今年你關(guān)注XDR了嗎？谷歌云安全和七家公司成立XDR聯(lián)盟

8 月 3 日，Exabeam 聯(lián)合其他七家網(wǎng)絡(luò)安全公司宣布成立 XDR 聯(lián)盟。XDR 是一種新興的安全產(chǎn)品集成套件，全稱是 Extended Detection and Response（擴展檢測和響應(yīng)），其目標(biāo)在于構(gòu)建一個集合多種安全產(chǎn)品的框架，建立關(guān)于威脅檢測、調(diào)查和響應(yīng)的服務(wù)流程。XDR 聯(lián)盟成員皆為網(wǎng)絡(luò)安全供應(yīng)商，分別是：Google Cloud Security、Mimecast、Netskope、SentinelOne、Armis、Expel 和 ExtraHop。根據(jù)聯(lián)盟內(nèi)成員此前在媒體上的發(fā)言，成立 XDR 聯(lián)盟主要是為了應(yīng)對不容樂觀的網(wǎng)絡(luò)安全形勢，包括“隱藏 AI 和自動攻擊”。

1新生的 XDR 聯(lián)盟

對于新出現(xiàn)的 XDR 聯(lián)盟，其官網(wǎng)有一條說明代表了 XDR 和聯(lián)盟的本質(zhì)：“所有成員必須屬于以下類別之一：擁有 XDR 解決方案或至少提供 XDR 技術(shù)堆棧的一個‘組件’?！?/p>

這說明其關(guān)鍵在于提供一套新的網(wǎng)絡(luò)安全解決方案，能夠跨越混合型 IT 架構(gòu)，這種方案將囊括聯(lián)盟內(nèi)成員企業(yè)的主要產(chǎn)品方向，提供“一步到位”的網(wǎng)絡(luò)安全平臺。舉個例子，成員 Mimecast 的主要業(yè)務(wù)方向是郵件安全，Netskope 主要業(yè)務(wù)方向是云、Web、私有應(yīng)用的安全。當(dāng)八家企業(yè)聚攏在一起，才形成全棧式的 XDR 服務(wù)。

作為聯(lián)盟創(chuàng)始人，Exabeam 首席戰(zhàn)略官 Gorka Sadowski 在媒體采訪中表示：“我們正處于一個非常分散的行業(yè)轉(zhuǎn)折點，需要我們供應(yīng)商社區(qū)中的所有人齊心協(xié)力加強組織的網(wǎng)絡(luò)安全管理平臺?！?/p>

他稱聯(lián)盟成員是“網(wǎng)絡(luò)安全領(lǐng)域最有遠見的人士”，正在構(gòu)建一個開放的 XDR 框架。

谷歌云副總裁兼云安全總經(jīng)理 Sunil Potti 在媒體采訪中表示，行業(yè)現(xiàn)在需要一個統(tǒng)一的平臺，來高效存儲、分析所有安全數(shù)據(jù)，這樣才能充分檢測新威脅。

在 XDR 聯(lián)盟的官網(wǎng)上也有一份 XDR 三層模型，這三層分別是：

內(nèi)容數(shù)據(jù)源與控制點（Data Sources & Control Points）

這一層主要由一流解決方案組成；

內(nèi)容引擎層（Engine）

這一層是 XDR 平臺的 TDIR （TDIR 全名為：threat detection, investigation, and response）基礎(chǔ)；

內(nèi)容內(nèi)容層（Content）

這一層包括規(guī)范的、預(yù)先打包的內(nèi)容，可推動、豐富 TDIR 工作流程。

XDR 三層模型

XDR 并非一個全新的概念，從 2020 年末至今，XDR 不斷地出現(xiàn)在大眾的視線里，熱度越來越高，Cisco、Fortinet、McAfee、Microsoft、Palo Alto Network 都推出了自己的 XDR 產(chǎn)品，這些公司的產(chǎn)品線較長，往往能以一己之力組裝出一個完整的 XDR 解決方案，無需借助其他 SaaS 廠商的力量。

但到了 2021 年初，ESG 咨詢公司發(fā)布了一份關(guān)于 XDR 的研究報告，報告卻顯示，現(xiàn)階段 XDR 仍有許多問題：

內(nèi)容市場認知度差：報告顯示，只有 24% 的受訪者表示熟悉 XDR，剩余 76% 表示稍有了解或完全不了解；

如何與 SIEM（安全信息與事件管理） 保持協(xié)同：與大部分技術(shù)革新一樣，如何與舊體系協(xié)作是個大問題，大多數(shù)公司需要的是增強 SIEM，而不是替換 SIEM；

數(shù)據(jù)管理問題：受訪者希望 XDR 能在底層的安全數(shù)據(jù)管道方面做得更好一些；

XDR 即服務(wù)：受訪者希望 XDR 框架內(nèi)的安全企業(yè)能夠迅速轉(zhuǎn)變服務(wù)模式。

而這些問題，相信也是促使 XDR 聯(lián)盟成立的重要原因。

2從 SIEM 到 XDR，關(guān)于網(wǎng)絡(luò)安全的一個行業(yè)痛點

說 XDR 發(fā)展火熱，是有 Gartner 的研究結(jié)果做參考的。

在 Gartner 發(fā)布的 2020 《Top Security and Risk Management Trends》報告中，在終端安全成熟度曲線、安全運維成熟度曲線中，XDR 皆出現(xiàn)在“創(chuàng)新觸發(fā)”（Innovation Trigger）階段。

雖然尚屬早期，XDR 已被普遍認作為 SIEM 和 SOAR （全稱為：Security Operations, Analytics, and Reporting）的可選替代方案。

單純從技術(shù)角度，XDR 并沒有什么出現(xiàn)技術(shù)進步，它更重要的意義是改變了安全產(chǎn)品的服務(wù)模式。舉個例子，從前使用 SIEM 的廠商，要自己對接各類安全產(chǎn)品，做定制化的對接和開發(fā)，非常復(fù)雜；但用了 XDR ，所有的安全組件都被一鍵打包好了。

這值得網(wǎng)絡(luò)安全圈興師動眾的研究、理解、實踐，甚至圍繞 XDR 成立相關(guān)聯(lián)盟嗎？畢竟，很多企業(yè)曾斥巨資建設(shè) SIEM 。

如今，我們再次查看了 Gartner 發(fā)布的 《2021 年八大安全和風(fēng)險管理趨勢》，其中有一點或許間接解答了這個問題：

Gartner 2020 年首席信息調(diào)查官調(diào)查發(fā)現(xiàn)，78% 的首席信息安全官從其網(wǎng)絡(luò)安全廠商組合中獲得的工具達到 16 個以上；12% 達到 46 個以上。企業(yè)機構(gòu)中數(shù)量眾多的安全產(chǎn)品增加了復(fù)雜性、集成成本和人員需求。在 Gartner 最近的一項調(diào)查中，80% 的 IT 組織表示，他們計劃在未來三年內(nèi)整合廠商。
Firstbrook 先生認為：“首席信息安全官希望整合他們必須使用的安全產(chǎn)品和廠商數(shù)量。通過減少安全解決方案的數(shù)量，他們可以更加輕松地正確配置這些解決方案并對警報作出響應(yīng)，進而改善安全風(fēng)險態(tài)勢。

在技術(shù)沒有出現(xiàn)飛躍性進步的情況下，部署和維護成本卻在飛快增加，這或許已經(jīng)引起了業(yè)內(nèi)整體的反思。從 SIEM 到 XDR，甚至到 DevSecOps，大家始終在強調(diào)無論是從產(chǎn)品層面，還是組織層面，都要用合力替代點狀發(fā)力。

XDR 或許就是這種趨勢下，相對具象的行業(yè)變化。未來 XDR 聯(lián)盟是否能在一定程度對安全行業(yè)的發(fā)展方向施加影響，我們拭目以待。