全體系的分析與規劃,基于深耕多年的海量項目對平臺孵化的多維產品進行持續的實戰打磨,構建科學、高適應和先進的平臺技術體系。


啟明星辰泰合盤古平臺具備靈活、可擴展特性,以盤古為堅實基座,基于組裝式應用程序框架技術、開箱即用的安全應用以及場景化的應用開發模式,形成響應快、高性能、可擴展、高靈活度、低成本以及具有彈性與韌性的產品解決方案,快速貼合用戶實際業務,提升安全價值數字化交付的敏捷性。


為了更有力支撐大型客戶安全需求的不斷演進、減少平臺更替導致的部署與維護成本,平臺將不同的安全產品深度集成,通過編排協同以創建動態安全環境,從而最大限度提高隨業務場景發展而持續發展和持續集成的安全業務擴展能力。通過提供智能構建體系,實現對新設施新要素和數字化新場景新業務的適配,基于業務牽引安全需求、安全需求牽引技術發展的方法論,形成快速、高效的安全支撐體系。


目前,啟明星辰泰合盤古平臺已經實現對XDR平臺、安全運營、云安全管理、SaaS安全服務、自動化安全編排等多種類安全能力的支撐,以網格化、組裝式的方式服務于大量行業落地實踐,堅持在實戰中打磨各項能力,持續支撐我國數字化建設進程。

上一篇 下一篇