网友提问 :问:公司之前一直强调原生 XDR,请问 XDR 和传统的态势感知平台联动其他安全能力比如对 IDS、IPS 进行综合赋能有没有什么区别?XDR 的竞争力和其他厂商的 SOC 区别在哪儿?请介绍一下 XDR将来进一步深耕的发展方向?
2022-10-30 00:00:00
亚信安全 (688225): 回答:答:XDR 与态势感知、SOC 的最大区别在于从 SIEM 到 SOC 到态势感知,它只解决一个问题(而且还没有彻底解决)就是数据本身收集之后的关联分析,态势感知更多的是数据的积累,仅仅是基于更多的安全设备和产品日志的收集汇聚之后的分析。XDR 不是这样,XDR实际上是要基于数据和指令两个层面来解决所有产品在云、网、边、端的能力型产品的打通问题。第一,XDR 从指令层面、数据层面的汇聚比态势感知要深入的多。很多公司的态势感知不管是对接第三方厂商的产品还是自己的产品,基于日志的汇聚可以解决很多问题,但是如果没有基于对威胁感知、发现、处置、响应、阻断去获取更多的数据,是不可能具备威胁处置阻断响应的能力,所以原生 XDR 在数据层面不仅仅是基于日志去进行打通,关联之后的发现能力可以处理和解决高级威胁。比如现在的勒索攻击,APT 化之后很多攻击无法在单点识别,某种角度来看态势感知把这些数据汇聚可能识别不了是不是一个勒索攻击,但是 XDR 可以做到,因为这些产品提供的数据基于我们对于勒索 APT 攻击的特征和手法手段,可以辨别清楚。第二,态势感知、SOC 不会去做指令层面的打通,仅仅是基于 SOC或者态势感知的一部分去联动。实际上指令层面要实现可管理、可配置、可运维到可运营这四个实现,要从指令层面或者操作层面打通,需要底层不仅仅是 API 层面打通,更要从架构上微服务层面打通。这一点其实更类似 Crowdstrike 在做的云原生平台化,能力解耦之后数据能力能够有机构成。当然 XDR 还做不到云原生的、完全能力解耦的平台化,因为它毕竟还是从产品层面打通,不是把产品做原子能力的打通,那种只有在云原生的框架才能做到。4所以 XDR 和传统态势感知、SOC 本质上的区别是很大的,而且 XDR能够提供对 APT 勒索攻击的发行能力、处置能力、阻断能力,这远远优于态势感知去收集各种各样产品的日志和数据进行汇聚之后的分析和展现。基于以上区别,在黑灰产业链日益猖獗的现状下,面临数据泄露、资源控制、勒索攻击这三大网络安全威胁,都要求在云网边端有真正具备威胁发现、处置、响应、阻断能力的产品,才能够去解决这些攻击和威胁,并且这些产品要真正能联动起来,变成可管理、可配置、可运维到可运营。所以只要黑灰产业链存在以及攻击手法不断变化、升级换代,客户对 XDR 的需求都会上一个台阶,走上平台化的路径。
2022-10-30 00:00:00