《擴展威脅檢測與響應(XDR)應用指南》報告發布
責編:gltian |2021-12-08 16:37:09
隨著人工智能技術的快速融入,新一代網絡攻擊技術使攻擊變得更加隱蔽和快速,攻防對抗已從原來的技術之爭逐步演變為如今的速度之爭,誰能做到更快,誰就能在對抗中占據優勢。因此,企業用戶需要更主動的安全方案,全面覆蓋網絡、端點以及云基礎架構的威脅數據,從而實現更加快速的威脅檢測與響應。
在此背景下,以大數據分析、自動化技術為核心,融合多種威脅檢測能力的擴展威脅檢測與響應(XDR)技術受到行業普遍關注。為深入了解企業用戶對威脅檢測&響應的實際需求,以及XDR技術發展現狀與應用價值,安全牛聯合亞信安全、奇安信、深信服、極盾科技、日志易五家領域代表性國產安全廠商,聯合發起《擴展威脅檢測與響應(XDR)應用指南》報告(以下簡稱“報告”)研究工作。
2021年12月3日,“報告”正式發布。受疫情影響,本次發布會采用線上直播的方式舉辦,來自極盾科技、深信服、奇安信、亞信安全、日志易的一線技術專家與安全牛分析師一起,就目前XDR技術的技術發展、應用挑戰、關鍵技術與發展趨勢等熱點議題進行了專業分享,超3000人次行業嘉賓在線觀看了本次報告發布。
報告關鍵發現:
1、在威脅檢測和響應方面幾乎所有企業都需要改進
調研發現,大部分的安全團隊在處理諸如威脅檢測和事件響應時需要幫助,特別是面對利用人工智能技術發起的自動攻擊,現有的解決方案效果不佳。
2、受訪企業普遍關注XDR方案并有應用需求
受訪的CISO對XDR這些能力很感興趣:高級威脅的檢測、事件自動化處置、威脅檢測識別和攻擊鏈的可視化。
3、XDR系統應包括MDR服務
MDR能夠幫助組織實現全面監控、快速響應、修復建議、合規治理、輔助運維等服務,對于沒有一定專業知識或資源來操作檢測和響應工具的組織來說,是一個不錯的選擇。
4、XDR技術的發展需要互通標準
企業內部的多種安全設備需要有統一的互聯互通標準,企業才能享受到聯防聯控帶來的益處。
5、XDR產品的實際應用效果需要驗證,產品技術成熟度有待提高
XDR能否真正達到預期效果是企業的信息安全官最關注的問題。當前的XDR產品(方案)在自動關聯分析,自動化響應方面智能化還有不足,XDR產品技術成熟度有待提高。
XDR成熟度模型:
為了幫助企業用戶更好地評價XDR方案能力與應用價值,安全牛經過充分調研,在本次報告研究中提出XDR技術成熟度模型。該模型通過能力矩陣的方法分為五個層次,分別是L1-基礎的威脅發現與響應、L2-基于已知威脅的發現與響應、L3-基于高級威脅的發現與響應、L4-自動化的威脅發現與響應、L5-自適應的威脅發現與響應,層級越高,XDR技術成熟度越高。
安全牛分析師陳發明
在發布會上,安全牛分析師陳發明介紹了本次報告的編寫背景和研究方法,并詳細介紹了XDR方案典型的4個應用場景:一是面向大型企業組織,在其已經建成的SOC/SIEM平臺上集成XDR能力;二是面向中小企業組織,在其預算有限和安全運維人員配置不足的情況下,通過部署輕量化的專用XDR分析平臺,實現快速發揮作用的效果;三是在網絡攻防實戰中,使用XDR分析平臺,實現快速聯動分析;四是在HW行動中,部署XDR分析平臺,快速增強現有安全運營能力。
極盾科技技術總監鄭冬東
極盾科技技術總監鄭冬東分享了“打破數據孤島,共建智能安防——XDR在極盾的落地與實踐”,提煉XDR落地實現中會涉及到的技術要點,并在技術保障基礎上,提出XDR在實際建設過程中面臨的一些非技術方面的挑戰和建議。他表示:現如今大部分的企業經過多年的安全建設,都會購買并部署了多種安全產品,例如WAF、IPS、DLP、防火墻等,這些產品每天產生成千上萬個告警,遠遠超過安全團隊處理的數量,產品之間的相互獨立也形成了一個個數據孤島,迫使運營人員需要關聯查找并分析威脅。
深信服實戰對抗方案專家楊漢彬
深信服實戰對抗方案專家楊漢彬圍繞“構建XDR檢測響應體系的思路與實踐”主題進行了分享。
結合企業的實際案例,楊漢彬分析了當前網絡安全的運營現狀,并提出“要做好企業網絡安全運營,一定要轉變思路”的觀點。他表示:真正的XDR必須具備多元化的檢測能力、完善的響應處置能力、各類環境的廣泛適配、持續的能力賦能、不斷生長的訂閱能力及融合集成的安全服務這六大特征。深信服XDR面向實戰設計了深度關聯分析和聯動響應的機制,打通了跨品類安全產品能力的融合,提供各類能力訂閱,支持在線化交付,能夠結合安全服務普惠式地為客戶構建檢測響應體系。
奇安信高級產品經理袁一凡
奇安信高級產品經理袁一凡分享了XDR發展背景與安全挑戰以及天眼XDR的實戰化應用經驗。他指出:隨著人工智能技術的快速融入,新型高級網絡攻擊手段變得越來越智能化、自動化、常態化,對傳統的安全防御建立起“降維打擊”的優勢,一鍵攻擊、自動攻擊成為黑客的慣用伎倆。在復雜攻擊面前,企業正面臨越來越大的安全風險。奇安信XDR安全解決方案,以奇安信網神新一代安全感知系統(天眼)為主,并協同聯動終端管理系統、防火墻、服務器安全管理系統、攻擊誘捕等第三方設備,能夠幫助客戶更好更快地發現攻擊方的攻擊行為;同時,通過平臺高效連接了人、工具與事件,降低安全運營人員的工作量,提升企業安全運營效率。
亞信安全高級威脅治理產品總監馮君賀
亞信安全高級威脅治理產品總監馮君賀表示:針對新型網絡中普遍存在的“免疫系統”失效,應急手段有限,傳播快、途徑多、難發現,破壞不可逆、損失慘重等特點,XDR作為統一安全事件檢測和響應平臺,不僅能夠幫助企業增強保護、檢測和響應能力,同時還能夠幫助企業建立有效防御機制。亞信安全XDR解決方案為用戶提供了多種技術、產品及服務的立體防護能力,從防護、檢測、響應、預測四個維度幫助企業搭建具有彈性、自我完善的網絡安全體系來對抗網絡安全威脅,保護重要數據資產的安全性。未來,亞信安全將繼續通過理念與技術的迭代創新,協助用戶從被動安全事件處理向主動態勢感知轉變,全面提升高級威脅治理中的恢復補救能力。
日志易安全產品總監施澤寰
日志易安全產品總監施澤寰表示,SIEM、UEBA與SOAR等技術的成熟,也為XDR產品更好落地提供了保障。在日志易推出的XDR解決方案中,可以通過SIEM幫助用戶實現數據采集、集成與范式化,對企業安全事件進行全面的檢測、調查分析、溯源以及管理,同時通過UEBA對用戶異常行為進行檢測,側重內網威脅(如數據泄露,橫向移動等場景)發現與分析,最后通過SOAR對內外部威脅進行響應處置,從而深度實現威脅的檢測、分析與響應,顯著提升企業主動防御能力,高效保障業務運營安全性。
報告提綱目錄
1、擴展檢測與響應概述
2、XDR技術架構
XDR技術要求
XDR技術框架
XDR關鍵技術
XDR技術成熟度模型
XDR應用場景
3、XDR建設的挑戰與建議
XDR建設的挑戰
選擇XDR解決方案
XDR平臺基本建設流程
4、行業應用實踐
某醫療系統XDR應用案例
某大型國企XDR應用案例
某公共事業單位XDR應用案例
某科技公司XDR應用案例
某政府XDR方案應用案例
某車企XDR平臺應用案例
某地產集團XDR應用案例
某銀行系統XDR建設案例
某大型企業XDR建設案例
5、XDR技術發展趨勢
6、行業代表性廠商介紹
亞信安全
奇安信
深信服
極盾科技
日志易
目前,《擴展威脅檢測與響應(XDR)應用指南》已經在安全牛商城上架,獲取完整版本報告,請點擊識別下方預售二維碼:
