從Gartner《2021安全和風險管理趨勢》看XDR的發展
責編:gltian |2021-04-30 15:13:19前言
近日,知名信息技術研究和顧問公司Gartner發布了最新一期的2021安全和風險管理趨勢報告,綜述了2021信息技術行業的八大安全和風險管理趨勢。
其中,第一點提到了“網絡安全網格”技術:
網絡安全網格是一種可以在最需要的地方部署控制措施的現代化安全方法。網絡安全網格不是讓每一個安全工具在“孤島”中運行,而是通過提供基礎安全服務以及集中策略管理和協調,使各工具之間實現互操作性。現在許多IT資產都在傳統企業邊界之外,而網絡安全網格架構使企業機構能夠將安全控制措施擴展到分布式資產。
相比2020年的趨勢報告,同樣是第一點 ——?“XDR提高準確性和生產力”:
擴展型檢測和響應(XDR)解決方案如今不斷涌現,它可以自動收集和關聯來自多個安全產品的數據,以改進威脅檢測,并提供事件響應功能。例如,觸發電子郵件、端點和網絡警報的攻擊行為可以合并為單個事件。擴展型檢測和響應解決方案的主要目標是提高檢測準確性,提高安全操作效率和生產力。
兩者含義相同,都提到了核心理念—XDR,講述了“融合”、“關聯”、“擴展”的價值。足見XDR在當今安全運營領域的重要性。這也與我們的產品理念不謀而合。本文我們來簡單從技術發展角度聊聊XDR產品思考。
從服務網格到安全網格
“安全網格”似乎又是一個新名詞,但是以云原生角度來看,這并不是一個新的概念。類似的概念 —— Service Mesh(服務網格)已經成為云原生(Cloud Native)中非常重要的基礎概念之一。
當下關于云的技術趨勢一直是將計算模式和計算能力進行碾壓研磨,變得更加細粒度、靈活。從系統流程架構層面,計算、存儲、網絡、安全、中間件、大數據處理、人工智能等等每個環節都已經被完全拆分解耦,可以進行各種靈活的組合封裝;而從計算能力緯度,硬件虛擬化,操作系統虛擬機,應用環境隔離,容器,進程隔離,微服務,servless,函數計算等等,計算能力的尺度也被劃分的越來越精細。
這一切的表象是為了去IOE,更好的發揮大規模廉價硬件的價值,更底層的原因則是業務發展的要求。技術的趨勢一定程度上是為了配合業務的趨勢,即現在的“業務大爆炸”。“大爆炸”則帶來了兩個很大的挑戰,第一是業務復雜度指數級上升,第二是業務的變化速度越來越快。于是IT架構演化出Service Mesh(服務網格)的概念。
Service Mesh(服務網格)簡單來說做了兩件事,先是“拆”,再是“合”。通過“拆”,將業務模塊和業務支撐模塊剝離;業務模塊是定制的、特定功能性的;而業務支撐模塊是通用的、共性的。于是將架構拆成了一個個雙模塊組合的形態,即所謂的邊車(Sidecar)形態。再通過“合”,將共性的業務支撐模塊連接起來,構成了網格化網絡,網格之間互相通信、配合、協調,由一套控制系統統一管理。
這樣的服務網格最起碼帶來了兩大好處:
首先是將業務邏輯和基礎組件進一步解耦,用“零信任安全“理論來解釋就是將“控制面”和“數據面“解耦,讓業務方開發者專注于業務邏輯的實現,不需要考慮基礎的、通用的問題,進而解決了業務變化速度過快造成的響應難題。
其次通過服務網絡形成了控制組件之間的共同支撐標準,賦予了業務原生所不具備的彈性、擴展、安全等能力。當然直接這樣“拆”和“合”并沒有解決復雜性的難題,只是進行了轉移,好在業內有如Istio等框架接收了復雜性,解決了復雜度問題。
安全網格的控制中樞 — XDR平臺
理解了Service Mesh(服務網格)的核心理念,我們自然會聯想到,“安全”也是系統的通用屬性之一,能否通過類似的思路,將“云原生”變成“安全原生“,構建一套安全架構體系呢?上述提到的復雜度的問題是否也有一套類似的安全運營平臺來承載呢?
答案當然是可以,這就是極盾科技的析策平臺。
我們更細化的看一下Service Mesh(服務網格)的架構,包含”Service”,”Proxy”,”Control”,分別對應了業務邏輯,代理執行和控制中臺。在安全架構體系中”Service”是我們需要保護的業務,例如郵箱、代碼、辦公系統、IT環境等等;“Proxy”是我們對接的單點安全產品和設備,負責具體的執行和數據、報警信息的流入流出,例如WAF,防火墻,NTA,NIDS等等;而“Control”則是析策平臺的定位,負責將“分析和決策統一到同一個平臺”,解決靈活性,復雜度等通用難題。
從服務網格(Service Mesh)到安全網格(Security Mesh),析策XDR平臺給客戶帶來革命性的安全運營架構,拓展了安全運營的邊界。
這帶來許多傳統大數據安全產品無法達到的優勢:
1.不改變客戶已有的安全投入,而是幫客戶發揮已有安全平臺的能力,產生1+1>2的效果。
2.“安全原生“,對于原生沒有安全能力的平臺,快速讓其升級為“安全Plus”版本;對于已擁有一定的安全分析能力,但是不夠靈活和強大的安全產品做單點增強。
3.安全運營能力的內置和復用,通過將安全運營經驗固化到系統里,可以幫助客戶持續積累和共享安全運營經驗能力。
4.更深度的打破安全數據孤島。
還有其他很多優勢點不再一一列舉。
關于XDR產品的思考
析策作為定位安全運營綜合性平臺,“用戶體驗”、“效率和智能化”、“效果可持續性”是我們最為關注的三個點,并且他們之間也是相輔相成,互相促進的。
在產品研發之前,經過反復討論和優先級的確認,我們把棋子落在兩個最核心的關鍵點上: 實時性和自適應能力。
析策可以在10毫秒以內瞬時完整上百個規則策略和模型的完整運行,“瞬時”返回檢測結果,這對于安全行業大多數現有離線或者半實時的檢測方式是巨大的提升。新一代的安全攻擊早已不滿足t+n方式的檢測,hvv等需要快速響應的場景更是加劇了這一需求。
自適應解決了效果可持續性,背后通過智能化能力幫助用戶掩蓋了系統使用和更新過程的復雜度,通過異常識別、非監督算法、自動化推薦等技術,系統在后臺并行優化現有模型,并持續計算最終效果。一旦用戶觸發了反饋,可以一鍵更新已有的規則策略和模型。通過這種即時反饋機制,又可以促進使用者的持續打標,最終形成閉環,達到“越用越好用”的效果。
以上就是我們對Gartner最新的安全趨勢報告的一些思考解讀,歡迎大家隨時交流,也歡迎更多的朋友試用極盾的析策平臺,并給我們提出好的建議。
來源:FreeBuf.COM