作者:Greg Young (趨勢科技網路資安副總裁)
在趨勢科技部落格這篇文章中對於端點偵測及回應 (EDR) 如何邁向全面偵測及回應(XDR) 有相當詳盡的闡述。簡單來說,作者 Jon Clay 認為 EDR 固然很棒,但若有辦法加入端點以外的資訊來源,那應該會更好。「 XDR 」一詞中的「X」泛指為了提供更廣泛、更可靠的偵測及回應所能涵蓋的所有來源。
聽到這裡,很多人的第一個反應可能是:「這聽起來怎麼跟資安事件管理系統 (SIEM) 以及平台很像,因為同樣都是將眾多來源的資訊集中彙整」。在此請容我稍微解釋一下兩者之間的差異,以及為何這些差異會帶來巨大、真實且實際的影響。
我們先從 SIEM 來看。很多人都會苛責 SIEM,但考慮到人們對它的要求,其實 SIEM 已經很棒。將數十種甚至數百種廠商的產品記錄檔蒐集在一起,然後試圖從中發掘資安線索,進而發出有意義的警示通知。不過 SIEM 的問題是涵蓋範圍很廣,但卻深度不足。它的資訊來源很多,但蒐集的資訊卻很有限。
SIEM 無法迫使特定類型的產品 (如端點防護平台) 提供超出通用、標準格式以外的進一步資訊。當端點防護平台新增了一些獨家的偵查能力時,SIEM 能妥善運用這些最新資料來源的情況和能力都相當有限。很重要的原因是,SIEM 並未內建回應機制,它只是一項偵測工具,如同一個未與自動灑水器相連的消防警報器。不過,SIEM 可涵蓋的產品與廠牌非常廣泛,因此 SIEM 不管在當下或未來都其自己的價值定位,無法被 XDR 所取代。其實,SIEM 若能搭配 XDR 來運用,會更彰顯其價值。
下圖是我心目中的 SIEM:
其次,有些廠商的產品涵蓋了眾多領域,這些廠商理論上應該能提供比 SIEM 更豐富的資訊交換與關聯能力,並加入回應功能。但這不就是所謂的「平台」嗎?那 XDR 與平台又有何差異?其實,差異在就於:平台沒有辦法達到我們想要的,原因有幾點,但最重要的原因在於平台缺乏了獨立的資料蒐集單元與資料湖泊 (data lake)。
多年來,我一直在倡導資料穀倉 (data silo) 之間需要一些整合的橋梁,但至今情況仍未有太大改變。不同資安元素之間確實有些訊號連結,而各元素的主控台也內建了分析功能,但仍舊太過薄弱,主要原因有二:第一,這些主控台都是針對企業內的特定角色而設計 (例如,端點防護平台是針對端點資安管理員);第二,由於是針對特定角色設計,因此其整合能力無法全面涵蓋整個企業。
我的意思是:若端點防護平台 (EPP) 從入侵防護 (IPS) 匯入了一些資訊,這些資訊也是對於 EPP 的分析師有用而已。但如果能將分析結果提供給資料中心的資安分析師,讓他們與雲端工作負載防護的資訊結合,進而發掘並攔截駭客在企業內橫向擴散的活動,是不是對企業更有幫助?平台就是少了這個超級無敵的中央資料湖泊,因此其資料蒐集所帶來的效益仍舊侷限於個別穀倉。平台除了在資料蒐集方面受到侷限之外,其回應能力也僅限於產品本身,例如:從 EPP 主控台匯入 IPS 的資料只為了給 EPP 使用。任何比 SIEM 更深入的整合,仍需花費大量的時間,由人員在平台之外進行客製化整合。平台對資訊的掌握深度已經勝過 SIEM,但仍受限於個別穀倉:
XDR 是一種更為強大的平台整合橋梁,同時更導入新的元素:資料湖泊,來打破資料穀倉之間的藩籬。此外,其蒐集的資料亦不限於特定角色的範疇。它並非以角色為中心,而是以攻擊為中心。人員會因為角色的關係而產生盲點,而且駭客深知這點。所以 XDR 不僅提供彈性,更能以前所未見的全新方式瞬間處理豐富、深入的資安資料。由於它採用了專為非結構化、非預期性查詢而設計的集中資料儲藏庫,因此在面對新式攻擊時更能輕鬆自如。再配上成熟的進階機器學習與持續精進的人工智慧,就能從源頭端提升警示的品質,而非遷就於品質不佳的警示資料。
以下是我心目中的 XDR :
圖中顯示了大量的交互通訊,但關鍵在於集中設計的豐富程式設計介面
(API),這意味著只要一有新的產品加入,就能立即發揮加乘效果:因為它在設計時已經能與 XDR 資料湖泊雙向整合。當然,豐富的 API 早已存在,只是未能廣泛涵蓋各類產品
(如電子郵件防護),而且也未整合 XDR 資料湖泊。
所以,結論是: XDR 是跳出端點層次的 EDR,因為它涵蓋了企業 IT 的所有層面。
原文出處:Why XDR Is A Big Deal, and Is Different from SIEM and Platforms
《延伸閱讀》
趨勢科技 Managed Detection and Response- 7 天 24 小時警示監控與威脅追蹤服務
趨勢科技 EDR-利用端點偵測及回應 ( EDR ) 來保護您的使用者