如今�����,變化的安全挑戰(zhàn)���、多態(tài)的IT架構(gòu)、復(fù)雜的建設(shè)需求����、嚴(yán)苛的合規(guī)審查……�����,甲方心力交瘁��,乙方疲于奔命��。傳統(tǒng)安全產(chǎn)品交付模式�����,投入大、成本高�、難維護(hù)、效果差�����,完全無法應(yīng)對����。
網(wǎng)絡(luò)攻擊的增長導(dǎo)致合規(guī)要求更加嚴(yán)格。法案��、標(biāo)準(zhǔn)、監(jiān)管——所有的這些都需要組織來實現(xiàn)一組全面的安全控制,包括監(jiān)測�����、審計和報告,所有這些都促進(jìn)了SIEM系統(tǒng)�。有近二十年的時間,安全信息和事件管理(SIEM) 平臺是唯一可以幫助安全團(tuán)隊集檢測����、調(diào)查和響應(yīng)為一體的解決方案。
不幸的是���,隨著時間的推移��,SIEM 面臨著一系列挑戰(zhàn)��。雖然SIEM曾經(jīng)足夠好了�����,但它們在預(yù)防�、檢測和響應(yīng)不斷增長的攻擊面的威脅方面不再那么有效��。此外,SIEM工具以價格昂貴��、部署具有挑戰(zhàn)性以及操作和維護(hù)繁瑣而著稱�。
(相關(guān)資料圖)
后來,許多機(jī)構(gòu)在SIEM的基礎(chǔ)之上����,通過安全編排、自動化和響應(yīng) (SOAR -Security Orchestration, Automation and Response) 解決方案聚合來自端點��、電子郵件����、云和其他系統(tǒng)的警報以提升其能力。SOAR解決方案支持自動化�����、編排和其他分析工具����,從而可以集中管理與潛在威脅相關(guān)的關(guān)鍵信息�����。但SOAR也伴隨著高成本和復(fù)雜性,需要一個很成熟的安全運營中心 (SOC) 來實施并維護(hù)其與合作伙伴的集成和劇本��。
SIEM和SOAR等解決方案在當(dāng)今的網(wǎng)絡(luò)安全環(huán)境中已達(dá)到其極限����,在預(yù)防、檢測和響應(yīng)不斷增長的攻擊面的威脅方面不再有效���。因此��,機(jī)構(gòu)正在轉(zhuǎn)向擴(kuò)展檢測和響應(yīng) (XDR) ��,以統(tǒng)一整個企業(yè)的威脅檢測和響應(yīng)���。事實上,60%的機(jī)構(gòu)計劃在未來12個月內(nèi)實施或進(jìn)一步增加XDR 的使用��。
但是這些解決方案之間有什么區(qū)別呢��?哪個適合自己的組織����?
什么是 SIEM?
SIEM不是一個單獨的工具或應(yīng)用程序��,而是一組不同的構(gòu)建塊,它們都是系統(tǒng)的一部分����,它是一個由多個監(jiān)視和分析組件構(gòu)成的安全系統(tǒng)。SIEM沒有標(biāo)準(zhǔn)的SIEM協(xié)議或已建立的方法�,包括了聚合、處理和標(biāo)準(zhǔn)化�、關(guān)聯(lián)、呈現(xiàn)��、緩解和修復(fù)等五項元素���。
SIEM負(fù)責(zé)收集�����、匯總�����、分析、存儲和報告自整個組織的大量日志數(shù)據(jù)�����,用于事件響應(yīng)、取證和合規(guī)性�����,旨在幫助組織檢測和減輕威脅����。雖然首字母縮略詞 SIEM 是 Gartner 在 2005 年首次創(chuàng)造的,但SIEM的基礎(chǔ)功能已經(jīng)存在更長時間了�����。早在 1990 年代�,有遠(yuǎn)見的機(jī)構(gòu)就認(rèn)識到他們需要將不同源的安全日志整合到一個系統(tǒng)中,以便分析和滿足合規(guī)性要求�。
SIEM工具聚合日志數(shù)據(jù),從分布式自動收集和處理信息來源,并將它集中存儲,為SecOps團(tuán)隊提供了統(tǒng)一的遙測資源��。它還可以保留用于取證和合規(guī)目的的數(shù)據(jù)�����,并進(jìn)行不同事件之間的關(guān)聯(lián)�,跨系統(tǒng)查詢數(shù)據(jù)以進(jìn)行威脅檢測和調(diào)查,并根據(jù)這些信息生成警報和報告��,以及提供儀表盤等,以幫助 SecOps 員工按需監(jiān)控環(huán)境�����,滿足審計要求��。
然而��,SIEM工具需要大量的微調(diào)和努力來實施����,安全團(tuán)隊也可能被來自SIEM的大量警報所淹沒,導(dǎo)致SOC忽視關(guān)鍵警報���。此外����,即使SIEM從幾十個來源和傳感器捕捉數(shù)據(jù)��,它仍然是一個被動的分析工具���,發(fā)出警報��。
什么是 SOAR�����?
安全自動化是安全操作相關(guān)任務(wù)的自動處理�����,包括管理職責(zé)和事件檢測與響應(yīng)�。安全自動化使安全團(tuán)隊能夠隨著工作負(fù)載的增長而相應(yīng)擴(kuò)展其能力���。安全編排是一種連接安全工具和集成不同安全系統(tǒng)的方法��,是簡化安全流程和支持自動化的連接層���。目前有66% 的分析工程師認(rèn)為他們的一半任務(wù)可以自動化。出于這個原因�,一些機(jī)構(gòu)轉(zhuǎn)向了SOAR平臺。
SOAR通常被用作為SIEM系統(tǒng)的擴(kuò)展��,可以提供劇本將分析師常用工作流程自動化����,并可幫助實施“安全中間件”,允許不同的安全工具進(jìn)行通信����。SOAR通過豐富數(shù)據(jù)���、改進(jìn)警報分類和自動執(zhí)行重復(fù)性任務(wù)來改進(jìn) SOC 流程。
但是�����,SOAR很復(fù)雜�����,成本很高�,需要一個高度成熟的SOC來實施和維護(hù)合作伙伴的集成和操作手冊。
什么是擴(kuò)展檢測和響應(yīng)(XDR)���?
XDR是一種安全產(chǎn)品集成套件�,能夠全面跨越混合型IT架構(gòu)(涵蓋局域網(wǎng)�、廣域網(wǎng)、基礎(chǔ)設(shè)施即服務(wù)乃至數(shù)據(jù)中心等)����,實現(xiàn)威脅預(yù)防、檢測與響應(yīng)等要素的互操作與協(xié)調(diào)功能。換句話說�����,XDR正努力把控制點�、安全遙測����、分析與操作整合到統(tǒng)一的管理系統(tǒng)中。
安全行業(yè)正經(jīng)歷著轉(zhuǎn)向XDR這個新型解決方案的過程���。因為XDR聚合了整個企業(yè)的安全數(shù)據(jù)���,所以有些人可能會認(rèn)為它只是 SIEM 的進(jìn)化版本。但事實卻是XDR遠(yuǎn)遠(yuǎn)超出了傳統(tǒng) SIEM的特征����,它通過更有效的安全能力、更快的工作流程����、更好的事件管理和更高的可見性提供了有形價值。
XDR 一詞于2018年首次引入����,指的是新一代安全解決方案���。分析公司 Gartner 將其描述為“威脅檢測和事件響應(yīng)工具,將多種安全產(chǎn)品原生集成到一個有凝聚力的安全操作系統(tǒng)中”��。XDR中的“X”代表對整個IT生態(tài)系統(tǒng)保護(hù)的集成和擴(kuò)展�����,從而比以往任何時候都更進(jìn)一步地“擴(kuò)展”了保護(hù)��。XDR的前身是端點檢測和響應(yīng) (EDR)�,EDR專注于監(jiān)控和保護(hù)組織機(jī)構(gòu)免受端點威脅。隨著數(shù)據(jù)越過邊界���,XDR有必要將保護(hù)范圍擴(kuò)展到網(wǎng)絡(luò)�、服務(wù)器�����、云以及端點���。
XDR承諾以開箱即用的自動操作快速應(yīng)對各類繁瑣枯燥的安全任務(wù)����。在這方面,我們也可以把XDR理解成一種低成本的交鑰匙型安全協(xié)調(diào)與響應(yīng)(SOAR)解決方案�����。
XDR 能提供高級檢測����、快速響應(yīng)和直觀的自動化�,可滿足大多數(shù)客戶的需求,而無需 SIEM 不可預(yù)測的定價或第三方 SOAR 解決方案的額外成本�。通過將多個安全工具整合到一個威脅檢測和響應(yīng)平臺中,XDR 緩解了管理多個獨立解決方案所需要的時間�����、精力及格外的復(fù)雜性�。
比較SIEM 、SOAR 和 XDR
SIEM非常適合收集和分析大量日志和其他數(shù)據(jù)�����。對SIEM進(jìn)行了大量投資的機(jī)構(gòu)可能仍會選擇將其用于合規(guī)性和審計的目的——尤其是在金融和醫(yī)療保健等面臨嚴(yán)格監(jiān)管審查的行業(yè)�����。但是SIEM技術(shù)是在2000年代中期首次引入的,當(dāng)時的威脅形勢與現(xiàn)在大不相同����。雖然SIEM曾經(jīng)滿足過當(dāng)時的需要,但面對不斷增長的攻擊面威脅��,它在預(yù)防���、檢測和響應(yīng)不再那么有效了�。
SIEM用戶面臨著一系列的挑戰(zhàn)���,包括不可預(yù)測的成本����、過多的噪音以及有限的檢測和響應(yīng)能力�。運行SIEM需要高度專業(yè)化的工作人員,不僅需要構(gòu)建SIEM���,還要開發(fā)檢測分析功能����。對于想要完善其安全程序并提高其對攻擊做出反應(yīng)和響應(yīng)能力的公司而言,XDR是一種更具成本效益且量身定制的解決方案�����。
XDR可以作為一個互連系統(tǒng)����,使環(huán)境中的各個方面都獲益于威脅情報,而不會帶來任何共擔(dān)風(fēng)險或格外成本��。XDR可以對目標(biāo)攻擊提供更有效的檢測和響應(yīng)���,包括對行為分析、事件響應(yīng)��、威脅情報和自動化的原生支持�����。
SOAR解決方案將SOC核心流程自動化���,從而只需要更少的資源和時間實現(xiàn)更高效的響應(yīng)���。增加的效率幫助機(jī)構(gòu)減少了平均響應(yīng)時間 (MTTR - mean time to respond)�����。而快速響應(yīng)可減少滯留時間����,快速遏制入侵者����,限制攻擊的影響。SOAR對SIEM有很大價值的補(bǔ)充�����。
相比之下�,XDR內(nèi)置威脅檢測、調(diào)查和響應(yīng)(TDIR)用例包�,提供了規(guī)范工作流和數(shù)據(jù)源、檢測模型�、監(jiān)視列表、調(diào)查清單和響應(yīng)等內(nèi)容�����。XDR能夠提供高級檢測���、快速響應(yīng)和直觀的自動化����,可以滿足大多數(shù)客戶的需求,而無需增加SOAR解決方案所帶來的成本����。XDR自動關(guān)聯(lián)、確定優(yōu)先級和驗證警報��,使安全團(tuán)隊能夠高效地處理最緊迫的威脅���。它還提供內(nèi)置的安全調(diào)查工作流程和自動化劇本�,有助于簡化調(diào)查并加快響應(yīng)行動�。簡而言之,XDR超越了端點�,旨在成為 "SOAR-lite":一個簡單���、直觀�、零代碼的解決方案和輕量化工具���,提供從XDR平臺到連接安全工具的可操作性��。根據(jù)來自更多產(chǎn)品的數(shù)據(jù)做出決策��,并可以通過對電子郵件�����、網(wǎng)絡(luò)��、身份和其他方面采取行動���,在你的堆棧中采取行動���。除此之外,XDR還可有效降低長期折磨安全人員的大量警告噪音��,減輕手動工作的負(fù)擔(dān)并節(jié)省分析師的寶貴時間�。
XDR目前仍是一個新興的安全領(lǐng)域,結(jié)合了安全信息和事件管理(SIEM)�����、安全編排自動化和響應(yīng)(SOAR)����、端點檢測與響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA)�,集中安全數(shù)據(jù)和事件響應(yīng)���,是一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測的方法����。XDR平臺旨在解決SIEM工具的挑戰(zhàn)���,以有效地檢測和應(yīng)對目標(biāo)攻擊�,包括行為分析��、威脅情報�����、行為剖析和分析��。此番行動不禁讓大家聯(lián)想到�,SIEM是否會就此轉(zhuǎn)向XDR。而XDR和SIEM并不是融合���,而是相互碰撞。XDR目前并不能取代安全分析平臺或安全信息和事件管理(SIEM)解決方案����,目前還是一個共存的局面���。而安全分析平臺可以幫助XDR增強(qiáng)威脅檢測能力。
SIEM�����、SOAR����、XDR的比較如下:
XDR的快速發(fā)展,SIEM領(lǐng)域終于有了真正的競爭對手�����,這對于SIEM廠商來說既是挑戰(zhàn)����,也是機(jī)遇,因為安全行業(yè)最能夠拉開差距的就是技能方面的差異����。
參考來源:Understanding the Difference Between SOAR vs SIEM vs XDR
關(guān)鍵詞:
