青藤云安全 青藤云安全：XDR是安全运营的最佳解决方案吗？

XDR是Gartner今年的顶级安全和风险管理趋势报告中提到的第一项技术和解决方案。在趋势代表炒作周期中，XDR是两个关键炒作周期中提到的关键技术。

图1:2020年终端安全成熟度曲线

图2:2020年安全运营成熟度曲线

与此同时，国外厂商也在不断推广自己的XDR解决方案，包括帕洛阿尔托网络、趋势科技、思科、迈克菲等。

此外，高德纳在线峰会(Summit on Gartner Online)今年的主题演讲《安全与风险管理的主要趋势》中的八个趋势中，第一个是XDR，它作为SIEM和SOAR的替代产品出现在主流市场。

图3:在安全和风险管理的主要趋势中引入的主要趋势

1.XDR进化路线及其定义

XDR是一项新技术。它的进化路线是什么？说到XDR，首先要提到EDR的发展道路。

图4:4:EDR的发展道路

首先，EDR诞生于传统安全产品EPP，最终增强了终端在机器学习、行为分析和威胁搜索领域的安全能力。EDR之前的核心竞争力在于杀毒能力。加入机器学习后成为高级杀毒能力，之后成为EDR，专注于检测和响应能力。未来将发展成反应能力的自动化，包括威胁情报和SOAR对接。

图5:终端保护工具的演变

其核心竞争力金字塔类似于CWPP。可以看出，EDR专注于行为分析、异常检测和响应以及威胁搜索。底层功能在传统EPP的范围内，包括杀毒、内存保护、应用控制等功能。

图6:终端控制措施金字塔

从名称演变和厂商解决方案来看，XDR与EDR关系最密切，终端型安全产品也是事件响应中最重要的产品。但是XDR是基于解决方案的产品，在安全操作系统中加入了一些具有实用安全价值的产品，提高了整体的检测和响应效率。

高德纳对XDR的定义是:SaaS式安全威胁检测与应对平台，集成大量产品，统一相关许可费用。具体的产品功能因制造商而异。XDR产品有三大价值:1。直接集成开箱即用的安全产品；2.安全数据有统一的规范化和集中化，便于分析和查询；3.由于各种产品的配合和协调，可以提高检测的灵敏度；4.多产品联动处理改变单个产品的响应过程。XDR产品的最小集合需要威胁情报的不断更新和数据的规范化和集中化，以便进行分析和关联。标准化解决方案需要SaaS存储、图形数据库支持和分析，以及相关安全产品的集成，包括EDR、防火墙、SEG、CASB、CWPP等。

如下图所示，XDR的概念架构主要侧重于终端客户的保护形式，但也可以用于数据中心保护，IAM或SASE保护。从下图可以看出，终端客户的保护需要一些顶级的安全产品，然后是数据规范化、数据湖，然后是数据关联，从而形成事件响应、自动化、工作流、API的相关价值。当然，在数据中心、身份安全和SD-WAN场景中也可以使用类似的架构，以确保其特殊场景的安全性。

图7: XDR概念架构

二、XDR的价值和风险

说到XDR的价值，最直接的有两个:一是提高安全运营的效率和价值，增强检测和响应能力，整合多种安全产品，进行统一的安全认识；二是降低安全操作的复杂度。统一的解决方案可以在统一的产品界面中解决安全问题，而不需要对每个产品进行单独的对接调整，从而降低对接成本和安全运营的使用成本。

说到这个价值，自然会想到SIEM产品。两者有什么区别？XDR和SIEM最大的区别在于集成模式的部署和目的。XDR可能会为相关安全产品的直接集成带来统一的接口，而SIEM需要一些单点产品与之进行定制对接。XDR更注重威胁的检测和响应，SIEM更注重告警的集中处理和存储以及合规性的考虑。

XDR厂商会有相关的安全研究团队，对每一项安全攻防技术和产品检测进行深入研究。然后集成相关的安全产品来解决这些安全问题，这些产品可以由SaaS交付，甚至可以使用云原生架构。但目前XDR解决方案都是由一家安全厂商提供的，一般都是产品线比较长的厂商，从中选择具有相对安全运营价值的安全产品组成整体解决方案，包括思科、富通、迈克菲、微软、帕洛阿尔托网络、趋势科技、Sophos、FireEye、赛门铁克。

对于每一个厂商来说，实现XDR解决方案的宣称价值都是一个巨大的挑战。所以当客户自己对接的时候，比如用SIEM对接安防产品的每一个单点，也会出现更大的问题，比如和各个厂商的协调沟通。因为每个厂商对其他厂商的产品都不熟悉，所以很难做相关性分析和联动。鉴于数据匮乏，对数据缺乏了解，没有规范化，不同产品的数据库不一致，很难打通不同厂商的不同产品，甚至一家厂商都有挑战。因此，仍然很难构建有效的XDR解决方案。

此外，对于企业来说，安全运营始终面临以下两个方面的挑战:一是员工的招聘、培训和留用；另一个是安全操作系统在威胁检测和响应方面的效率。同时，这两个问题交织在一起，难以解决。

XDR的核心优势体现在三个方面:1。提高保护、检测和响应能力；2.提高安全操作人员的效率；3.降低总体拥有成本，实现有效的检测和响应能力。

在提高保护、检测和响应能力方面，可以使用共享威胁情报链接来检测每个安全组件，如网络和终端安全组件；一些低级报警也可以组合成高级事件；同时通过相关性分析和自动报警确认找到报警；对警告进行分类和分级。

在提高员工生产力方面，大量的报警可以转化为少量需要人工调查处理的事件；提供所有安全组件的能力，使安全调查更快、更方便；提供更多的响应方式，包括网络和终端；重复性工作可以实现自动化；可以减少一级人员的培训，只需要相关的工作流程和管理流程；提供一种不需要太多调整的相对高质量的检测方法。

XDR解决方案本身的特性决定了该产品的开箱即用特性，所以客户一般只关心能否实现实际价值，不需要考虑交付时对接SIEM产品等各种安全产品，然后再考虑整体用例的设计和关联分析的深度。

一般来说，证券市场选择的是各个子板块中最好的证券产品，而不是选择这种解决方案型的套餐。当一个证券产品成熟时，市场上证券产品的领导者将成为这个市场的定义者。随着安全行业的发展，基础设施产品趋于成熟，一些厂商已经有了相关的产品组合，集成这些安全产品已经成为理所当然的事情。同时，使用大数据和机器学习可以提高安全能力。

购买每个品类中最好的产品的想法会导致安全产品过多，而集成和联动很少。安全警报太多，往往无人值守，也没有人经常调整策略或测试其有效性，升级普遍滞后。传统企业的结合在于SIEM，而SIEM的优势在于收集日志，但很少提高检测的效率和真实性，很少使用相关安全产品的上下文分析和关联分析。因此，企业很难开发出集成异构环境的SIEM用例和深度丰富的产品。