一文了解 EDR、SIEM、SOAR 和 XDR 之间的区别
2021-11-05
来源:嘶吼专业版
网络安全行业充斥着行话、缩写词和首字母缩略词。随着复杂的攻击媒介成倍增加,从终端到网络再到云,许多企业正在面临一种新方法来应对高级攻击:扩展检测和响应,这就产生了另一个首字母缩略词:XDR。尽管 XDR 今年受到行业的广泛关注,但 XDR 仍然是一个不断发展的概念。
什么是 XDR?XDR 与 EDR 有何不同?和SIEM和SOAR一样吗?
2020年以来,随着远程办公的增加,网络攻击也进一步加剧,XDR的热度随之持续上升。2020年,Gartner将XDR命名为第一大安全趋势,并表示XDR解决方案将“提高检测准确性,并提高安全运营效率和生产率。”
作为 EDR 市场的领导者和新兴 XDR 技术的先驱,我们经常被要求阐明它的含义以及它如何最终帮助提供更好的防御效果。这篇文章旨在澄清一些关于 XDR 的常见问题以及与 EDR、SIEM 和 SOAR 之间的区别。
什么是 EDR?
EDR (Endpoint Detection and Response)使组织能够监控终端的可疑行为并记录每个活动和事件。然后关联信息以提供关键上下文以检测高级攻击,并最终运行自动响应活动,例如近乎实时地将受感染的终端与网络隔离。终端检测和响应是一种主动式终端安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在终端或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全攻击,并对这些安全攻击做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
什么是 XDR?
XDR 是 EDR、终端检测和响应的演变。虽然 EDR 收集和关联多个终端的活动,但 XDR 将检测范围扩大到终端之外,以提供跨终端、网络、服务器、云工作负载、SIEM 等的检测、分析和响应。
这提供了一个跨多个工具和攻击媒介的统一的单一管理平台视图。这种改进的可见性提供了这些攻击的背景信息,以帮助分类、调查和快速修复工作。
XDR 自动收集和关联多个安全向量的数据,促进更快的攻击检测,以便安全分析师可以在攻击范围扩大之前快速做出响应。跨多个不同产品和平台的开箱即用集成和预先调整的检测机制有助于提高生产力、攻击检测和取证。
简而言之,XDR 扩展到终端之外,可以根据来自更多产品的数据做出决策,并且可以通过对电子邮件、网络、身份等采取行动,进而在整个堆栈中采取防御。
XDR 与 SIEM 有何不同?
当我们谈论 XDR 时,有些人认为我们是在以不同的方式描述安全信息和事件管理 (SIEM) 工具,但是 XDR 和 SIEM 是两种不同的东西。
安全信息事件管理 (SIEM)从整个企业收集、聚合、分析和存储大量的日志数据,SIEM 以一种非常广泛的方法开始了它的旅程:从整个企业的几乎任何来源收集可用的日志和事件数据,以便为多个用例进行存储。其中包括治理和合规性、基于规则的模式匹配、启发式/行为攻击检测(如 UEBA),以及跨遥测源寻找 IOC 或攻击指标。SIEM解决方案就像飞行员和空中交通管制员使用的雷达系统。如果没有该数据安全管理解决方案,企业 IT 无异于处于“盲飞”状态。虽然安全设备和系统软件擅长捕捉和记录孤立的攻击与会产生威胁的异常行为,但是当今最严重的威胁是分布式的,跨多个系统协同工作,并使用先进的逃避技术来避免进行威胁情报检测。如果没有SIEM安全信息事件管理,攻击就会发生并发展成为灾难性事件。
然而,SIEM 工具需要大量的微调和努力才能实现。安全团队也可能被来自 SIEM 的大量警报淹没,导致 SOC 忽略关键警报。此外,即使 SIEM 从数十个来源和传感器捕获数据,它仍然是一种发出警报的被动分析工具。
XDR 平台旨在解决 SIEM 工具有效检测和响应针对性攻击的挑战,包括行为分析、攻击情报、行为剖析和分析。
XDR 与 SOAR 有何不同?
成熟的安全运营团队使用安全编排和自动响应 (SOAR) 平台来构建和运行多阶段剧本,以在与 API 连接的安全解决方案生态系统中自动执行操作。相比之下,XDR 将通过 Marketplace 实现生态系统集成,并提供针对第三方安全控制的简单操作自动化机制。
SOAR是复杂的、昂贵的,并且需要一个高度成熟的SOC来实现和维护合作伙伴的集成。而XDR的目标是“SOAR-lite”,即一个简单、直观、零代码的解决方案,提供从XDR平台到连接的安全工具的操作能力。
什么是 MXDR?
托管扩展检测和响应 (MXDR) 将 MDR 服务扩展到整个企业,以获得完全托管的解决方案,其中包括跨终端、网络和云环境的安全分析和操作、高级攻击搜寻、检测和快速响应。
MXDR 服务通过 MDR 服务增强了客户的 XDR 功能,以提供额外的监控、调查、攻击搜寻和响应功能。
为什么XDR越来越受欢迎?
XDR 取代了孤立的安全性,并帮助组织从统一的角度应对网络安全挑战。通过包含来自整个生态系统信息的单一原始数据池,XDR 允许比 EDR 更快、更深入、更有效的攻击检测和响应,从更广泛的来源收集和整理数据。
XDR 为攻击提供更多可见性和背景信息,以前无法处理的事件将会浮出水面,使安全团队能够纠正和减少任何进一步的影响,并将攻击的范围降到最低。
典型的勒索软件攻击会遍历网络,到达电子邮件收件箱,然后攻击终端。通过独立地查看每一个变量来解决安全性问题会使组织处于不利地位。XDR集成了不同的安全控制来提供跨企业安全领域的自动化或一键式响应操作,如禁用用户访问、强制对可疑帐户进行多因素身份验证、阻止入站域和文件哈希等,所有这些都是通过用户编写的自定义规则或内置在规范响应引擎中的逻辑实现的。
通过包含来自整个生态系统信息的单一原始数据池,XDR 允许比 EDR 更快、更深入、更有效的攻击检测和响应,从更广泛的来源收集和整理数据。
这种全面的可见性带来了几个好处,包括:
?通过跨数据源的关联减少平均检测时间(MTTD);
?通过加速分类和减少调查和范围的时间来减少平均调查时间 (MTTI);
?通过实现简单、快速和相关的自动化来减少平均响应时间 (MTTR);
?提高整个安全领域的可见性;
此外,由于人工智能和自动化,XDR 有助于缓解安全分析师的手动工作负担。XDR 解决方案可以主动、快速地检测复杂的攻击,提高安全或 SOC 团队的生产力,并为组织带来巨大的投资回报。