南梁天才棋士褚嬴怀着对围棋最高境界“神之一手”的执念,灵魂不散附身在老棋盘中。千年后,时光在机缘巧合之下唤醒了褚嬴,并在褚嬴的指导下逐渐领悟到围棋真正的意义。一人一魂也终于明白,“神之一手”不仅仅是某个瞬间,而是代表着棋手对于围棋技艺巅峰的追求,对于纯粹的“围棋”的追求。此后,“神之一手”也被众人津津乐道,被认为是“打破僵局,逆转胜局,影响全盘棋局”的关键一步。
网络安全行业也有一项类似“神之一手”的技术,被业界认为是“落一子而全盘活”的关键突破,它就是近年来风头无比强劲XDR技术。2022年7月,Gartner发布2022安全运营技术成熟度曲线(Hype Cycle),XDR进入“期望膨胀顶峰期”,成为安全运营体系中最炙手可热的技术之一。2023年1月3日,360数字安全集团携手Gartner,发布了《新一代XDR——面向未来的数字安全防御架构》白皮书,对于XDR技术进行了更加全面的解读,也让业界对于XDR技术的价值和可落地有了更清晰的认知。
白皮书指出,XDR是安全对抗技术之集大成者,是终端安全、大数据处理、大数据分析、AI人工智能、智能安全评估BAS、APT基因库和攻防知识百科、MDR安全运营和对抗专家服务发展到高峰的自然成果,是安全领域的复杂性系统工程。在回答上述问题之前,我们先要捋清楚,什么是XDR技术?Gartner给出的定义是:XDR 是一个安全平台,将特定供应商的多个安全产品,原生地集成到一个统一的安全运行系统中。
自2018年Palo Alto Networks首席技术官Nir Zuk首次提出了XDR的概念以来,XDR技术就带着超高的热度迅速走红,成为业界备受追捧的技术。但是真正让XDR成为安全圈的“当红炸子鸡”是在2020年,Gartner发布了《顶级安全和风险管理趋势》报告,XDR技术被命名为第一大安全趋势。随后Gartner又连续发布了《扩展检测和响应(XDR)的创新洞察》、《扩展检测和响应(XDR)市场指南》两大核心报告,详细阐述了XDR的技术架构、核心能力、市场趋势等。此后,XDR吸引了越来越多的咨询机构和安全厂商的关注。近年来,除了微软、趋势科技、Palo Alto、谷歌等早已布局XDR的头部玩家,Fortinet、FireEye、McAfee、CrowdStrike等厂商也纷纷入局。短短4年时间,XDR从一个新兴的概念,逐渐成长为网络安全行业最炙手可热的技术,甚至成为了很多人心目中的“神之一手”,被认为是有望极大改善企业安全运营体系的硬核技术,可让处于孤岛效应的企业安全迎来全新活力,将引领下一个安全时代。趋势科技CEO Eva Chen对于XDR曾有过精彩的评价:XDR不是Next Generation(下一代)的技术,而是一项Cross Generation(跨世代)技术,是多项关键性安全技术经过长时间发展成熟后的系统性创新产物,如同航母科技一样,不是单项技术的突破,而是长时间核心技术经验和知识的积累,这也是其得以“封神”的原因。安全运营痛点成XDR的底层支撑,“看见”是XDR封神的起点
而另一个对XDR技术寄以厚望的核心原因是,低准确率、海量告警和孤岛效应明显的企业安全运营体系,无法满足企业数字化日益增长的数据联动需求,两者之间日益扩大的矛盾,促使安全运营到了必须要变革的时刻。目前,全球数字化转型的趋势已经十分明显,新冠疫情持续带来的影响客观存在,企业业务、人员、技术等正在全部转向数字化,导致企业数据呈井喷式爆发增长,内部数据联动需求进一步增强,也让打破数据孤岛效应的诉求变的更加强烈。在采访中,360数字安全集团副总裁余凯表示,在数字化转型的过程中,企业正面临着内外部双重安全压力。首先,全球网络安全形势愈加严峻,攻击武器的先进性、攻击手法的隐蔽性、业务场景的复杂化和安全产品品类多样化,导致威胁越来越难以被发现;其次,网络攻击朝着自动化、工具化、趋利化转变,高级威胁持续增加;第三,企业部署的安全产品缺乏联动,产生的海量安全告警降低了安全事件的响应速度;此外,安全运营还有着安全人才奇缺、安全技术碎片化、运营流程无法量化等瓶颈。当前企业需要的是可将数据采集、集中分析、统一处置、响应编排、彼此联动的安全解决方案。XDR技术可谓恰逢其时。在采访中,余凯提出了一个非常有意思的观点:“假定失陷,敌已在我”是企业当下不得不接受的事实。这也是国际上的普遍认知,和360创始人老周“没有攻不破的网络”的观点有着异曲同工之妙。也就是说,安全的核心是要做到快速看见、快速处置,在攻击做出破坏之前及时斩断“杀伤链”。这正是XDR技术得以封神的核心原因之一。要知道,XDR的首字母“X”代表的就是以终端为起点的安全视野的持续扩展。因此,XDR产品和解决方案能否真正为企业带来价值,关键也在于“看见”。
余凯认为,企业安全运营首重“检测”,是第一性技术。唯有解决检测难题,才能真正解决上文提及的人员短缺、告警风暴、无法发现高级威胁等问题,才能真正实现“落一子而全盘活”的目标。
为了解决检测难题,作为国内最早开始探索XDR技术的厂商之一,360 选择了一条和国内厂商不同的、难而正确的路,即坚定地将XDR构建在EDR和大数据分析上,这也是国际主流XDR厂商选择的方向。在余凯看来,以流量为中心去构建检测与响应的方案太过理想。虽然流量最容易部署,检测效率最高,但是在“假定失陷,敌已在我”,这种现实情况下,流量显然无法扛起大旗,但是终端却可以覆盖ATT&CK矩阵里绝大多数技术点,也是最容易发现攻击,形成可信的那个杀伤链那个链条的线头。采访中,余凯告诉我们,选择一条和国内XDR厂商不同的道路并非一件简单的事情。在这条道路上充满了各种不理解,在无产出的时候充满了嘲笑,在向推广的过程更是需要耗费更多的时间、精力、资源......但那又如何?360在这条“艰难”的道路上已经默默地走了很远很远。当终端的重要性为业界所知,360EDR已经拥有了高质量的恶意行为捕获和对抗能力,基于运营商级的大数据分析关联更多的数据源,360 XDR的检测和响应能力获得真正的提升。此外,360XDR集合了360在运营商级大数据处理及灵活低代码分析技术能力、360 APT 基因库和攻防知识百科、AI 人工智能技术、智能安全评估 BAS 技术,以及完善的安全运营和对抗专家服务等领域的优势能力。这并非简单的将安全产品和技术进行排列组合,而是有机的串联、融合在一起,才能在“看见”威胁之后,真正驱动XDR技术的有效性。在过去的近20年时间里,360在不同领域里、各自单独发展的技术在某个时间节点下,慢慢地、一步步地融合成一个整体。这个过程需要大量的时间和经验,更需要耐得住寂寞,守得住初心。未来,360新一代XDR将以“打破安全数据孤岛,实现有效的检测与响应”的理念为驱动力,解决数字时代新威胁格局下“看见”威胁的难题,形成面向多种甚至未知安全场景的综合性安全解决方案,帮助安全回归攻防对抗本质,为不同体量客户提供针对性解决方案,全面提升安全运营效率。
还没有评论,来说两句吧...