如今����,變化的安全挑戰(zhàn)、多態(tài)的IT架構(gòu)�����、復(fù)雜的建設(shè)需求���、嚴(yán)苛的合規(guī)審查……��,甲方心力交瘁��,乙方疲于奔命�����。傳統(tǒng)安全產(chǎn)品交付模式�����,投入大����、成本高、難維護(hù)��、效果差���,完全無法應(yīng)對(duì)��。
網(wǎng)絡(luò)攻擊的增長導(dǎo)致合規(guī)要求更加嚴(yán)格����。法案��、標(biāo)準(zhǔn)����、監(jiān)管——所有的這些都需要組織來實(shí)現(xiàn)一組全面的安全控制,包括監(jiān)測(cè)、審計(jì)和報(bào)告,所有這些都促進(jìn)了SIEM系統(tǒng)����。有近二十年的時(shí)間,安全信息和事件管理(SIEM) 平臺(tái)是唯一可以幫助安全團(tuán)隊(duì)集檢測(cè)�、調(diào)查和響應(yīng)為一體的解決方案。
不幸的是�,隨著時(shí)間的推移,SIEM 面臨著一系列挑戰(zhàn)�。雖然SIEM曾經(jīng)足夠好了,但它們?cè)陬A(yù)防��、檢測(cè)和響應(yīng)不斷增長的攻擊面的威脅方面不再那么有效�。此外,SIEM工具以價(jià)格昂貴�����、部署具有挑戰(zhàn)性以及操作和維護(hù)繁瑣而著稱����。
(相關(guān)資料圖)
后來,許多機(jī)構(gòu)在SIEM的基礎(chǔ)之上�����,通過安全編排、自動(dòng)化和響應(yīng) (SOAR -Security Orchestration, Automation and Response) 解決方案聚合來自端點(diǎn)�、電子郵件、云和其他系統(tǒng)的警報(bào)以提升其能力���。SOAR解決方案支持自動(dòng)化���、編排和其他分析工具,從而可以集中管理與潛在威脅相關(guān)的關(guān)鍵信息�。但SOAR也伴隨著高成本和復(fù)雜性,需要一個(gè)很成熟的安全運(yùn)營中心 (SOC) 來實(shí)施并維護(hù)其與合作伙伴的集成和劇本��。
SIEM和SOAR等解決方案在當(dāng)今的網(wǎng)絡(luò)安全環(huán)境中已達(dá)到其極限�����,在預(yù)防�、檢測(cè)和響應(yīng)不斷增長的攻擊面的威脅方面不再有效。因此�����,機(jī)構(gòu)正在轉(zhuǎn)向擴(kuò)展檢測(cè)和響應(yīng) (XDR) �����,以統(tǒng)一整個(gè)企業(yè)的威脅檢測(cè)和響應(yīng)���。事實(shí)上���,60%的機(jī)構(gòu)計(jì)劃在未來12個(gè)月內(nèi)實(shí)施或進(jìn)一步增加XDR 的使用。
但是這些解決方案之間有什么區(qū)別呢�����?哪個(gè)適合自己的組織�?
什么是 SIEM?
SIEM不是一個(gè)單獨(dú)的工具或應(yīng)用程序����,而是一組不同的構(gòu)建塊,它們都是系統(tǒng)的一部分��,它是一個(gè)由多個(gè)監(jiān)視和分析組件構(gòu)成的安全系統(tǒng)��。SIEM沒有標(biāo)準(zhǔn)的SIEM協(xié)議或已建立的方法�����,包括了聚合、處理和標(biāo)準(zhǔn)化�、關(guān)聯(lián)、呈現(xiàn)����、緩解和修復(fù)等五項(xiàng)元素。
SIEM負(fù)責(zé)收集��、匯總����、分析、存儲(chǔ)和報(bào)告自整個(gè)組織的大量日志數(shù)據(jù)����,用于事件響應(yīng)、取證和合規(guī)性���,旨在幫助組織檢測(cè)和減輕威脅��。雖然首字母縮略詞 SIEM 是 Gartner 在 2005 年首次創(chuàng)造的����,但SIEM的基礎(chǔ)功能已經(jīng)存在更長時(shí)間了�����。早在 1990 年代,有遠(yuǎn)見的機(jī)構(gòu)就認(rèn)識(shí)到他們需要將不同源的安全日志整合到一個(gè)系統(tǒng)中���,以便分析和滿足合規(guī)性要求。
SIEM工具聚合日志數(shù)據(jù)�����,從分布式自動(dòng)收集和處理信息來源,并將它集中存儲(chǔ),為SecOps團(tuán)隊(duì)提供了統(tǒng)一的遙測(cè)資源�����。它還可以保留用于取證和合規(guī)目的的數(shù)據(jù)�����,并進(jìn)行不同事件之間的關(guān)聯(lián)�����,跨系統(tǒng)查詢數(shù)據(jù)以進(jìn)行威脅檢測(cè)和調(diào)查��,并根據(jù)這些信息生成警報(bào)和報(bào)告��,以及提供儀表盤等,以幫助 SecOps 員工按需監(jiān)控環(huán)境��,滿足審計(jì)要求���。
然而��,SIEM工具需要大量的微調(diào)和努力來實(shí)施�,安全團(tuán)隊(duì)也可能被來自SIEM的大量警報(bào)所淹沒���,導(dǎo)致SOC忽視關(guān)鍵警報(bào)��。此外��,即使SIEM從幾十個(gè)來源和傳感器捕捉數(shù)據(jù)�,它仍然是一個(gè)被動(dòng)的分析工具���,發(fā)出警報(bào)���。
什么是 SOAR?
安全自動(dòng)化是安全操作相關(guān)任務(wù)的自動(dòng)處理���,包括管理職責(zé)和事件檢測(cè)與響應(yīng)�����。安全自動(dòng)化使安全團(tuán)隊(duì)能夠隨著工作負(fù)載的增長而相應(yīng)擴(kuò)展其能力����。安全編排是一種連接安全工具和集成不同安全系統(tǒng)的方法,是簡(jiǎn)化安全流程和支持自動(dòng)化的連接層�。目前有66% 的分析工程師認(rèn)為他們的一半任務(wù)可以自動(dòng)化。出于這個(gè)原因�����,一些機(jī)構(gòu)轉(zhuǎn)向了SOAR平臺(tái)��。
SOAR通常被用作為SIEM系統(tǒng)的擴(kuò)展�����,可以提供劇本將分析師常用工作流程自動(dòng)化�,并可幫助實(shí)施“安全中間件”���,允許不同的安全工具進(jìn)行通信�����。SOAR通過豐富數(shù)據(jù)�����、改進(jìn)警報(bào)分類和自動(dòng)執(zhí)行重復(fù)性任務(wù)來改進(jìn) SOC 流程����。
但是,SOAR很復(fù)雜�,成本很高,需要一個(gè)高度成熟的SOC來實(shí)施和維護(hù)合作伙伴的集成和操作手冊(cè)��。
什么是擴(kuò)展檢測(cè)和響應(yīng)(XDR)����?
XDR是一種安全產(chǎn)品集成套件,能夠全面跨越混合型IT架構(gòu)(涵蓋局域網(wǎng)��、廣域網(wǎng)���、基礎(chǔ)設(shè)施即服務(wù)乃至數(shù)據(jù)中心等)��,實(shí)現(xiàn)威脅預(yù)防�����、檢測(cè)與響應(yīng)等要素的互操作與協(xié)調(diào)功能��。換句話說���,XDR正努力把控制點(diǎn)��、安全遙測(cè)�、分析與操作整合到統(tǒng)一的管理系統(tǒng)中���。
安全行業(yè)正經(jīng)歷著轉(zhuǎn)向XDR這個(gè)新型解決方案的過程����。因?yàn)閄DR聚合了整個(gè)企業(yè)的安全數(shù)據(jù)�����,所以有些人可能會(huì)認(rèn)為它只是 SIEM 的進(jìn)化版本�。但事實(shí)卻是XDR遠(yuǎn)遠(yuǎn)超出了傳統(tǒng) SIEM的特征��,它通過更有效的安全能力�、更快的工作流程、更好的事件管理和更高的可見性提供了有形價(jià)值。
XDR 一詞于2018年首次引入��,指的是新一代安全解決方案���。分析公司 Gartner 將其描述為“威脅檢測(cè)和事件響應(yīng)工具���,將多種安全產(chǎn)品原生集成到一個(gè)有凝聚力的安全操作系統(tǒng)中”。XDR中的“X”代表對(duì)整個(gè)IT生態(tài)系統(tǒng)保護(hù)的集成和擴(kuò)展����,從而比以往任何時(shí)候都更進(jìn)一步地“擴(kuò)展”了保護(hù)。XDR的前身是端點(diǎn)檢測(cè)和響應(yīng) (EDR)���,EDR專注于監(jiān)控和保護(hù)組織機(jī)構(gòu)免受端點(diǎn)威脅�。隨著數(shù)據(jù)越過邊界����,XDR有必要將保護(hù)范圍擴(kuò)展到網(wǎng)絡(luò)、服務(wù)器����、云以及端點(diǎn)。
XDR承諾以開箱即用的自動(dòng)操作快速應(yīng)對(duì)各類繁瑣枯燥的安全任務(wù)���。在這方面���,我們也可以把XDR理解成一種低成本的交鑰匙型安全協(xié)調(diào)與響應(yīng)(SOAR)解決方案�。
XDR 能提供高級(jí)檢測(cè)�、快速響應(yīng)和直觀的自動(dòng)化,可滿足大多數(shù)客戶的需求��,而無需 SIEM 不可預(yù)測(cè)的定價(jià)或第三方 SOAR 解決方案的額外成本��。通過將多個(gè)安全工具整合到一個(gè)威脅檢測(cè)和響應(yīng)平臺(tái)中�����,XDR 緩解了管理多個(gè)獨(dú)立解決方案所需要的時(shí)間��、精力及格外的復(fù)雜性�����。
比較SIEM ��、SOAR 和 XDR
SIEM非常適合收集和分析大量日志和其他數(shù)據(jù)���。對(duì)SIEM進(jìn)行了大量投資的機(jī)構(gòu)可能仍會(huì)選擇將其用于合規(guī)性和審計(jì)的目的——尤其是在金融和醫(yī)療保健等面臨嚴(yán)格監(jiān)管審查的行業(yè)�����。但是SIEM技術(shù)是在2000年代中期首次引入的���,當(dāng)時(shí)的威脅形勢(shì)與現(xiàn)在大不相同。雖然SIEM曾經(jīng)滿足過當(dāng)時(shí)的需要���,但面對(duì)不斷增長的攻擊面威脅�,它在預(yù)防�、檢測(cè)和響應(yīng)不再那么有效了。
SIEM用戶面臨著一系列的挑戰(zhàn)��,包括不可預(yù)測(cè)的成本��、過多的噪音以及有限的檢測(cè)和響應(yīng)能力�����。運(yùn)行SIEM需要高度專業(yè)化的工作人員��,不僅需要構(gòu)建SIEM��,還要開發(fā)檢測(cè)分析功能����。對(duì)于想要完善其安全程序并提高其對(duì)攻擊做出反應(yīng)和響應(yīng)能力的公司而言����,XDR是一種更具成本效益且量身定制的解決方案�����。
XDR可以作為一個(gè)互連系統(tǒng)���,使環(huán)境中的各個(gè)方面都獲益于威脅情報(bào)����,而不會(huì)帶來任何共擔(dān)風(fēng)險(xiǎn)或格外成本����。XDR可以對(duì)目標(biāo)攻擊提供更有效的檢測(cè)和響應(yīng),包括對(duì)行為分析��、事件響應(yīng)��、威脅情報(bào)和自動(dòng)化的原生支持�����。
SOAR解決方案將SOC核心流程自動(dòng)化��,從而只需要更少的資源和時(shí)間實(shí)現(xiàn)更高效的響應(yīng)��。增加的效率幫助機(jī)構(gòu)減少了平均響應(yīng)時(shí)間 (MTTR - mean time to respond)�。而快速響應(yīng)可減少滯留時(shí)間,快速遏制入侵者���,限制攻擊的影響���。SOAR對(duì)SIEM有很大價(jià)值的補(bǔ)充。
相比之下�,XDR內(nèi)置威脅檢測(cè)、調(diào)查和響應(yīng)(TDIR)用例包�,提供了規(guī)范工作流和數(shù)據(jù)源、檢測(cè)模型�����、監(jiān)視列表�、調(diào)查清單和響應(yīng)等內(nèi)容。XDR能夠提供高級(jí)檢測(cè)�、快速響應(yīng)和直觀的自動(dòng)化,可以滿足大多數(shù)客戶的需求��,而無需增加SOAR解決方案所帶來的成本。XDR自動(dòng)關(guān)聯(lián)�����、確定優(yōu)先級(jí)和驗(yàn)證警報(bào)�����,使安全團(tuán)隊(duì)能夠高效地處理最緊迫的威脅��。它還提供內(nèi)置的安全調(diào)查工作流程和自動(dòng)化劇本��,有助于簡(jiǎn)化調(diào)查并加快響應(yīng)行動(dòng)�。簡(jiǎn)而言之,XDR超越了端點(diǎn)��,旨在成為 "SOAR-lite":一個(gè)簡(jiǎn)單�����、直觀����、零代碼的解決方案和輕量化工具,提供從XDR平臺(tái)到連接安全工具的可操作性。根據(jù)來自更多產(chǎn)品的數(shù)據(jù)做出決策�����,并可以通過對(duì)電子郵件����、網(wǎng)絡(luò)�、身份和其他方面采取行動(dòng),在你的堆棧中采取行動(dòng)����。除此之外,XDR還可有效降低長期折磨安全人員的大量警告噪音�����,減輕手動(dòng)工作的負(fù)擔(dān)并節(jié)省分析師的寶貴時(shí)間����。
XDR目前仍是一個(gè)新興的安全領(lǐng)域,結(jié)合了安全信息和事件管理(SIEM)�����、安全編排自動(dòng)化和響應(yīng)(SOAR)、端點(diǎn)檢測(cè)與響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA)��,集中安全數(shù)據(jù)和事件響應(yīng)����,是一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測(cè)的方法。XDR平臺(tái)旨在解決SIEM工具的挑戰(zhàn)��,以有效地檢測(cè)和應(yīng)對(duì)目標(biāo)攻擊���,包括行為分析��、威脅情報(bào)����、行為剖析和分析�����。此番行動(dòng)不禁讓大家聯(lián)想到�����,SIEM是否會(huì)就此轉(zhuǎn)向XDR����。而XDR和SIEM并不是融合��,而是相互碰撞���。XDR目前并不能取代安全分析平臺(tái)或安全信息和事件管理(SIEM)解決方案,目前還是一個(gè)共存的局面��。而安全分析平臺(tái)可以幫助XDR增強(qiáng)威脅檢測(cè)能力��。
SIEM����、SOAR��、XDR的比較如下:
XDR的快速發(fā)展�����,SIEM領(lǐng)域終于有了真正的競(jìng)爭(zhēng)對(duì)手�,這對(duì)于SIEM廠商來說既是挑戰(zhàn),也是機(jī)遇�����,因?yàn)榘踩袠I(yè)最能夠拉開差距的就是技能方面的差異。
參考來源:Understanding the Difference Between SOAR vs SIEM vs XDR
關(guān)鍵詞:
