XDR离我们的距离有多远?
近日,「把酒话网安」系列活动之“网安三人行——XDR离我们还有多远?”直播活动在“网安小酒馆”举办。数世咨询创始人李少鹏、脑动极光集团首席信息安全官张坤、腾讯安全高级产品专家黄海做客直播间,共同探讨XDR在国内的挑战以及未来的发展方向。
以下为重点内容演讲实录:
XDR的核心功能有哪些?
腾讯安全黄海:XDR所有核心功能有三大基础,第一是端点安全能力,也是最关键的能力,有的时候我们会称之为安全的最后一道防线。第二是大数据告警和分析能力,XDR将不同来源的威胁串联成一个完整的事件,对分析人员而言可以提高效果,同时对整个攻击事件过程中的攻击手法的覆盖也有提升,可减少以往漏报、误报的问题。第三是各类API的对接。XDR可通过集成多个产品的API,推动快速的自动化响应。
脑动极光张坤:XDR的出现是因为EDR满足不了现有需求,XDR的X解决的是EDR的局限性,从“用户终端--网络--云--虚拟化--负载均衡--主机--数据库”。它解决的是每一个端点X 的覆盖。D实际上是检测,R是所有做安全的人最恐慌的一个点即响应,比如说端上的时候我们能接受的响应时间是两分钟,网络能接受是30秒,数据库接受的是10秒。XDR需要扩大其安全的覆盖面,它不能再像过去那样只聚焦于一点,应该是作为一个联防联动的能力,既要有思考能力也要有管理能力。对于中小型企业来说,XDR是一个由工具变为能力的一个跨越的点。
XDR国内落地会遇到哪些挑战?
腾讯安全黄海:XDR定位是围绕威胁的检测和响应场景的,为了更好的支撑这个场景,需要打通EDR、NDR等原来单一的产品能力,这会遇到第一个挑战,如何让多种安全能力更好的融合,使得威胁检测效果更好。第二个挑战是客户的供应商选择问题,这也是因为有第一个挑战后,厂家都希望尽可能的集成自有的安全产品能力,但这导致客户无法更好的做多供应商管理,这里存在厂家和客户的冲突问题。第三个挑战就是当XDR的威胁检测和响应能力更依赖于各种大数据技术的时候,如何让客户自己的维护成本更低,而不至于被各类大数据运维问题困扰的问题,这需要XDR要么通过SaaS化来减少客户运维,要么优化产品交付能力,让产品尽可能轻量化。
脑动极光张坤:第一个挑战是缺少标准化,产品缺少一些共识共知共通性,每个企业都有自身更擅长的地方,但是沉淀不够,XDR面临的不是单一的场景,而是像私有云、混合云、纯公有云等混合模式。第二个挑战是XDR一定是有排他性的,产品之前主要是解决功能性问题,现在主要是解决场景问题,逐步的我们会发现XDR不是一个流量分析工具,不是一个杀毒软件,不是一个SOC,也不是一个风控管理系统。
哪一类厂商更有可能玩转XDR?
脑动极光张坤:能把XDR做好,真真正正是需要技术沉淀的,它需要了解整个的互联网架构,既要有接纳性也要有对接,而且还得获得认可。小的初创型企业或许能将某个模块做好,但真正能把蛋糕做大的还得有综合实力。如果按5力模型去分析的话,供应商议价能力、用户议价能力、潜在用户竞争、现有用户竞争以及其他的同行业竞争,结果也就十分清晰了。做XDR不是单一技术的问题,需要有思想,有场景化,有管理平台去进行打磨。
腾讯安全黄海:做XDR,从技术上来看,公有云的一些互联网厂家在先天上是具有一定优势的,因为这些厂家安全能力已经覆盖端点的、网络,并且业务也都是SaaS化的,客户维护成本很低,云上API对接难度也小很多。传统安全企业要做XDR则需要打碎原有的组织结构,组件新的产品团队,这会有组织结构上的挑战,所以传统公司会很难做XDR。小型厂商如果是很小规模,XDR是做不起来的,但如果初创型公司投入大一点,组织结构变动上更加激进一点,团队整合打通,做XDR还有一线可能。
如何考量各类“DR”建设优先级?
腾讯安全黄海:从威胁运营角度来看,如果是在公有云上,建议首先要覆盖住主机安全,这是最关键的一点。然后是网络安全,这些都是基础。再往后要看客户的IT规模和日常威胁告警的量级,当客户面对的问题比较多,建议XDR平台的使用要跟上,一般建议虚拟机规模到达200台的客户都应该考虑这个问题。如果问题放到混合云或传统IT范围,客户的解决方案相对会多样一些,客户需要基于自身的安全建设规划以及供应商选择来看如何建设,建议可以把XDR作为SOC或态势感知的一个下级平台支撑整体安全运营;针对一些特别小型的客户,建议主机安全放首要,其他安全内容基于自身的投资来看,对于没有足够人力考虑安全工作的公司,可以考虑使用MDR服务来实现一些服务托管。
脑动极光张坤:从务实的角度来看,XDR并非适合所用企业,它更适合中大型企业,因为其处理的量十分庞大,包括大量数据、大量攻击源、攻击节点需要处理。当一个企业的端点、网络有大量事故,靠人难以处理时,则需要XDR。千台规模以下是不用太考虑XDR,当需要更清晰、更快捷的进行管理时,可以考虑部署。另外,向大型客户推广XDR也有一定难度,一是大型客户自身已有固定化的技术架构,二是其前期已经有大量千万级基础设施的投入,变动成本大。
XDR未来可能“extend”的方向?
脑动极光张坤:预测未来会有精简版XDR出现,轻量级的具体呈现形态,可能会以EDR为核心,再就是和互联网通用型资产联合联动。XDR未来轻量化的方向就是把一些真正的能力从静态变为动态。当实现从处理的动态到能力的动态时,这将会是XDR的一个亮点。第二个是XDR后期的发展逃不开整个南北向的覆盖,要么实现自身的能力,要么吸收其他的能力。从市场上来看,中型市场是XDR真正走入大家视野实现变现的一个点。
腾讯安全黄海:未来第一个要做的事情是要扩展在威胁检测上的覆盖面,更好地支撑业务以及和业务结合;第二点是更好地融入现有的市场环境,更好地融入安全市场,所以无论是出现小型化的方案也好,还是出现轻量版的版本也好,都需要逐步去摸索。从腾讯云的角度来看,未来将会联合更多的生态合作伙伴,更好地推进。总的来说,需要回归业务本身,不会去做虚的一些概念,因为安全本身也是腾讯云的一个重要基石,需要去夯实和做好。
数世咨询李少鹏:总结来看,XDR一是要广,二是要准,三是灵,比如说云SaaS化,用起来就很轻量级很方便。
以上是本次「网安三人行」三位嘉宾的观点精华整理,XDR作为一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法,结合了SIEM、SOAR、EDR、NTA以及集中安全数据和事件响应。随着互联网的飞速发展和远程办公的增加,新一代网络攻击技术变得更加隐蔽、狡猾和复杂。于企业而言,XDR相对传统安全方案,具备“降维打击”的优势,将成为网络安全建设的重要发展方向。
推荐阅读
-
普通玩家的思考:我们离元宇宙还有多远?
-
三分钟带你了解手机内部硬件-主要影响手机性能的有以下几点 CPU - *处理器(手机中的大脑) CPU 是计算思考以及处理事物的。 比如:我们日常玩手机,什么最重要?毫无疑问是手机打开软件很流畅,使用各种功能不卡。 这就是CPU的性能,那什么影响 CPU 的因素有哪些? 架构 架构是 CPU 的基础,对于处理器的整体性能起到了决定性的作用,不同架构的处理器同主频下,性能差距可以达到2-5倍。可见架构的重要性。 那么什么是架构呢? 打个比方,架构就是一栋楼的框架。至于最终楼什么样子,就由处理器的厂商决定了,但是有一点,如果说这栋楼房的结构设计出来容纳多少人,那么最后建好的房子也要在这个范围内。同理,如果使用相同架构的处理器,那么本质上不会有太大的区别。 看一下主流手机的架构 处理器对比.jpg 从上图可见:高通 和 苹果都是自主设计,所以说它们牛还是有一定的道理的。不同的架构, 性能和功耗也是不同的。架构决定了 主频、核心数、带宽等和运算量直接相关的东西。目前很多手机打广告都是说 多少核的机器。但是并不是说核越多性能就越强,你没看见,苹果双核就能吊打高通和联发科吗? 制程 制程 专指:事物运作程序的处理过程。常指手机芯片框架的运算速度量。 简单的说就是电路板中电路与电路之间的距离,目前已经发展到纳米级别。 制程越小,可以向芯片中塞入更多的晶体管,随之而来的好处还有:降低电量和成本、散热。 制程数的确定 这里有人要问,为什么制程的数字是这些,而不是别的数字,比如有28nm,为什么没有29nm? 这其实是有一定规律的。根据早期国际半导体蓝图规划,由五个在相关领域较为发达的国家共同制定,约定下一代制程要在上一代基础上做到晶体管数量不变,芯片面积缩小一半。由这一关系可以算出前一代制程要比后一代大√2倍,所以能算出后一代大概数值。纵观整个处理器制程变化,除了少部分特殊的外,都遵循着这一规则。 近代制程的发展 2014 年底,三星宣布了世界首个 14nm FinFET 3D 晶体管进入量产,标志着半导体晶体管进入 3D 时代。发展到今天,三星拥有了四代 14nm 工艺,第一代是苹果 A9 上面的 FinFET LPE(Low Power Early),第二代则是用在猎户座 骁龙 820 和骁龙 625 上面的 FinFET LPP(Low Power Plus)。第三代是 FinFET LPC,第四代则是目前的 FinFET LPU。至于 10nm 工艺,三星则更新到了第三代(LPE/LPP/LPC)。 目前为止,三星已经将 70000 多颗第一代 LPE(低功耗早期)硅晶片交付给客户。三星自家的猎户座 8895,以及高通的骁龙 835,都采用这种工艺制造,而 10nm 第二代 LPP 版和第三代 LPU 版将分别在年底和明年进入批量生产。 手机芯片市场上已经进入了 10nm、7nm 处理器的白热化竞争阶段,而 14/16nm 制程的争夺也不过是一两年前的事。 总线位宽 总线位宽决定输入/输出设备之间一次数据传输的信息量,用位(bit)表示,如总线宽度为8位、16位、32位和64位。
-
XDR离我们的距离有多远?
-
如何在工作中快速成长?致工程师的 10 个简单技巧中,“我们觉得身边缺少贵人,或者有贵人但离自己太远-问答-阿里云开发者社区-阿里云
-
2022年已到,云游戏与我们的距离有多远?【惊喜加赠】