今年你關(guān)注XDR了嗎？谷歌云安全和七家公司成立XDR聯(lián)盟

8 月 3 日，Exabeam 聯(lián)合其他七家網(wǎng)絡(luò)安全公司宣布成立 XDR 聯(lián)盟。XDR 是一種新興的安全產(chǎn)品集成套件，全稱是 Extended Detection and Response（擴(kuò)展檢測(cè)和響應(yīng)），其目標(biāo)在于構(gòu)建一個(gè)集合多種安全產(chǎn)品的框架，建立關(guān)于威脅檢測(cè)、調(diào)查和響應(yīng)的服務(wù)流程。XDR 聯(lián)盟成員皆為網(wǎng)絡(luò)安全供應(yīng)商，分別是：Google Cloud Security、Mimecast、Netskope、SentinelOne、Armis、Expel 和 ExtraHop。根據(jù)聯(lián)盟內(nèi)成員此前在媒體上的發(fā)言，成立 XDR 聯(lián)盟主要是為了應(yīng)對(duì)不容樂觀的網(wǎng)絡(luò)安全形勢(shì)，包括“隱藏 AI 和自動(dòng)攻擊”。

1新生的 XDR 聯(lián)盟

對(duì)于新出現(xiàn)的 XDR 聯(lián)盟，其官網(wǎng)有一條說(shuō)明代表了 XDR 和聯(lián)盟的本質(zhì)：“所有成員必須屬于以下類別之一：擁有 XDR 解決方案或至少提供 XDR 技術(shù)堆棧的一個(gè)‘組件’?！?/p>

這說(shuō)明其關(guān)鍵在于提供一套新的網(wǎng)絡(luò)安全解決方案，能夠跨越混合型 IT 架構(gòu)，這種方案將囊括聯(lián)盟內(nèi)成員企業(yè)的主要產(chǎn)品方向，提供“一步到位”的網(wǎng)絡(luò)安全平臺(tái)。舉個(gè)例子，成員 Mimecast 的主要業(yè)務(wù)方向是郵件安全，Netskope 主要業(yè)務(wù)方向是云、Web、私有應(yīng)用的安全。當(dāng)八家企業(yè)聚攏在一起，才形成全棧式的 XDR 服務(wù)。

作為聯(lián)盟創(chuàng)始人，Exabeam 首席戰(zhàn)略官 Gorka Sadowski 在媒體采訪中表示：“我們正處于一個(gè)非常分散的行業(yè)轉(zhuǎn)折點(diǎn)，需要我們供應(yīng)商社區(qū)中的所有人齊心協(xié)力加強(qiáng)組織的網(wǎng)絡(luò)安全管理平臺(tái)。”

他稱聯(lián)盟成員是“網(wǎng)絡(luò)安全領(lǐng)域最有遠(yuǎn)見的人士”，正在構(gòu)建一個(gè)開放的 XDR 框架。

谷歌云副總裁兼云安全總經(jīng)理 Sunil Potti 在媒體采訪中表示，行業(yè)現(xiàn)在需要一個(gè)統(tǒng)一的平臺(tái)，來(lái)高效存儲(chǔ)、分析所有安全數(shù)據(jù)，這樣才能充分檢測(cè)新威脅。

在 XDR 聯(lián)盟的官網(wǎng)上也有一份 XDR 三層模型，這三層分別是：

內(nèi)容數(shù)據(jù)源與控制點(diǎn)（Data Sources & Control Points）

這一層主要由一流解決方案組成；

內(nèi)容引擎層（Engine）

這一層是 XDR 平臺(tái)的 TDIR （TDIR 全名為：threat detection, investigation, and response）基礎(chǔ)；

內(nèi)容內(nèi)容層（Content）

這一層包括規(guī)范的、預(yù)先打包的內(nèi)容，可推動(dòng)、豐富 TDIR 工作流程。

XDR 三層模型

XDR 并非一個(gè)全新的概念，從 2020 年末至今，XDR 不斷地出現(xiàn)在大眾的視線里，熱度越來(lái)越高，Cisco、Fortinet、McAfee、Microsoft、Palo Alto Network 都推出了自己的 XDR 產(chǎn)品，這些公司的產(chǎn)品線較長(zhǎng)，往往能以一己之力組裝出一個(gè)完整的 XDR 解決方案，無(wú)需借助其他 SaaS 廠商的力量。

但到了 2021 年初，ESG 咨詢公司發(fā)布了一份關(guān)于 XDR 的研究報(bào)告，報(bào)告卻顯示，現(xiàn)階段 XDR 仍有許多問(wèn)題：

內(nèi)容市場(chǎng)認(rèn)知度差：報(bào)告顯示，只有 24% 的受訪者表示熟悉 XDR，剩余 76% 表示稍有了解或完全不了解；

如何與 SIEM（安全信息與事件管理） 保持協(xié)同：與大部分技術(shù)革新一樣，如何與舊體系協(xié)作是個(gè)大問(wèn)題，大多數(shù)公司需要的是增強(qiáng) SIEM，而不是替換 SIEM；

數(shù)據(jù)管理問(wèn)題：受訪者希望 XDR 能在底層的安全數(shù)據(jù)管道方面做得更好一些；

XDR 即服務(wù)：受訪者希望 XDR 框架內(nèi)的安全企業(yè)能夠迅速轉(zhuǎn)變服務(wù)模式。

而這些問(wèn)題，相信也是促使 XDR 聯(lián)盟成立的重要原因。

2從 SIEM 到 XDR，關(guān)于網(wǎng)絡(luò)安全的一個(gè)行業(yè)痛點(diǎn)

說(shuō) XDR 發(fā)展火熱，是有 Gartner 的研究結(jié)果做參考的。

在 Gartner 發(fā)布的 2020 《Top Security and Risk Management Trends》報(bào)告中，在終端安全成熟度曲線、安全運(yùn)維成熟度曲線中，XDR 皆出現(xiàn)在“創(chuàng)新觸發(fā)”（Innovation Trigger）階段。

雖然尚屬早期，XDR 已被普遍認(rèn)作為 SIEM 和 SOAR （全稱為：Security Operations, Analytics, and Reporting）的可選替代方案。

單純從技術(shù)角度，XDR 并沒有什么出現(xiàn)技術(shù)進(jìn)步，它更重要的意義是改變了安全產(chǎn)品的服務(wù)模式。舉個(gè)例子，從前使用 SIEM 的廠商，要自己對(duì)接各類安全產(chǎn)品，做定制化的對(duì)接和開發(fā)，非常復(fù)雜；但用了 XDR ，所有的安全組件都被一鍵打包好了。

這值得網(wǎng)絡(luò)安全圈興師動(dòng)眾的研究、理解、實(shí)踐，甚至圍繞 XDR 成立相關(guān)聯(lián)盟嗎？畢竟，很多企業(yè)曾斥巨資建設(shè) SIEM 。

如今，我們?cè)俅尾榭戳?Gartner 發(fā)布的 《2021 年八大安全和風(fēng)險(xiǎn)管理趨勢(shì)》，其中有一點(diǎn)或許間接解答了這個(gè)問(wèn)題：

Gartner 2020 年首席信息調(diào)查官調(diào)查發(fā)現(xiàn)，78% 的首席信息安全官?gòu)钠渚W(wǎng)絡(luò)安全廠商組合中獲得的工具達(dá)到 16 個(gè)以上；12% 達(dá)到 46 個(gè)以上。企業(yè)機(jī)構(gòu)中數(shù)量眾多的安全產(chǎn)品增加了復(fù)雜性、集成成本和人員需求。在 Gartner 最近的一項(xiàng)調(diào)查中，80% 的 IT 組織表示，他們計(jì)劃在未來(lái)三年內(nèi)整合廠商。
Firstbrook 先生認(rèn)為：“首席信息安全官希望整合他們必須使用的安全產(chǎn)品和廠商數(shù)量。通過(guò)減少安全解決方案的數(shù)量，他們可以更加輕松地正確配置這些解決方案并對(duì)警報(bào)作出響應(yīng)，進(jìn)而改善安全風(fēng)險(xiǎn)態(tài)勢(shì)。

在技術(shù)沒有出現(xiàn)飛躍性進(jìn)步的情況下，部署和維護(hù)成本卻在飛快增加，這或許已經(jīng)引起了業(yè)內(nèi)整體的反思。從 SIEM 到 XDR，甚至到 DevSecOps，大家始終在強(qiáng)調(diào)無(wú)論是從產(chǎn)品層面，還是組織層面，都要用合力替代點(diǎn)狀發(fā)力。

XDR 或許就是這種趨勢(shì)下，相對(duì)具象的行業(yè)變化。未來(lái) XDR 聯(lián)盟是否能在一定程度對(duì)安全行業(yè)的發(fā)展方向施加影響，我們拭目以待。