新一代XDR:破解安全運(yùn)營“巴別塔之殤”
摘要: 打破孤島,讓安全產(chǎn)品講同一種語言
在人類誕生之初,全世界原本只有一種語言,這種無障礙的溝通和聯(lián)結(jié)讓人類擁有了強(qiáng)大的團(tuán)結(jié)力量。為了避免族群散落世界各地,并有朝一日能夠通往天堂,人類決定建造一座巨大的城池以及一座能夠通天的巨塔。
然而,神明們并不愿意讓這一切發(fā)生,他們?cè)噲D阻止人類。于是“耶和華”降臨人間,將原本統(tǒng)一的語言變得無序、混亂。如此一來,人類便無法團(tuán)結(jié)互助,也就不再通力協(xié)作建造城池和巨塔,并最終散落到世界各地。
據(jù)說在希伯來語中,無序、混亂譯為“巴別”,這便是《舊約圣經(jīng)》和《創(chuàng)世紀(jì)》中“巴別塔”的故事。
我們拋開巴別塔后世的爭議不談,只聊聊其建造失敗的原因——語言混亂導(dǎo)致溝通無效,難以協(xié)作最終破裂分散。事實(shí)上,縱觀整個(gè)人類的歷史,溝通和團(tuán)結(jié)一定是推動(dòng)人類社會(huì)進(jìn)步發(fā)展的重要因素 所以,打破語言之間的隔閡,促成不同形態(tài)時(shí)間的溝通和合作,是積極且必要的,對(duì)于任何事情而言都是如此。
有人說“巴別塔”隱喻烏托邦工程。在我看來,人類對(duì)烏托邦的向往其實(shí)并沒有錯(cuò),從某種角度來說,這只不過表達(dá)了一種希望“付出能夠得到回報(bào)”的訴求。當(dāng)然,這個(gè)過程中可能會(huì)誕生一些難以實(shí)現(xiàn)的想法,比如“努力就必須要成功”“做了就必須要有效果”“用一種辦法解決所有問題、一勞永逸”之類,而且這些想法在安全運(yùn)營工作中特別常見。
作為企業(yè)的經(jīng)營者,幾乎都認(rèn)為有了安全部門就不應(yīng)該在存在安全問題,希望通過安全的投資,來杜絕所有安全事件的發(fā)生;對(duì)于安全管理者來說,同樣也希望安全建設(shè)能夠得到回報(bào),或是用某些解決方案就可以一勞永逸地幫助企業(yè)解決安全問題,避免安全事件的發(fā)生。然而同樣的,很多時(shí)候都只能事與愿違。
我不認(rèn)為這些想法有什么不對(duì),這只不過是一種非常合理的訴求。但問題出在哪?為什么難以實(shí)現(xiàn)?我想就和巴別塔的失敗是一樣的——語言的混亂。
許多企業(yè)的網(wǎng)絡(luò)安全能力由大量的安全產(chǎn)品堆疊而成,不同的產(chǎn)品負(fù)責(zé)不同的職能,對(duì)應(yīng)不同的攻擊面,各自為戰(zhàn);不同的產(chǎn)品可能來自于不同的安全廠商,產(chǎn)生的數(shù)據(jù)有自己的語言,彼此之間無法溝通,難以形成聯(lián)動(dòng)。
面對(duì)這些混亂的語言,企業(yè)并不具備“翻譯”能力,這樣一來,不僅使得安全運(yùn)營變得異常復(fù)雜,同時(shí)割裂了相互的可見性,最終限制了企業(yè)整體應(yīng)對(duì)威脅的能力,讓原本期望通過多個(gè)產(chǎn)品累加安全能力的初衷,變成了1+1<2。
如果說語言的混亂導(dǎo)致了巴別塔的失敗,那么安全產(chǎn)品之間的“語言孤島”就成為了安全運(yùn)營的“巴別塔之殤”。
但安全運(yùn)營面臨的問題遠(yuǎn)不止于此。在內(nèi)部威脅方面,據(jù)安在新媒體發(fā)布的《2022中國網(wǎng)絡(luò)安全產(chǎn)品用戶調(diào)查報(bào)告》和《2023企業(yè)網(wǎng)絡(luò)安全CSO發(fā)展調(diào)查報(bào)告》顯示,安全團(tuán)隊(duì)人員較少、人才緊缺,對(duì)于安全運(yùn)營的維持極度缺乏專業(yè)人員。而在外部威脅方面,網(wǎng)絡(luò)空間安全形勢(shì)越發(fā)嚴(yán)峻,APT 組織日益猖獗,高級(jí)網(wǎng)絡(luò)攻擊已經(jīng)被廣泛投入使用,現(xiàn)有的“散兵游勇”式安全運(yùn)營,顯然無法應(yīng)對(duì)來自高級(jí)威脅的挑戰(zhàn)。
上述種種問題都導(dǎo)致了企業(yè)當(dāng)前安全能力建設(shè)和威脅之間巨大的不對(duì)稱,嚴(yán)重缺乏對(duì)于威脅的智能感知、檢測(cè)、響應(yīng)與處置的能力。同時(shí),企業(yè)安全運(yùn)營也希望可以將現(xiàn)有割裂的安全產(chǎn)品實(shí)現(xiàn)整合。
正如前文所說,企業(yè)安全運(yùn)營及能力受制于產(chǎn)品孤島、人員緊缺、效率低下、自動(dòng)化水平不足等問題,從而導(dǎo)致應(yīng)對(duì)威脅的能力嚴(yán)重不足。而這些問題從本質(zhì)而言就是“看見”能力的缺失——運(yùn)營效果不清晰,安全能力不直觀,威脅識(shí)別不準(zhǔn)確。
所以安全運(yùn)營需要“看見威脅”的能力,改變這一現(xiàn)狀,就必須要從上述的問題入手:
首先,打破產(chǎn)品孤島,強(qiáng)化產(chǎn)品之間的聯(lián)動(dòng),降低安全運(yùn)營的對(duì)接成本和使用成本;其次,提高安全運(yùn)營的自動(dòng)化、智能化水平,減輕人員的壓力和成本;最后,要形成統(tǒng)一的解決方案,以一種平臺(tái)化的方式改善安全運(yùn)營的不足,最終增強(qiáng)應(yīng)對(duì)威脅的能力。
談到這里,我們就不得不引出XDR(Extended Detection and Response,擴(kuò)展檢測(cè)響應(yīng))。XDR的核心是攻擊鏈檢測(cè),“X”代表著以終端為起點(diǎn)的安全視野持續(xù)擴(kuò)展。XDR將特定供應(yīng)商的多類安全產(chǎn)品,原生地集成到一個(gè)統(tǒng)一的安全運(yùn)行系統(tǒng)中,共享安全大數(shù)據(jù),提供一體化威脅檢測(cè)、告警管理和事件研判響應(yīng)處置能力。
XDR最廣為人知的幾個(gè)優(yōu)勢(shì)主要就是:1、打破孤島、串聯(lián)產(chǎn)品,提高威脅應(yīng)對(duì)能力;2、提高運(yùn)營效率,減輕人員壓力;3、結(jié)合終端安全、數(shù)據(jù)湖、自動(dòng)化編排及安全分析技術(shù),形成面向多種甚至未知安全場(chǎng)景的綜合性安全解決方案。這些優(yōu)勢(shì)實(shí)際上就一一對(duì)應(yīng)了上述安全運(yùn)營所存在的問題,并為其提供了解法。
簡而言之,XDR的核心價(jià)值就是解決安全產(chǎn)品孤島問題,將其進(jìn)行整合并把各類安全數(shù)據(jù)匯集起來,打造智能化、自動(dòng)化的安全運(yùn)營平臺(tái),提升應(yīng)對(duì)威脅的能力。
那么XDR當(dāng)前發(fā)展到了什么階段?什么樣的XDR能夠真正符合上述所描述的這些特點(diǎn)?
近日,國際權(quán)威研究機(jī)構(gòu)Gartner聯(lián)合360發(fā)布《新一代XDR——面向未來的數(shù)字安全防御架構(gòu)》白皮書。
白皮書指出,XDR作為新興威脅檢測(cè)與響應(yīng)架構(gòu),以“打破安全數(shù)據(jù)孤島,實(shí)現(xiàn)有效的檢測(cè)與響應(yīng)”的理念為驅(qū)動(dòng)力,解決數(shù)字時(shí)代新威脅格局下“看見”威脅的難題,形成面向多種甚至未知安全場(chǎng)景的綜合性安全解決方案。
也就是說,XDR已經(jīng)發(fā)展成為了企業(yè)在安全運(yùn)營以及威脅檢測(cè)和響應(yīng)等方面較為成熟和有效的模式方法。
但安全問題是在變化的,威脅也是在不斷升級(jí)的,所以在白皮書中,360也給出了自己對(duì)于新時(shí)代安全運(yùn)營、威脅檢測(cè)響應(yīng)以及XDR的理解:打造新一代XDR數(shù)字安全防御架構(gòu),針對(duì)不同體量客戶提供一站式開箱即用解決方案,全面提升安全運(yùn)營效率。
白皮書認(rèn)為,一個(gè)優(yōu)秀的 XDR 方案,是終端安全技術(shù)、大數(shù)據(jù)處理技術(shù)、大數(shù)據(jù)分析技術(shù)、AI人工智能技術(shù)、智能安全評(píng)估 BAS 技術(shù)、APT 基因庫和攻防知識(shí)百科、安全運(yùn)營和對(duì)抗專家服務(wù)有機(jī)整合發(fā)展到高峰的自然成果。
而這恰好是360的核心優(yōu)勢(shì)所在,并且已經(jīng)足足積累了十七年。
首先,360新一代XDR具備獲取高質(zhì)量數(shù)據(jù)的能力。通過高質(zhì)量事件的捕獲、全維度數(shù)據(jù)采集,可以有效對(duì)抗APT繞過攻擊,賦予企業(yè)“看見威脅”的能力,有效提升對(duì)于威脅的檢測(cè)和響應(yīng)。
其次,在應(yīng)對(duì)威脅時(shí),360通過自身十余年攻防對(duì)抗所積累的APT基因庫和攻防知識(shí)百科作為指導(dǎo),關(guān)聯(lián)分析多維神經(jīng)元數(shù)據(jù),使得新一代XDR能夠精準(zhǔn)識(shí)別攻擊行為并聚合為安全事件,將告警量降低2-3個(gè)數(shù)據(jù)級(jí)。從而減輕安全團(tuán)隊(duì)符合,降低安全運(yùn)營成本,并進(jìn)一步提升威脅的檢測(cè)率和檢測(cè)效果。
不僅如此,通過預(yù)置超過2000個(gè)安全規(guī)則,360新一代XDR能夠自動(dòng)提取信息,并進(jìn)行檢測(cè)、評(píng)估和溯源,同時(shí)還能有效識(shí)別用戶異常操作、高級(jí)未知威脅并自動(dòng)響應(yīng)應(yīng)對(duì),提升了安全運(yùn)營和威脅處置的自動(dòng)化、智能化水平。
而在解決安全產(chǎn)品孤島問題,整合多個(gè)安全產(chǎn)品之后,360新一代XDR將安全數(shù)據(jù)匯聚到一套集中的大數(shù)據(jù)平臺(tái)之中,并在此基礎(chǔ)上搭建了一個(gè)智能化、自動(dòng)化的安全運(yùn)營平臺(tái)。最終真正幫助企業(yè)改善安全運(yùn)營的現(xiàn)狀,提供自動(dòng)化的威脅檢測(cè)與響應(yīng)能力,進(jìn)而為廣大用戶持續(xù)提升“看見”威脅的能力和對(duì)抗效率,應(yīng)對(duì)數(shù)字時(shí)代安全運(yùn)營挑戰(zhàn),讓安全運(yùn)營真正落地。
事實(shí)上,360新一代XDR已經(jīng)在其自身內(nèi)部安全運(yùn)營系統(tǒng)下進(jìn)行了應(yīng)用并取得了非常好的效果,同時(shí)在某些用戶場(chǎng)景下也成功落地并收獲了不錯(cuò)的口碑。但是,除了具體的技術(shù)能力、產(chǎn)品形態(tài),從用戶視角出發(fā),我們還需要關(guān)注幾個(gè)重要的問題。
雖然“降本增效”本就是XDR的核心優(yōu)勢(shì)之一,但作為一個(gè)需要打通企業(yè)現(xiàn)有安全產(chǎn)品,接入安全架構(gòu),并最終以平臺(tái)化方式為企業(yè)提供服務(wù)的解決方案,不可避免地需要用戶考慮XDR的成本問題。
同時(shí),XDR可能會(huì)導(dǎo)致用戶對(duì)單一的安全廠商過度依賴,如果廠商的XDR已經(jīng)集成了比較全面的安全組件和能力,或是只提供自己的產(chǎn)品,那么用戶就無法自由選擇某個(gè)品類中最好的廠商,甚至犧牲部分組件的能力。所以用戶還需要考慮XDR與自身安全架構(gòu)的適配性,是否會(huì)帶來一定的負(fù)面影響。
實(shí)際上白皮書中已經(jīng)對(duì)這幾個(gè)問題進(jìn)行了回答。在部署方面,360新一代XDR采用的是“小時(shí)級(jí)”的部署方式,配置僅需同類平臺(tái)的1/6,能夠有效幫助用戶降低安裝和維護(hù)成本;同時(shí)提供500+開箱即用規(guī)則,配合云端安全專家服務(wù),避免運(yùn)營門檻,降低學(xué)習(xí)使用成本;此外,360新一代XDR還落地了MDR安全托管服務(wù),自動(dòng)化覆蓋安全運(yùn)營的全周期,進(jìn)一步降低運(yùn)營成本,提升效率。
用戶在具備“運(yùn)營商”級(jí)別數(shù)據(jù)處理能力的同時(shí),也不會(huì)在成本上承受過多的負(fù)擔(dān)。
而基于數(shù)字安全大腦統(tǒng)一標(biāo)準(zhǔn)API開發(fā)聯(lián)動(dòng)接口,360新一代XDR可以針對(duì)不同安全場(chǎng)景進(jìn)行模塊化的靈活組合,實(shí)現(xiàn)與各個(gè)廠商、各種型號(hào)的安全設(shè)備的協(xié)同聯(lián)動(dòng),共同防御。通過數(shù)字安全大腦,可以助力網(wǎng)絡(luò)安全產(chǎn)品的信息共享、大數(shù)據(jù)集中分析研判、高級(jí)威脅情報(bào)賦能、網(wǎng)絡(luò)安全產(chǎn)品體系化聯(lián)動(dòng)、安全策略協(xié)同等全方面提升。
最終在不打擾用戶現(xiàn)有安全體系的前提下,實(shí)現(xiàn)與各個(gè)產(chǎn)品之間的完美整合聯(lián)通,并形成自動(dòng)化運(yùn)營平臺(tái),達(dá)到威脅檢測(cè)與響應(yīng)能力的提升。
360數(shù)字安全集團(tuán)副總裁余凱在接受媒體采訪時(shí)表示,從技術(shù)視角來看,所有的企業(yè)都需要以XDR為架構(gòu)的整合型安全平臺(tái)(Consolidated Security Platform)。對(duì)于中小企業(yè)來說,一體化的XDR方案、SaaS化的XDR產(chǎn)品都可以滿足其安全需求,開箱即用,符合高性價(jià)比、一體化的目標(biāo)。對(duì)于大型企業(yè),由于安全運(yùn)營更加規(guī)?;?、自動(dòng)化、整合化,更強(qiáng)調(diào)安全運(yùn)營中心的建設(shè),XDR則有機(jī)會(huì)發(fā)揮更大的價(jià)值。
總的來說,無論企業(yè)規(guī)模大小,領(lǐng)域劃分,360新一代XDR所具備的簡單易用、降本增效等特點(diǎn),并搭配安全服務(wù)體系,日常安全合規(guī)、告警處置,重大事件專家快速響應(yīng)等能力,可以真正從用戶視角出發(fā),在規(guī)避各種部署問題的前提下,全面提升安全運(yùn)營效率。
事實(shí)上,360新一代XDR的價(jià)值不僅僅體現(xiàn)在用戶層面,在社會(huì)、國家的安全層面,360XDR也起到了舉足輕重的作用。
基于XDR架構(gòu)向城市企業(yè)提供基于“看見”為核心的一站式城市安全運(yùn)營平臺(tái),通過幫助城市、政府、企業(yè)客戶打造的集態(tài)勢(shì)感知、指揮控制、通報(bào)預(yù)警、信息共享、應(yīng)急響應(yīng)為一體的安全運(yùn)營體系,構(gòu)建“摸清家底、感知風(fēng)險(xiǎn)、看見威脅、處置攻擊、提升能力”5大安全能力,形成面向數(shù)字安全復(fù)雜威脅的完整應(yīng)對(duì)能力。目前,這套體系已落地重慶、天津、青島、蘇州、上海等地。
360創(chuàng)始人周鴻祎常說“沒有攻不破的網(wǎng)絡(luò)”,這和國外的主流共識(shí)“假定失陷”(Assume breach)觀點(diǎn)是一致的。這意味著安全運(yùn)營最本質(zhì)的問題和挑戰(zhàn),就是如何去做積極的防御。
隨著數(shù)字中國戰(zhàn)略的實(shí)施落地,數(shù)據(jù)中心基礎(chǔ)設(shè)施及業(yè)務(wù)系統(tǒng)的復(fù)雜程度不斷升高,安全設(shè)備異構(gòu)化、安全日志多源化、安全數(shù)據(jù)海量化、攻擊團(tuán)伙高智化等問題,都將成為企業(yè)安全運(yùn)營面臨的主要挑戰(zhàn),這也就要求了企業(yè)要進(jìn)一步提升應(yīng)對(duì)威脅的檢測(cè)與響應(yīng)能力。
如何實(shí)現(xiàn)這一目標(biāo),我想答案并不難找,至少從技術(shù)發(fā)展的現(xiàn)狀來看,XDR憑借其出眾的特質(zhì)依然會(huì)是用戶的首要選擇。仔細(xì)想想,為什么安全運(yùn)營會(huì)遇到問題,為什么XDR能夠很好地解決這些問題,或許就是因?yàn)樗?ldquo;語言”之間的隔閡吧。
如果巴別塔真的通向了天上,可能人類發(fā)現(xiàn)那里并不是天堂,但至少通力協(xié)作實(shí)現(xiàn)目標(biāo)的過程并不太差。就像XDR和安全運(yùn)營一樣,也許它無法成為安全最終的“烏托邦”,但至少當(dāng)下提出的每一個(gè)問題,XDR都可以給出回答。