安全圈 , 历来是有 鄙视链的
大家熟知的安全“三大件”
防火墙、IDPS、杀毒软件
个个都惨遭鄙视
先看下一代防火墙
这厮鄙视了传统防火墙/UTM好些年
如今 , 又被「 云防火墙」给鄙视了
↓
文章图片
再看IDS和IPS
历来互相看不惯彼此
现在 , 双双被新出道的「 NDR」吊打
↓
文章图片
最后轮到杀毒软件
作为资格最老的“安全产品”
不仅没有老而弥坚
反而成了「 EDR」们的垫脚石
↓
文章图片
这都还不算啥
更流行的是整个大圈子的鄙视链
比如
「 云原生安全」对「 传统安全」
进行碾压式整体鄙视→_→
文章图片
为什么会有这些“鄙视链”?
是因为安全建设的大趋势变了
传统的“ 合规驱动型”安全建设
往往是这样的
↓
文章图片
如今 , 这种“合规驱动型”安全建设
正在向“ 实战驱动型”演进
既然是实战
就必须注重 攻防演练和 动态防御
↓
文章图片
so , 在这样的新形势下
安全市场的鄙视链
就越发清晰了
?
静态防御
一定会被动态、自动化防御能力鄙视
↓
文章图片
?
单点防御
一定会被多点立体防御能力鄙视
↓
文章图片
?
传统本地化防御
一定会被云化防御能力“鄙视”
↓
文章图片
so
今天我们隆重介绍一个
结合了以上3大“鄙视”特征
站在鄙视链 顶端的产品
它就是:XDR
↓
文章图片
XDR的全称叫作
E x tended D etection and R esponse
扩展的安全检测与响应
↓
“检测“和”响应”
但凡搞安全 , 都绕不开这两个词
检测→ Detection
简单说就是从相关维度查找蛛丝马迹
诊断出 安全威胁
↓
响应→ Response
就是发现威胁之后 , 进行应对和处置
【数据|2022安全圈的最新鄙视链,出炉!】该喊的喊 , 该堵的堵 , 该杀的杀
↓
检测和 响应的过程 , 好比大夫看病
先“望闻问切”、“查尿验血拍片”
然后再给治理方案:吃药打针动手术
不同的大夫 , 擅长看不同的病
比如 EDR , 主要看终端上的病
再比如 NDR , 主要查网络中的病
↓
文章图片
专科专治 , 固然没毛病
但安全威胁 , 今时不同往日
攻击全天候、立体化、无孔不入
危害性也越来越强
文章图片
所以 , 检测和响应的方式也要立体化
就这样 , 更加“ 立体”的XDR来了
“X”代表“ Extended” , 是“扩展”的意思
XDR不是一个人在战斗
它是多种检测和响应能力的团队作战
↓
文章图片
从前 , 企业安全的各个组件
像一块块散装木板 , 很难形成合力
XDR像是“桶箍”
把一块块散架的木板变成了
牢不可破的 安全全家桶
这才有了“能力齐射”的效果
↓
文章图片
在这个“全家桶”里
XDR与各种安全组件紧密集成
对各种日志、流量、告警、情报
进行智能分析和威胁检测
然后再指挥、协调各个安全组件
完成自动化的响应和处置
↓
文章图片
XDR之所以能“号令天下”
源于它具备5大超能力
首先
XDR是一个 全局安全控制点
不像EDR只局限于终端侧
XDR统揽终端、网络、云和工作负载
把各个层面防护和控制都兼顾到
说白了 , 格局够大 , 能一杆子通到底
↓
文章图片
第二
XDR有超强的联动能力
也就是 安全集成和互操作能力
不但要汇总各种数据 , 进行监测
还要联动各类产品快速响应
比SOAR更容易与其它产品集成
特别考验“沟通”和“协调”的本事
↓
文章图片
第三
大数据处理和AI分析
也是XDR必须要具备的本领
既然汇聚了全局的安全数据
(日志、告警、流量、情报)
就要依赖机器学习和AI算法
还会引入数据湖的相关能力
对海量数据进行分析处理
发现高级威胁 , 还原攻击杀伤链
↓
文章图片
第四
XDR还具备 自动化编排能力
通过自动化技术和工具
减少安全运维人员的手动操作
降低出错概率 , 提高安全运营效率
可以提前编排响应策略
在威胁发生时 , 自动执行“预案”
↓
文章图片
最后
XDR还要具备威胁情报能力
既可以利用威胁情报产品
提升检测时效
又可以将分析结果反哺
给威胁情报提供实战加持
↓
文章图片
通过这些“超能力”
XDR统揽全局 , 号令天下
深度、全面地检测各类威胁
而且可以一处检测 , 全局响应
大大提升安全运营效率
降低安全支出成本
文章图片
那么 , 对于广大企业来讲
具体该如何落地XDR方案呢?
接下来 , 我们以鹅厂为例
讲讲 腾讯安全XDR是怎么干的
文章图片
当前IT环境 , 大多以混合IT为主
既有公有云/云原生场景
也有本地化部署/传统IT场景
鹅厂XDR充分考虑了场景差异
提供两套相对独立的方案
↓
文章图片
?
云原生XDR方案
XDR产品的特色是“集众之智”
充分整合现有安全产品
所以 , 鹅厂的云上XDR
融合了腾讯云上的成熟安全产品
(CWPP、云WAF、云FW、iOA SaaS等)
多产品联动形成立体化的检测和响应
↓
文章图片
同时
基于云端强大算力和大数据能力
结合威胁情报、ML算法、专家知识
能够自动实现事件分析和调查
云上联动的均为鹅系自家安全产品
API接口成熟 , 调度便捷
轻松实现一键快速响应
↓
文章图片
对于使用腾讯云公有云/混合云的客户
这套云原生XDR方案可以说是绝配
可以得到开箱即用的安全体验
?
私有化XDR方案
这类客户通常经历过长期的迭代建设
本地拥有大量异构的安全组件
腾讯私有化XDR针对这种场景
支持大量第三方设备告警和日志
并进行统一的分析和检测
↓
文章图片
在整合原有老设备的同时
引入腾讯安全NDR和iOA两大利器
强化网络和终端层面的检测与响应
利用云上经验为本地化防护赋能
文章图片
在两套XDR方案的底层
由 天幕PaaS提供安全算力和算法支持
这是鹅厂多年云能力和云防护经验的积累
通过高性能、低代码的底层PaaS驱动
XDR可以比SOAR更轻松联动生态
强力驱动上层应用
↓
文章图片
最终 , 两套XDR方案
灵活应对不同的业务场景
云原生方案开箱即用 , 一站式防护
私有化方案开放性好 , 持续集成
↓
文章图片
如果面对更复杂的混合IT环境
需要分别部署不同XDR方案的时
可以部署鹅厂 T-Sec安全运营中心
将多套XDR平台的结果整合起来
实现混合架构下的一体化检测与响应
↓
文章图片
看到这里 , 相信很多人还有顾虑
尤其是已经搞了一大堆NDR/EDR
甚至刚刚建了SIEM的客户
毕竟 , XDR是新鲜事物
到底有没有坑 , 能不能打?
文章图片
但您如果回顾一下XDR的发展史
会发现NDR/EDR/SIEM这些组件
恰恰是建设XDR的基础
XDR与这些单点能力可以相互促进
还可缓解SIEM过度告警带来的困扰
最终形成合力 , 登上鄙视链之巅
↓
文章图片
更重要的一点
XDR的战斗力强不强 , 肉眼可见
比如鹅厂的 云原生XDR方案
SaaS化开箱即用 , 部署成本极低
好不好用 , 适不适用 , 立马见分晓
文章图片
同时
鹅厂通过 云上锤炼+云下赋能
已经摸索出一条稳健“ 爬坡”路径
帮助客户快速落地私有化XDR方案
文章图片
我们也相信
在 实战驱动的大背景下
XDR , 作为安全防御的“重装护甲”
必将迎来大爆发!
文章图片
推荐阅读
- IT|极星投放2022年超级碗广告:讽刺大众和特斯拉
- 航天科技|中国航天科技集团2022年宇航发射将超50次
- Intel|英特尔Sapphire Rapids-AP HEDT处理器或于2022年底到来
- 人物|特斯拉四个月召回11次汽车 马斯克称安全机构为“扫兴鬼”
- IT|2022年“超级碗”科技公司广告盘点:从元宇宙到加密货币交易所
- 高性能|水冷游戏本和高性能游戏本怎么选?2022年大学生怎么选择电脑?
- 情形|修订后的《网络安全审查办法》明日施行
- 数据|智慧蓉城研究院首次亮相
- Apple|iPhone SE 2022现身欧亚经济委员会数据库 共有三款
- 保障|24座煤矿设备数据完成全省联网 保障网正在形成