XDR技术及行业发展研究报告 www.sangfor.com.cn C目ON录TENTS XDR概述01 XDR发展背景01 XDR的概念03 XDR与防御体系建设05 XDR国内外发展现状06 XDR关键技术09 全面遥测数据采集10 自动化威胁狩猎11 自动化响应12 XDR核心价值15 应对潜伏威胁15 根除攻击影响17 多维安全视野19 攻击可视化20 发展问题及建议21 平衡效率与隐私,逐步接受SaaS21 关注AI+安全,提升行业生产力22 建立互通标准,推动生态建设23 01 XDR概述 XDROVERVIEW XDR发展背景 网络安全监测、预警、响应、处置是网络安全防护工作的重点。近年来,国家高度重视网络安全工作,先后发布了多项网络安全战略政策。《国家网络空间安全战略》明确指出需要建立完善国家网络安全技术支撑体系,完善网络安全监测预警和网络安全重大事件应急处置机制。《网络安全法》则提出了“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏”的要求。 加强网络安全信息统筹机制、手段、平台建设,是提升网络安全事件应急指挥能力的有效途径。当前全球网络空间威胁水平不断提升,网络攻防对抗技术快速发展,网络安全防御存在着技术落后,甚至是失效等风险。在这种趋势下,业界普遍认为,拥有全局化、体系化的安全视角,掌握复杂的安全态势,是应对各类复杂网络攻击一种有效思路。在这种的理念驱使下,采用统一平台化构建的、拥有多维聚合检测和响应处置一体化能力产品方案则成为了一种业务共识。这也为之后XDR理念的提出和发展,奠定了重要基础。 XDR(ExtendedDetectionandResponse)最早由网络安全公司PaloAltoNetworks的首席技术官NirZuk在2018年提出,之后被业界广泛接受。在最新发布的《2022Gartner安全运营技术成熟度曲线(HypeCycle)》报告中,XDR登顶,被评为“安全运营体系中最炙手可热的技术之一”。各类的网络安全厂商都在考虑向XDR技术转型,包括:绝大多数EDR厂商,主流的SIEM、MSS、NDR厂商等。 XDR理念是网络安全行业在近十年的网络威胁事件应对中,通过不断反思和探索而逐渐形成的。XDR能够得到爆发式发展,并不是因为PaloAltoNetworks公司或者NirZuk个人的影响力,而是网络空间安全的威胁态势、防御技术发展水平、数字化转型需求三方面因素共同作用的结果。 使整个行业认识到既有的被动防御难以应对当前面临的挑战,大多数情况下企业要么已经被攻陷,要么在被 重新定义检测:2012-2013年,多起APT事件被披露,展现出对各种高等级防护目标突破的普遍可能性, 攻陷的路上,这就需要在传统IPS、AV等特征检测防御的基础上,构建新的主动检测能力,以发现高级的、 隐蔽的渗透攻击行为。 发现响应价值:2015年美国知名百货公司Target数亿用户隐私被窃事件,多种检测机制均产生了警报,但 事件却没有被及时处理,这件事引起了美国政府和安全企业的高度重视和深刻反思。由此认识到除了构建新 的检测能力外,为及时控制、清除已经在内部建立立足点的攻击者,还需要进一步完善事件响应能力,以保 障在攻击者完成最后的破坏、偷盗行为前进行有效地阻止。 构建统一平台:随着主动检测和事件响应相关技术和产品的发展,市场上出现了非常多种类的相关产品,如: NDR、EDR、SOAR、UEBA、SIR、NTA等等,因为细分的产品太多,以致于在一个安全事件闭环运营过程中,可能 会涉及10个以上的安全工具或产品,这种情况不但效率低下,也难以通过相互独立的产品看到攻击的全景。 2021年2月,CrowdStrike的CEOGeorgeKurtz就SolarWinds事件在美国参议院情报委员会作证,就强调 XDR是跟上当今对手复杂性的关键创新:“长期以来,行业参与者一直专注于狭隘的解决方案。网络上的任何 盒子或单一用途的软件都无法覆盖全部范围。安全团队需要跨越整个环境的上下文和可见性,包括在云和临时 环境中。XDR旨在通过在企业内部任何地方获得可见性和可操作性,从而将混乱的安全工具阵列变得井然有 序。正如本委员会所理解的那样,XDR可能不仅仅是从信息过载中生成情报。”1 如果威胁对抗的过程造就了XDR的大趋势,那么检测、响应技术的发展则是XDR形成的现实基础。威胁狩猎从早期阶段高度依赖安全分析师,已经发展成为绝大部分工作都可以依赖AI智能完成;随着SIR、TIP、SOAR的逐步整合,自动化的事件分类/分级、自动化响应也逐步成熟起来;而EDR产品、MDR服务在多个场景下的成功,也使得行业对如何完成平台的整合开发、交付和运营积累了足够的经验。这个时间点上XDR成了水到渠成的自然之选。 同时数字化转型形成的迫切性,进一步推进了XDR的加速发展。随着近年数字化转型日益深化,越来越多的企业网络中分布了大量的关键业务资产(数据、应用、服务、设备等),这些资产对企业的发展至关重要,也使得攻击者更觉得有利可图,因此定向攻击已经从之前相对狭窄的国家APT对抗发展到更广大的网络犯罪领域,而和数字化相关的企业都有可能成为受害者,其中最典型的就是勒索软件,这几年不但越来越多的勒索攻击具备了定向攻击的特定,同时也从单纯的以数据加密为勒索手段,转化为加密勒索、泄露数据勒索、向竞争对手或投资者暴露攻击机密等多重勒索的方式。同时对工业网络和IoT网络的攻击时有发生,这种攻击可能对整个社会的正常生产、生活造成巨大影响,市场迫切需要可以及时发现各种高水平攻击并实时响应、遏制的产品,因此XDR的解决方案受到广泛关注。 1https://www.intelligence.senate.gov/sites/default/files/documents/os-gkurtz-022321.pdf XDR的概念 不同的安全厂商,往往存在对XDR的不同理解,即使是权威的咨询机构,对XDR的定义也有很大的不同: Gartner的定义:“一种基于SaaS的,由特定供应商提供的安全威胁检测和事件响应工具,可将多种安全 产品集成到一个聚合的安全操作系统中”; ForresterResearch的定义“:EDR的演进,优化了威胁检测、调查、响应和狩猎。XDR将与安全相关的端点检 测、与来自安全和业务工具(如网络分析和可见性NAV、电子邮件安全、身份和访问管理、云安全等)的遥测数据 统一起来。它是一个基于大数据基础架构构建的云原生平台,可为安全团队提供灵活性、可扩展性和自动化”。 虽然定义有所不同,我们也可以看到它们对XDR的认知是有共同点的。2021年8月,曾经Gartner的研究VP,当前Googlecloud安全战略负责人AntonChuvakin发起了一个调研,最终总结了几点业界对XDR的共识。2综合这些信息,可以认为XDR具备以下两个基本特征: XDR最佳效果是基于云原生的 XDR的检测能力需要较全面地覆盖已知黑客攻击技战术,同时需要针对新出现的攻击技战术快速开发对应的 检测模型&算法,以及相关的调查、响应、狩猎功能。因此当前较完善的XDR产品均是基于云原生SaaS化 提供的,可以基于集中的专家、算力和遥测数据和情报资源,更快、更好地快速迭代产品,可以认为云原生 是XDR快速发展的必要条件。即使一个本地化部署的XDR平台,也需要基于云端的持续运营来提供快速的 更新。通过云原生提升安全对抗效率,一个典型的案例就是在2021年Log4j2漏洞爆发时,CrowdStrike基 于其云原生架构,在漏洞披露24小时内就提供了检测、处置和修复的完整能力,并且在数天内提供了专项 的Dashboard,这种速度对于单纯依赖本地化平台的产品是难以想象的。34在用户不同需求场景中,本地化 XDR也有其存在的必要性,不能完全被SaaS化所取代,但想要达到XDR最佳效果,充分发挥其价值,基于 云原生的XDR是最佳实践。 2https://medium.com/anton-on-security/anton-and-the-great-xdr-debate-part-1-8ed148c3cee4 3https://www.crowdstrike.com/log4j2/ 4https://www.crowdstrike.com/blog/how-to-baseline-and-hunt-log4shell-with-the-crowdstrike-falcon-platform/ XDR覆盖检测和响应 XDR顾名思义包括检测和响应能力,集成全面、完善的检测技术在行业内没有争议,但在响应技术上还有不 同的认识。 全面、完善的检测技术,即需要包括: •传统的特征检测(攻击特征、漏洞特征); •启发式检测; •基于行为的检测(IOA); •最重要的提供各种威胁狩猎能力,包括被动、主动和自动化不同的方式。 在响应技术上的争议,主要因为其存在的两个特殊点:其一响应动作有影响数字业务的可能性,越重要的业务越需要企业自身业务人员的确认;另一个则是当前的响应自动化集中在遏制上,对清除、加固还需要更多的人工介入。但即便如此,XDR依然需要在整个事件响应的过程中,提供更多自动化的机制来保障响应的及时性,同时对攻击的遏制、清除、加固提供必要的专业指引。通过自动化和专业知识的赋能,XDR保障安全运营过程中提供最快速的MTTR(MeanTimeToResponse,平均响应时间)。 XDR与其他类似安全解决方案的差异: 与SOC(SecurityOperationsCenter,安全运营中心)的差异 传统SOC方案以信息资产为核心,通过对各种安全设备、网络设备、应用和系统的日志、告警进行监控和分析,能 够提高安全运营人员响应、处置、溯源的效率。现在较为先进的SOC选择围绕数据和情报,结合AI或自动化工具 来对抗威胁与攻击。多年来看SOC在国内的落地遭遇重重挑战,原因除了价格高昂、组织缺乏专业运营人员之外, SOC方案集成了从资产到数据,从安全到组织能力的众多功能,也使系统越来越繁重,同样在一定程度上限制了 它的发展。XDR具备聚合分析流量和端点一手数据的能力,以及微剧本半自动化响应事件,结合MDR的及时支撑, 可以作为SOC方案的底座,是当前SOC现代化改造的重要组成部分。 与SIEM(SecurityInformationandEventManagement,安全信息和事件管理)的差异 XDR可以认为是SIEM在检测和响应领域的一个更深入、完善的实现。一直以来全面的安全可见性需要依赖SIEM 产品,是多数人的自然想法,因为一直以来SIEM就是所有安全数据汇集、分析、统计、呈现的中心。但SIEM在高 级威胁检测上一直在努力,而EDR产品的异军突起,使行业认清了一个之前的误区⸺错误地认为安全数据收集 和分析可以分开进行,实际情况是只有想清楚怎么分析使用才能有效收集数据,如果对分析场景没有深刻的认知, 那数据也难以充分发挥价值。因此XDR就是先集中精力在检测和响应场景,这已经是一个非常广阔的领域了,只 有随着XDR的日渐成熟,安全运营的其它能力才可能囊括进来。在SOAR上也是同样的道理,做一个编排和自动 化引擎也许不难,难的是需要提供资产、漏洞、检测、响应、情报等各个领域专用知识和最佳实践,以形成剧本。因此 XDR虽然使用了SOAR相关的技术,但它聚焦在检测、响应领域。 与态势感知的差异 从NDR演进而来的态势感知,更关注通过大数据、机器学习算法等技术,加深对于安全趋势的预测,侧重点在安全 告警的聚合、安全态势的建模。而且由于态势感知的数据大多都来自NDR设备,只有网络侧的数据输入形成聚合 分析,容易造成海量告警难以处置的困境,同时态势感知往往不具备拦截功能,在实战攻防对抗场景,XDR的响应 处置、联动封锁的功能,可以使安全事件的影响