今年你关注XDR了吗?谷歌云安全和七家公司成立XDR联盟
8月3日,Exabeam联合其他七家网络安全公司宣布成立XDR联盟。XDR是一种新兴的安全产品集成套件,全称是Extended Detection and Response(扩展检测和响应),其目标在于构建一个集合多种安全产品的框架,建立关于威胁检测、调查和响应的服务流程。XDR联盟成员皆为网络安全供应商,分别是:Google Cloud Security、Mimecast、Netskope、Sentinel One、Armis、Expel和Extra Hop。根据联盟内成员此前在媒体上的发言,成立XDR联盟主要是为了应对不容乐观的网络安全形势,包括“隐藏AI和自动攻击”。
1 新生的XDR联盟
对于新出现的XDR联盟,其官网有一条说明代表了XDR和联盟的本质:“所有成员必须属于以下类别之一:拥有XDR解决方案或至少提供XDR技术堆栈的一个‘组件’。”
这说明其关键在于提供一套新的网络安全解决方案,能够跨越混合型IT架构,这种方案将囊括联盟内成员企业的主要产品方向,提供“一步到位”的网络安全平台。举个例子,成员Mimecast的主要业务方向是邮件安全,Netskope主要业务方向是云、Web、私有应用的安全。当八家企业聚拢在一起,才形成全栈式的XDR服务。
作为联盟创始人,Exabeam首席战略官Gorka Sadowski在媒体采访中表示:“我们正处于一个非常分散的行业转折点,需要我们供应商社区中的所有人齐心协力加强组织的网络安全管理平台。”
他称联盟成员是“网络安全领域最有远见的人士”,正在构建一个开放的XDR框架。
谷歌云副总裁兼云安全总经理Sunil Potti在媒体采访中表示,行业现在需要一个统一的平台,来高效存储、分析所有安全数据,这样才能充分检测新威胁。
在XDR联盟的官网上也有一份XDR三层模型,这三层分别是:
•内容数据源与控制点(Data Sources & Control Points)
这一层主要由一流解决方案组成;
•内容引擎层(Engine)
这一层是XDR平台的TDIR(TDIR全名为:threat detection, investigation, and response)基础;
•内容内容层(Content)
这一层包括规范的、预先打包的内容,可推动、丰富TDIR工作流程。
XDR三层模型
XDR并非一个全新的概念,从2020年末至今,XDR不断地出现在大众的视线里,热度越来越高,Cisco、Fortinet、Mc Afee、Microsoft、Palo Alto Network都推出了自己的XDR产品,这些公司的产品线较长,往往能以一己之力组装出一个完整的XDR解决方案,无需借助其他Saa S厂商的力量。
但到了2021年初,ESG咨询公司发布了一份关于XDR的研究报告,报告却显示,现阶段XDR仍有许多问题:
•内容市场认知度差:报告显示,只有24%的受访者表示熟悉XDR,剩余76%表示稍有了解或完全不了解;
•如何与SIEM(安全信息与事件管理)保持协同:与大部分技术革新一样,如何与旧体系协作是个大问题,大多数公司需要的是增强SIEM,而不是替换SIEM;•数据管理问题:受访者希望XDR能在底层的安全数据管道方面做得更好一些;
• XDR即服务:受访者希望XDR框架内的安全企业能够迅速转变服务模式。
而这些问题,相信也是促使XDR联盟成立的重要原因。
2 从SIEM到XDR,关于网络安全的一个行业痛点
说XDR发展火热,是有Gartner的研究结果做参考的。
在Gartner发布的2020《Top Security and Risk Management Trends》报告中,在终端安全成熟度曲线、安全运维成熟度曲线中,XDR皆出现在“创新触发”(Innovation Trigger)阶段。
虽然尚属早期,XDR已被普遍认作为SIEM和SOAR(全称为:Security Operations, Ana-lytics, and Reporting)的可选替代方案。
单纯从技术角度,XDR并没有什么出现技术进步,它更重要的意义是改变了安全产品的服务模式。举个例子,从前使用SIEM的厂商,要自己对接各类安全产品,做定制化的对接和开发,非常复杂;但用了XDR,所有的安全组件都被一键打包好了。
这值得网络安全圈兴师动众的研究、理解、实践,甚至围绕XDR成立相关联盟吗?毕竟,很多企业曾斥巨资建设SIEM。
如今,我们再次查看了Gartner发布的《2021年八大安全和风险管理趋势》,其中有一点或许间接解答了这个问题:
Gartner 2020年首席信息调查官调查发现,78%的首席信息安全官从其网络安全厂商组合中获得的工具达到16个以上;12%达到46个以上。企业机构中数量众多的安全产品增加了复杂性、集成成本和人员需求。在Gartner最近的一项调查中,80%的IT组织表示,他们计划在未来三年内整合厂商。
Firstbrook先生认为:“首席信息安全官希望整合他们必须使用的安全产品和厂商数量。通过减少安全解决方案的数量,他们可以更加轻松地正确配置这些解决方案并对警报作出响应,进而改善安全风险态势。
在技术没有出现飞跃性进步的情况下,部署和维护成本却在飞快增加,这或许已经引起了业内整体的反思。从SIEM到XDR,甚至到Dev Sec Ops,大家始终在强调无论是从产品层面,还是组织层面,都要用合力替代点状发力。
XDR或许就是这种趋势下,相对具象的行业变化。未来XDR联盟是否能在一定程度对安全行业的发展方向施加影响,我们拭目以待。