數(shù)字化發(fā)展進(jìn)程不斷提速,為廣大企業(yè)與用戶提供了便利,也帶來難以預(yù)見的風(fēng)險。
從云計算到移動互聯(lián)網(wǎng),再到元宇宙,隨著物理世界和虛擬世界的邊界越來越模糊,安全的邊界也變得無限寬廣。數(shù)字化為企業(yè)提供了大量價值,但也將更多的數(shù)字資產(chǎn)暴露在網(wǎng)絡(luò)空間。在黑產(chǎn)日益猖獗的今天,黑客有了更多的武器向企業(yè)發(fā)起攻擊,網(wǎng)絡(luò)安全威脅態(tài)勢日益嚴(yán)峻,威脅數(shù)量日益激增,新型變種屢次襲來。隨著受創(chuàng)面增大,企業(yè)常常買了一堆設(shè)備,梳理了一系列流程,依然無濟(jì)于事,安全防護(hù)效果長久成為企業(yè)的“心病”。
如何主動為可能的風(fēng)險做好準(zhǔn)備,是很多企業(yè)需要積極應(yīng)對的功課。
2020年Gartner發(fā)布的《Top?Security?and?Risk?Management?Trends》報告中,提到的第一項技術(shù)趨勢XDR,正為上述問題提供了一種新的思路。
根據(jù)Gartner的定義,XDR是指特定供應(yīng)商提供的威脅檢測和事件響應(yīng)工具,這種工具統(tǒng)一將多個安全產(chǎn)品整合在一個安全操作系統(tǒng)里。因此,XDR大幅度簡化了企業(yè)對安全威脅的發(fā)現(xiàn)和處置流程,并從全局化的視角,助力解決企業(yè)整體安全運營的難題。
企業(yè)為什么需要XDR?
事實上,當(dāng)前企業(yè)所面臨的安全現(xiàn)狀遠(yuǎn)比想象更差。
例如,在2021年的一次攻防演練中,某頭部大型企業(yè)系統(tǒng)屢屢被攻破。盤點后發(fā)現(xiàn),該企業(yè)的整體安全體系很低效,盡管購買了一堆設(shè)備,很多處置工作仍然需要眾多人力完成,并且缺乏快速識別入侵的具體情況和來源,以及精準(zhǔn)響應(yīng)安全事件的能力。
這反映的也是當(dāng)下外部安全態(tài)勢的一個典型特征:黑客技戰(zhàn)術(shù)手法不斷升級,從利用系統(tǒng)與應(yīng)用漏洞的攻擊,轉(zhuǎn)向無明顯攻擊特征、隱蔽的攻擊,如加密通訊、隱蔽隧道、私有協(xié)議等。
這些新型的攻擊方式,導(dǎo)致很多企業(yè)“中招”很久都不自知。據(jù)統(tǒng)計,入侵平均識別時間為207天,而傳統(tǒng)安全防護(hù)相對“靜默”的方式,讓企業(yè)對安全威脅的感知越來越弱,隨之風(fēng)險也越來越大。
除了外部因素,企業(yè)不斷走向數(shù)字化轉(zhuǎn)型,業(yè)務(wù)復(fù)雜性不斷提升,也為傳統(tǒng)的安全防護(hù)體系帶來了巨大考驗。混合IT、移動辦公、多云架構(gòu)、混合云的應(yīng)用,每一次新技術(shù)的采用、新架構(gòu)的部署,都會讓企業(yè)發(fā)現(xiàn)威脅、處置威脅的難度變得更大。
這個問題并非偶然現(xiàn)象,也不禁讓人思考:不論是頭部大型企業(yè),還是中小企業(yè),到底如何全面提升安全效果?
新技術(shù)的誕生是源于過去解決不好的問題,這是為什么XDR技術(shù)被寄予厚望的原因。而回到檢測響應(yīng)技術(shù)本身,XDR也絕非業(yè)界獨有的技術(shù)流派。在此之前,也有EDR和NDR這些技術(shù)出現(xiàn),但這兩項技術(shù),僅能分別針對終端和網(wǎng)絡(luò)去做事件告警,無法生成完整的攻擊故事線,也就無法精準(zhǔn)響應(yīng)的安全事件。這讓更具備全局視角的XDR成為了企業(yè)安全攻防的必選項。
XDR“真假美猴王”,企業(yè)如何辨別?
正因為XDR逐漸受到企業(yè)的認(rèn)可,熱度不斷提升,因此,在最近幾年,主流的安全廠商,都開始布局XDR的產(chǎn)品線,市場上層出不窮的XDR也出現(xiàn)了真假難辨,很多EDR或者NDR的產(chǎn)品包裝之后,紛紛打上了XDR的標(biāo)簽,對用戶來說,就有點像真假美猴王一樣,讓企業(yè)無從選擇。
那么,從用戶的視角,要如何分辨哪些產(chǎn)品才是真正的XDR?
第一,真正的XDR一定是網(wǎng)端一手遙測數(shù)據(jù)的深度聚合分析,并針對分析結(jié)果做研判和處置。所以首先要具備數(shù)據(jù)采集的完備性,以及對豐富數(shù)據(jù)源擴展不同的數(shù)據(jù)的嚴(yán)謹(jǐn)性。
我們知道,大量數(shù)據(jù)的處理會帶來功能上帶來巨量的資源消耗,如果不能對數(shù)據(jù)采集和傳輸做預(yù)處理,并保證數(shù)據(jù)的完整又安全,就會大幅提高數(shù)據(jù)傳輸和處理的壓力。國內(nèi)的很多所謂的XDR產(chǎn)品都有這個問題,因為資源占用率高到影響業(yè)務(wù)效率,因此普遍難以落地。
這就要求安全廠商能夠基于構(gòu)建的安全產(chǎn)品聯(lián)動能力體系,整合網(wǎng)端能力,通過多級過濾引擎,對數(shù)據(jù)做預(yù)處理和壓縮,通過智能化過濾,占用資源更少,通過一手遙測數(shù)據(jù)采集,并進(jìn)行聚合分析,能夠?qū)崿F(xiàn)大幅度告警削減。
第二,真正的XDR需要具備可持續(xù)的生長能力。
其實對企業(yè)來說,EDR和態(tài)勢感知的產(chǎn)品能力都是安全建設(shè)重要的組成部分。只是過去有很多安全產(chǎn)品,只能做單點檢測而缺乏產(chǎn)品之間的聯(lián)動。
由此,XDR需要具備可擴展的接口開放性,能夠協(xié)同態(tài)勢感知、EDR、SOAR等產(chǎn)品,化繁為簡,帶來持續(xù)生長的安全效果體驗。基于XDR平臺,還可以為廣大用戶提供輕量級安全運營中心方案。
第三,沒有絕對的安全,再高超的技術(shù)也不能完全替代人。因此XDR需要和專家團(tuán)隊的服務(wù)并行,才可以協(xié)同解決更多的問題,托管檢測響應(yīng)服務(wù)MDR應(yīng)運而生。
Gartner指出:“MDR服務(wù)結(jié)合先進(jìn)的分析、威脅情報和人力專長,提供全天候的威脅監(jiān)測、檢測和響應(yīng)……可以快速降低人員、流程和技術(shù)的正確組合的復(fù)雜性,提高效率。”MDR服務(wù)將實現(xiàn)云地協(xié)同7X24小時在線,持續(xù)監(jiān)測威脅和事件,從監(jiān)測、判斷、調(diào)查到處置,服務(wù)專家實時處置閉環(huán),定期匯總成果和分析安全趨勢,減輕運維人員日常工作壓力,讓安全工作省力省心。
客觀地說,XDR也需要有對業(yè)務(wù)場景的理解,是輔助用戶處置安全威脅的工具,用戶選擇XDR不止是選擇一個方案,更選擇了一個價值和服務(wù)。
回過頭來看深信服近期推出的XDR平臺,似乎也在極力朝著以上描述的幾個能力展示著強大的實力。
深信服 SaaS XDR 如何將價值帶給用戶
作為業(yè)界公認(rèn)的技術(shù)發(fā)展方向,XDR并不是解決所有問題的“萬能鑰匙”,也是需要用戶結(jié)合自身能力現(xiàn)狀和當(dāng)前業(yè)務(wù)存在的問題,來共同尋求答案的。深信服深知,唯有與用戶的實際業(yè)務(wù)相結(jié)合,才能讓XDR的價值發(fā)揮得更為出眾。
解決企業(yè)當(dāng)下安全攻防面臨的所有的問題,要站在用戶的視角上,不僅要發(fā)揮XDR的技術(shù)價值,也要考慮XDR在用戶現(xiàn)場部署的便捷性,以及用戶使用成本問題。因此,輕量化、易落地和高性價比的SaaS XDR 明顯是企業(yè)當(dāng)下最需要的。
以深信服SaaS XDR為例,能夠給客戶帶來哪些實際的價值?
通常企業(yè)IT常年要應(yīng)付復(fù)雜的系統(tǒng)運維,他們主觀上不太愿意接受頻繁的軟硬件搭建,深信服則采取“開箱即用”的高效交付模式,在用戶的本地只需部署相關(guān)采集設(shè)備和防護(hù)組件,與SaaS XDR平臺對接,即可完成安全運營方案交付和使用,免去了用戶對復(fù)雜交付的擔(dān)憂。SaaS化交付解決了安全設(shè)備一次性投入成本高、版本更新難、可擴展性差等問題。
同時,要保證交付后的服務(wù)能夠與時俱進(jìn),高效迭代,通常這都是企業(yè)IT部門的工作。而深信服的SaaS XDR通過海量實時安全數(shù)據(jù),結(jié)合威脅情報和專家研究,不斷構(gòu)建最新的檢測算法和模型,持續(xù)增強檢測精度。
另外,要確保安全事件處置的準(zhǔn)確率,就需要加入人工專家的力量,對于一般企業(yè)而言,這也代表了運營成本的增加。那么,深信服SaaS XDR可將自動生成的所有安全事件,經(jīng)過云端專家做二次分析研判,確保安全事件99.9%準(zhǔn)確率,用戶僅需進(jìn)行簡單處置,不用再擔(dān)心誤報漏報問題,進(jìn)一步釋放運營壓力。
除此之外,用戶還可以綁定微信訂閱服務(wù),及時查看安全事件詳情,并可一鍵處置,快速下發(fā)隔離、查殺等指令,實現(xiàn)整個運營過程的輕便、簡單、高效。
安全威脅就像是懸在企業(yè)頭頂上的利劍,XDR作為一個新生事物,還需要企業(yè)慢慢建立起正確的認(rèn)知,深信服愿意成為一個引領(lǐng)者,比如通過科普視頻內(nèi)容傳遞XDR的理念。深信服也從中立的視角,告訴用戶XDR的技術(shù)可以幫助其解決什么問題,分辨真正的XDR應(yīng)該是什么樣的,什么才是適合用戶的產(chǎn)品,讓用戶少走彎路。
很多企業(yè)常會陷入復(fù)雜的網(wǎng)絡(luò)攻防當(dāng)中,將寶貴的時間耗費在安全事件檢測和無休止的查缺補漏中,深信服作為XDR的引領(lǐng)者,正完美演繹著“將簡單留給用戶,將復(fù)雜留給自己”。
首頁
