在2019年了解到XDR的概念时就非常认同,并建议当时所在的公司转向XDR方向。那时对XDR的理解并不深刻,主要是看到SOC大一统平台在现实中难以实施,同时作为SOC市场的后进入者,基于新的概念方法来应对传统产品的重要不足,更容易获得市场的认可。这几年也一直在跟进安全运营方向的发展,更相信XDR为代表的新型平台化思路是安全必然的趋势。因为它较好解决了3个安全中的难点:
要利用AI来提升安全能力,需要平台充分利用组件的遥测数据采集能力;
降低总体运营的难度/成本,需要较高的自动化运营水平;
客户不希望被单一供应商绑架,但也不希望供应商和产品管理过于复杂。
这种平台化和早年SOC的平台概念非常不同,因此Gartner专门为这种具有新内涵的网络安全平台化起了一个名字——安全网格架构。
一、数据能力
当前网络安全最关键的是数据能力,如果想让日新月异的AI技术能够在网络安全中真正发挥价值,前提条件是具备相对完善的数据能力。这种数据能力包括了报警日志、模型检测数据、上下文情景数据、取证数据以及攻击链/攻击范围分析需要的数据。这其中除了报警日志外,其它类型的数据在很多安全产品中并没有被真正考虑过。近年在一些较新的产品中虽然考虑了这些场景,但却处理得相对简单(以元数据为主),在实际使用中发现并不能完全满足要求。 同时还存在一个难点——针对同一个攻击技战术,每个安全厂商的检测思路和特征提取方法都不相同,因此就造成数据采集和平台分析如果是两个厂商的产品,彼此都很难发挥应有的价值。
这决定了产品不但要考虑防御、检测、分析、响应等各个环节的数据需要,并且最好它们来自同一个厂商以保证数据和分析模型/方法的匹配度,或者厂商之间能够提前在数据/模型/方法上形成一致。 在XDR中,采用前一种由自身完成闭环的就是原生XDR,其代表是PANW ,而采用后一种模式的就是OpenXDR,其代表是CrowdStrike。 原生XDR的产品同属一个公司,正常情况下产品间协调会更容易,因此产品进展会更快;而OpenXDR需要不同公司之间的协调,往往产品进展就会较慢,但在市场推广时客户接受度可能会更高。
二、自动化
网络安全中所谓的人员短缺,很大程度上是和运营效率低,自动化程度不足相关。当前安全运营中存在大量重复、琐碎的工作,由运营人员手工完成,使人效偏低同时也难以保留中高端人才。
这里的自动化并不是由产品替代人完成一切,而是指当前消耗大量时间、精力的低价值工作的自动化: 产生报警后自动将所有相关的上下文信息补充完整,使人可以更快速、准确的研判是否可能是误报;在溯源分析中,可以把不同设备的相关数据都自动聚合在一个分析页面,让人更关注于具体的分析工作; 在明确整个攻击事件后,可以自动化给出可选的响应建议;在确定了必要的遏制/清除动作后,可由平台自动化的执行,以达到及时、准确的效果......
自动化需要平台和组件之间有功能完善的标准接口,而这方面的现实状态和数据基础能力方面非常类似,也存在组件缺乏对应的功能设计、平台和组件之间在相应思路上需要形成一致的困难。
三、横向多平台
如上, 要有更好的安全效果和最优的总拥有成本,组件和平台之间就需要有更紧密的结合。这和早年平台和组件之间的弱关联的思路有极大的不同,这种改变同时顺应了企业方希望减少安全产品种类/数量,以简化供应链同时降低部署和运营成本的思路一致。但企业同时也会考虑到避免被单一供应商绑架,以及通过异构产品来获得更大的安全保障问题。此时大一统平台必然导致的单一供应商问题就使其更不切实际。
同时考虑到安全运营工作的不同类型: 系统固化、身份管理、访问控制、检测响应等,这些领域都有其独特的领域知识,当前看还没有一家综合性的安全公司,可以在这些所有方面都做得非常好。同时大企业的安全运营,这些工作也是分开由不同的部门或人员来完成。所以如果我们能够基于这些角色职责、专业知识的不同而构建多个平台,这种情况下就即可以善用不同安全企业之长,同时也符合企业内部职责划分,而且也解决了单一供应商带来的风险,由此就形成了网络安全中的网格架构。
网格架构下的多安全平台应该包括哪些,当前还没有标准答案。需要基于企业的业务特定而定。规模、云化程度、安全资源和组织架构等都会影响最终需要构建的平台类型和数量。 常见的可能包括:
态势感知:掌握自身的关键风险、威胁形势以及运营水平;
检测和响应:报警管理、威胁狩猎、事件响应和恢复;
攻击面管理:包括资产、漏洞优先级、攻击路径等;
身份/认证/授权/审计:包括零信任访问相关的策略管理;
CNAPP:和云环境安全相关的部分。
这些平台也许在一个企业中不止一个,它们彼此协同工作,最终可以完成一个组织的完整安全运营工作。
小结
综上,平台化的概念虽然在网络安全中由来以久,但是随着威胁对抗的发展和安全技术的进步,已经有了明显的演进,从大一统平台逐步发展成由网格理念推动的多平台。当前原生方式和开放方式两种平台构建方法都在向前发展,原生方式在扩大客户规模上碰到了挑战,而开放方式又难以做到快速成熟。对于未来是那种方式成为主流,当前还未可知,又或者是各有胜场? 但这种趋势确是必然,安全最终不但依赖人,更需AI和自动化,合理的网格化设计才能让一切成为可能,而安全运营也会从近20年的停滞和徘徊中走出来。
声明:本文来自ZenMind,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
