什么是扩展检测与响应 (XDR)?
随着网络威胁的形势不断演变,XDR 的部署将大大缩短安全团队的调查和响应时间。但与任何新兴方法一样,人们对于 XDR 是什么、它与传统安全解决方案有何区别以及它能为用户带来怎样的安全防御能力还不是很清楚。继续阅读以了解更多信息。
XDR 的含义和定义
扩展检测与响应 (XDR) 是一种保护 IT 基础设施的多层安全技术。它通过从多个安全层(包括端点、应用程序、电子邮件、云端和网络)收集数据并将数据相互关联,帮助您加深对组织技术环境的了解,从而达到保护 IT 基础设施的目的。借助该解决方案,安全团队能够快速有效地检测、调查和应对网络威胁。
XDR 被视为端点检测与响应 (EDR) 的高级版本。两者的区别在于 EDR 侧重于端点,XDR 则更全面地保护多个安全控制点,借助深度分析和自动化来更快地检测出威胁。
现代网络威胁形势
网络安全形势正在迅速演变和扩大。在过去十年中,威胁检测与响应工具层出不穷,每一款工具都力求比最新的网络威胁领先一步。随着远程办公的兴起和越来越多的业务功能上云,检测与响应并非总是一项轻松的任务,尤其是考虑到随时随地都可能出现灾难性的漏洞。
在这种高风险的数字环境中,了解如何以统一的方式全面管理网络威胁至关重要。安全团队需要依靠更深入的集成和更高程度的自动化,在与犯罪分子的较量中抢占先机。
现代威胁形势有以下几个特征:
- 现在,恶意攻击者会将大量时间投入到前期情报收集中,以确定他们打算攻击的目标、攻击方式以及实施攻击的最佳时机。这种缜密的提前规划让攻击变得更加复杂,也更难捕获。
- 攻击者越来越多地选择相互协作,将不同的技能结合起来。例如,某个团队擅长取得初始访问权,因此可能与另一个专攻内网漫游的团队协作。然后,他们可能会将访问权出售给另一个专注开发勒索软件的团队,后者会窃取数据以实施勒索。这种形式的协作也增加了攻击的复杂性。
- 如今,网络攻击会蔓延到网络的许多领域,例如,它们可能通过网络钓鱼电子邮件或可被攻击的开放式 IP 首先锁定员工的工作站,但在快速映射网络后,攻击者可以侵入数据中心、云基础设施和运营技术 (OT) 网络。许多组织迈向数字化转型,远程办公也日益普遍,这意味着大多数企业的攻击面已经扩大。
- 攻击者越来越善于隐藏自己的活动。他们会根据攻击对象的响应措施来做出应对,隐藏自己的行为,即恶意使用合法工具来隐藏自己的行踪。
- 勒索手段变得更加复杂——包括窃取数据、DDoS、勒索软件,甚至还会牵涉到您的客户,要挟您支付赎金。
- 在一些组织里,网络中的安全基础设施是彼此独立的。如果独立的安全解决方案没有整合到一起,可能会引发过多缺失背景信息的警报,使安全团队不堪重负,也无法全面掌握整个攻击面的情况。
随着犯罪分子使用更先进的技术来利用传统安全控制措施存在的漏洞,组织可能难以为传统网络边界内外易受攻击的数字资产提供保护。向远程办公模式的转变也给安全团队带来了压力,资源也变得更加紧张。组织需要主动、统一的安全措施来保护其技术资产,包括传统端点、移动设备、网络和云工作负载,同时不会给员工和内部资源造成太大压力。
因此,更多的企业安全和风险管理领导者开始考量 XDR 安全解决方案的优势和生产力价值。
XDR 是如何运作的?
XDR 针对端点、网络和云端提供统一的可见性与控制措施,从而提高检测与响应能力,让安全效率得到进一步提升。
通过将来自独立安全解决方案的数据关联到一起,XDR 提升了威胁可见性,并减少了识别攻击和做出响应所需的时间。XDR 有助于通过单一控制台,针对多个域提供高级调查和威胁搜寻功能。
大体上,XDR 安全解决方案的运作方式分为三个方面:
- 数据收集:第一步是从端点、云工作负载、电子邮件、网络流量、虚拟容器等收集大量数据并对数据进行标准化处理。所有数据都进行匿名处理,仅包含用于识别潜在异常和威胁所需的元素。
- 检测:然后,重点是数据的分析和关联,使用高级人工智能 (AI) 和机器学习 (ML) 来自动检测隐蔽的威胁。
- 响应:接下来,按严重程度对威胁数据进行优先级排序,以便安全团队能够及时对新事件进行分析和分类,并自动完成调查和响应活动。响应过程应通过单一中心进行,包括相关数据、背景信息和工具。
XDR 技术将显示在最终攻击发起之前的过程顺序,有助于分析人员了解攻击者所采取的步骤。来自资产库中的信息让您能够更清楚地了解整个攻击链,例如与以下各项有关的漏洞:资产、资产所有者、业务角色和可从威胁情报中检测出的信誉。
由于安全团队通常每天都会收到大量警报,因此将分类流程自动化并为分析人员提供背景信息是管理这个过程的最好方式。XDR 让安全团队能够高效地利用时间,专注于可能造成最大损害的警报上。
企业为什么需要 XDR
XDR 将独立的安全工具协调起来,统一并简化分析、调查和响应。组织因此受益良多,例如:
合并有关威胁的信息:
XDR 安全解决方案在端点处结合网络和应用程序通信提供匿名数据。其中包括有关访问权限、访问的文件和正在使用的应用程序的信息。整个系统完全可见,让您能够更快地检测和阻止攻击。
提升威胁防范能力:
威胁情报和自适应机器学习为您提供集中配置和安全强化能力,指导您如何防范潜在攻击。
高效响应:
广泛的数据收集和分析使安全团队能够追踪攻击路径并重建攻击者行为,提高了识别攻击者的成功率。这些数据还提供了有价值的信息,有助于您加强防御。
加强控制能力:
能够阻止和允许列表流量与进程,确保只有经过批准的操作和用户才能进入您的系统。
提高生产力:
集中化管理减少了警报的数量,提高了警报的准确性,因此要筛选的误报更少。由于 XDR 是统一的平台,而不是多点解决方案的组合,因此更易于管理,同时也减少了安全团队在响应过程中必须接入的接口数量。
遭遇攻击后恢复主机:
XDR 可以删除恶意文件和注册表项,以及参照修复建议来恢复损坏的文件和注册表项,从而帮助安全团队迅速从攻击中恢复。
XDR 用例示例
XDR 技术可帮助您履行各项网络安全职责。它的具体应用将取决于组织的需求和安全团队的成熟度。常见用途包括:
分类:
XDR 可以用作聚合数据、监控系统、检测事件和向安全团队发出警报的主要工具。
调查:
组织可以将 XDR 解决方案作为事件信息的存储库。他们可以将这些信息与威胁情报结合起来,用于调查事件,确定响应措施,并为安全人员提供培训。
威胁搜寻:
XDR 解决方案收集的数据可用作执行威胁搜寻操作的基准。反过来,在威胁搜寻操作中使用和收集的数据可用于创建新的威胁情报,从而加强安全协议和系统。
XDR 有哪些优势?
扩展检测与响应将多个安全工具整合到一个协调统一的安全事件检测与响应平台中,为用户创造更大价值。XDR 的主要优势包括:
- 将大量警报合并成数量更少的事件,可对事件进行优先级排序,以进行手动调查
- 提供综合事件响应方案,让您能够借助充分的背景信息,快速对警报做出响应
- 提供超越基础设施控制点(包括网络、云端和端点)的响应方案,实现全面保护
- 自动完成重复任务以提高生产力
- 针对各个安全组件提供统一的管理和工作流体验,达到提高效率的目的
从本质上看,主要优势在于提高保护、检测和响应能力,提升运营安全人员的生产力,同时降低有效的安全威胁检测与响应所涉及的总体拥有成本。
XDR 解决方案中应关注的方面
XDR 解决方案中应关注的关键特征包括:
不受控制措施的影响:
能够与多种技术相集成,不依赖某个供应商。
基于机器的相关性和检测:
有助于及时分析大型数据集并减少误报数量。
预建数据模型:
集成威胁情报并实现自动检测和响应,无需软件工程师进行编程或创建规则。
生产集成:
XDR 解决方案不是要代替安全信息与事件管理 (SIEM) 解决方案、安全编排与响应 (SOAR) 技术以及用例管理工具,而是应当与它们集成,帮助组织实现投资回报最大化。
与安全验证集成:
当 XDR 和安全验证结合使用时,安全团队能够更清楚地了解安全堆栈的执行情况、漏洞所在的位置以及需要采取哪些措施来弥合性能上的差距。
XDR 与其他检测与响应技术的对比
XDR 不同于其他安全工具,它能够将多个来源的数据集中到一起、进行标准化处理并且相互关联,以提供全面的可见性并检测出高级威胁。
通过从多个来源收集数据并进行分析,XDR 技术可以更好地验证警报,从而减少误报并提高可靠性。这不仅为安全团队节省了时间,并且实现了更快、自动化程度更高的响应。
XDR 不同于 EDR。EDR 系统侧重于所有端点的当前活动,使用先进的机器学习来理解这些活动并做出特定响应,同时借助自动化操作在必要时采取快速行动,从而帮助组织有效应对威胁。
XDR 系统在这一原则的基础上将非端点数据流(如网络、电子邮件、云工作负载、应用程序、设备、身份、数据资产、物联网以及其他可能的数据流)相整合。这些额外元素帮助您发现更多的威胁、漏洞和攻击,并且更有效地做出响应,为包括端点在内的更广泛的基础设施提供保护。XDR 还有助于您更深入地了解正在发生的事情。
一些组织试图将 EDR 与安全信息与事件管理 (SIEM) 解决方案结合使用,从而有效应对网络威胁。两者的区别在于 SIEM 解决方案从多个来源收集浅层数据,而 XDR 则是从目标来源收集更深入的数据。因此,XDR 能够为事件提供更丰富的背景信息,让您无需手动调整或整合数据。XDR 解决方案自带警报来源,因此不必像 SIEM 监控警报那样需要集成和维护工作。
最后,威胁在组织网络中存在的时间越长,攻击者成功破坏系统和窃取重要数据的可能性就越大。因此必须尽快采取行动,应对任何感知到的威胁,这一点至关重要。安全团队需要通过更好的方式来了解何时出现威胁,以及如何在攻击出现时更快速地检测和消除威胁,从而最大程度地减少潜在损失。而这就是 XDR 最终攻克的挑战。
有关 XDR 的常见问题
有关 XDR 安全解决方案、XDR 技术和 XDR 网络安全解决方案的常见问题包括:
什么是 XDR?
XDR,即扩展检测与响应,指的是一种监控和缓解网络安全威胁的技术。XDR 针对多个安全层(包括端点、网络和云数据)收集数据并将这些数据自动关联起来,从而加快威胁检测,更快做出更精准的响应。
XDR 是如何运作的?
XDR 主动检测威胁并做出响应。通过提供所有数据的可见性,并借助分析和自动化技术,XDR 可以有效应对当今的网络安全威胁。XDR 收集电子邮件、端点、服务器、云工作负载和网络的警报,然后分析这些数据以识别威胁。之后,XDR 对威胁进行优先级排序、搜寻和补救,以防范安全漏洞。
XDR 和 EDR 有什么区别?
端点检测与响应 (EDR) 侧重于持续监控和威胁检测以及自动响应。然而,它的局限性在于仅在端点层面上执行这些功能。相比而言,XDR 与 EDR 的侧重点是相同的,但 XDR 将其扩展到端点之外,涵盖云工作负载、应用程序、用户身份以及整个网络本身。
相关产品:
延伸阅读:
什么是扩展检测与响应 (XDR)?
Kaspersky
