目录
先看下一代防火墙
再看IDS和IPS
最后轮到杀毒软件
为什么会有这些“鄙视链”/p>
静态防御
单点防御
扩展的安全检测与响应
检测→Detection
响应→Response
XDR不是一个人在战斗
最后
具体该如何落地XDR方案呢/p>
云原生XDR方案
私有化XDR方案
大家好,我是薄荷
安全圈,历来是有鄙视链的,大家熟知的安全三大件:“ 防火墙、IDPS、杀毒软件”,个个都惨遭鄙视
先看下一代防火墙
这厮鄙视了传统防火墙/UTM好些年,如今,又被「云防火墙」给鄙视了
再看IDS和IPS
历来互相看不惯彼此。现在,双双被新出道的「NDR」吊打
最后轮到杀毒软件
作为资格最老的“安全产品”,不仅没有老而弥坚,反而成了「EDR」们的垫脚石
这都还不算啥!更流行的是整个大圈子的鄙视链
比如:「云原生安全」对「传统安全」
进行碾压式整体鄙视→_→
为什么会有这些“鄙视链”/strong>
是因为安全建设的大趋势变了,传统的“合规驱动型”安全建设,往往是这样的
如今,这种“合规驱动型”安全建设,正在向“实战驱动型”演进
既然是实战,就必须注重攻防演练和动态防御
so,在这样的新形势下,安全市场的鄙视链,就越发清晰了
静态防御
一定会被动态、自动化防御能力鄙视
单点防御
一定会被多点立体防御能力鄙视
传统本地化防御,一定会被云化防御能力“鄙视”
so
今天我们隆重介绍一个
结合了以上3大“鄙视”特征
站在鄙视链顶端的产品
它就是:XDR
XDR的全称叫作
ExtendedDetection andResponse
扩展的安全检测与响应
“检测“和”响应”,但凡搞安全,都绕不开这两个词
检测→Detection
简单说就是从相关维度查找蛛丝马迹,诊断出安全威胁
响应→Response
就是发现威胁之后,进行应对和处置,该喊的喊,该堵的堵,该杀的杀
检测和响应的过程,好比大夫看病,先“望闻问切”、“查尿验血拍片”,然后再给治理方案:吃药打针动手术,不同的大夫,擅长看不同的病,比如EDR,主要看终端上的病,再比如NDR,主要查 络中的病
专科专治,固然没毛病,但安全威胁,今时不同往日,攻击全天候、立体化、无孔不入,危害性也越来越强
所以,检测和响应的方式也要立体化,就这样,更加“立体”的XDR来了,“X”代表“Extended”,是“扩展”的意思
XDR不是一个人在战斗
它是多种检测和响应能力的团队作战
从前,企业安全的各个组件,像一块块散装木板,很难形成合力,XDR像是“桶箍”,把一块块散架的木板变成了,牢不可破的安全全家桶,这才有了“能力齐射”的效果
在这个“全家桶”里,XDR与各种安全组件紧密集成,对各种日志、流量、告警、情 ,进行智能分析和威胁检测,然后再指挥、协调各个安全组件,完成自动化的响应和处置
XDR之所以能“ 令天下”
源于它具备5大超能力
首先
XDR是一个全局安全控制点,不像EDR只局限于终端侧,XDR统揽终端、 络、云和工作负载,把各个层面防护和控制都兼顾到,说白了,格局够大,能一杆子通到底
第二
XDR有超强的联动能力,也就是安全集成和互操作能力,不但要汇总各种数据,进行监测,还要联动各类产品快速响应,比SOAR更容易与其它产品集成,特别考验“沟通”和“协调”的本事
第三
大数据处理和AI分析
也是XDR必须要具备的本领,既然汇聚了全局的安全数据(日志、告警、流量、情 ),就要依赖机器学习和AI算法,还会引入数据湖的相关能力,对海量数据进行分析处理,发现高级威胁,还原攻击杀伤链
第四
XDR还具备自动化编排能力
通过自动化技术和工具,减少安全运维人员的手动操作,降低出错概率,提高安全运营效率,可以提前编排响应策略,在威胁发生时,自动执行“预案”
最后
XDR还要具备威胁情 能力,既可以利用威胁情 产品,提升检测时效,又可以将分析结果反哺,给威胁情 提供实战加持
通过这些“超能力”,XDR统揽全局, 令天下
深度、全面地检测各类威胁
而且可以一处检测,全局响应
大大提升安全运营效率,降低安全支出成本
那么,对于广大企业来讲
具体该如何落地XDR方案呢/strong>
接下来,我们以鹅厂为例,讲讲腾讯安全XDR是怎么干的
当前IT环境,大多以混合IT为主,既有公有云/云原生场景,也有本地化部署/传统IT场景,鹅厂XDR充分考虑了场景差异
提供两套相对独立的方案
云原生XDR方案
XDR产品的特色是“集众之智”,充分整合现有安全产品,所以,鹅厂的云上XDR,融合了腾讯云上的成熟安全产品(CWPP、云WAF、云FW、iOA SaaS等),多产品联动形成立体化的检测和响应
同时
基于云端强大算力和大数据能力,结合威胁情 、ML算法、专家知识,能够自动实现事件分析和调查,云上联动的均为鹅系自家安全产品,API接口成熟,调度便捷,轻松实现一键快速响应
对于使用腾讯云公有云/混合云的客户,这套云原生XDR方案可以说是绝配,部署成本极低,SaaS化订阅,可以得到开箱即用的安全体验
私有化XDR方案
这类客户通常经历过长期的迭代建设,本地拥有大量异构的安全组件,腾讯私有化XDR针对这种场景,支持大量第三方设备告警和日志,并进行统一的分析和检测
在整合原有老设备的同时,引入腾讯安全NDR和iOA两大利器,强化 络和终端层面的检测与响应,利用云上经验为本地化防护赋能
在两套XDR方案的底层,由天幕PaaS提供安全算力和算法支持,这是鹅厂多年云能力和云防护经验的积累,通过高性能、低代码的底层PaaS驱动,XDR可以比SOAR更轻松联动生态,强力驱动上层应用
最终,两套XDR方案,灵活应对不同的业务场景
云原生方案开箱即用,一站式防护
私有化方案开放性好,持续集成
如果面对更复杂的混合IT环境,需要分别部署不同XDR方案的时,可以部署鹅厂T-Sec安全运营中心,将多套XDR平台的结果整合起来,实现混合架构下的一体化检测与响应
看到这里,相信很多人还有顾虑,尤其是已经搞了一大堆NDR/EDR,甚至刚刚建了SIEM的客户
毕竟,XDR是新鲜事物
到底有没有坑,能不能打/strong>
但您如果回顾一下XDR的发展史,会发现NDR/EDR/SIEM这些组件,恰恰是建设XDR的基础,XDR与这些单点能力可以相互促进,还可缓解SIEM过度告警带来的困扰,最终形成合力,登上鄙视链之巅
更重要的一点,XDR的战斗力强不强,肉眼可见,比如鹅厂的云原生XDR方案,SaaS化开箱即用,部署成本极低,好不好用,适不适用,立马见分晓
同时
鹅厂通过云上锤炼+云下赋能,已经摸索出一条稳健“爬坡”路径,帮助客户快速落地私有化XDR方案
我们也相信,在实战驱动的大背景下,XDR,作为安全防御的“重装护甲”,必将迎来大爆发!
文章转自:特大牛(侵删)
:薄荷是计算机学姐
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树认识身边的计算机 络常见的 络设备22055 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!