您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
XDR方案在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的應(yīng)用探索
【編者按】XDR是安全威脅檢測和響應(yīng)平臺,是一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測的方法,方案功能視廠商而有所不同。XDR方案價值包括:直接集成安全產(chǎn)品開箱即用;統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢;多種產(chǎn)品的配合和協(xié)調(diào),改進檢測的敏感性及響應(yīng)過程;降低獲得總體擁有成本(TCO)。XDR解決方案目前還處于初期階段,且多應(yīng)用于傳統(tǒng)信息系統(tǒng),未有涉及工業(yè)互聯(lián)網(wǎng)領(lǐng)域。由于工業(yè)互聯(lián)網(wǎng)對于提高安全運營的效率和價值,增強檢測和響應(yīng)的能力的需求不斷增強,在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域借鑒XDR概念,探索工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域XDR方案,實現(xiàn)工業(yè)場景下跨產(chǎn)品的集成和分析統(tǒng)一以及安全數(shù)據(jù)歸一化,基于多產(chǎn)品協(xié)調(diào)聯(lián)動,改進檢測敏感性和響應(yīng)效率,并顯著減少警報的數(shù)量,廣泛應(yīng)用于威脅分級、威脅調(diào)查和威脅狩獵等場景。
XDR是一種基于SaaS的,綁定到特定供應(yīng)商的安全威脅檢測和事件響應(yīng)工具,可以將(該供應(yīng)商的)多個安全產(chǎn)品原生地集成到一個統(tǒng)一的安全運行系統(tǒng)中,以統(tǒng)一所有授權(quán)的安全組件。XDR是一種新的技術(shù),更是一種解決方案,可提高威脅檢測和事件響應(yīng)效率。XDR在功能上與SIEM以及SOAR工具相似,區(qū)別在于其具備在部署時集成特定廠商產(chǎn)品的能力,更加聚焦威脅檢測和事件響應(yīng)。XDR主要是用來保護終端用戶及其使用的應(yīng)用程序和數(shù)據(jù),也可以擴展到數(shù)據(jù)中心保護、身份和訪問管理等。XDR的概念架構(gòu)如下圖,基于終端用戶的保護需要最上層的安全產(chǎn)品(EDR、DLP、FW、IPS、NTA等),然后是數(shù)據(jù)的歸一化,以及數(shù)據(jù)湖再到數(shù)據(jù)關(guān)聯(lián),從而形成事件響應(yīng)、自動化、工作流以及API的相關(guān)價值。
工業(yè)互聯(lián)網(wǎng)是鏈接工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價值鏈,支撐工業(yè)智能化發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施,是新一代信息技術(shù)與制造業(yè)深度融合所形成的新興業(yè)態(tài)和應(yīng)用模式,是互聯(lián)網(wǎng)從消費領(lǐng)域向生產(chǎn)領(lǐng)域、從虛擬經(jīng)濟向?qū)嶓w經(jīng)濟拓展的核心載體。工業(yè)互聯(lián)網(wǎng)通過系統(tǒng)構(gòu)建網(wǎng)絡(luò)、平臺、安全三大功能體系,打造人、機、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施,形成智能化發(fā)展的新興業(yè)態(tài)和應(yīng)用模式。工業(yè)互聯(lián)網(wǎng)為工業(yè)生產(chǎn)帶來機遇的同時,也引入了新的風(fēng)險,設(shè)備種類數(shù)量多,且設(shè)備廣泛互聯(lián),導(dǎo)致漏洞后門資源多,攻擊路徑多,近年工業(yè)互聯(lián)網(wǎng)安全的事件頻發(fā),為工業(yè)互聯(lián)網(wǎng)安全敲響了警鐘。安全是工業(yè)互聯(lián)網(wǎng)的重要保障,工業(yè)互聯(lián)網(wǎng)的發(fā)展需要完善的安全體系保駕護航。工業(yè)互聯(lián)網(wǎng)對于威脅檢測與事件響應(yīng)需求同樣迫切,XDR理念在工業(yè)互聯(lián)網(wǎng)安全具有借鑒意義。
XDR源于EDR,但XDR并不局限于終端,而是將多個來源(如網(wǎng)絡(luò)、情報)的信息組合起來以檢測威脅。XDR可以縱觀網(wǎng)絡(luò)威脅中的多種元素,將威脅情報、網(wǎng)絡(luò)數(shù)據(jù)、日志信息等都納入進來。從EDR到XDR,是安全技術(shù)演進的必然過程。為了應(yīng)對高級攻擊,需要關(guān)聯(lián)來自終端和其他位置的數(shù)據(jù)進行威脅狩獵,XDR因而在2020年進入了Gartner成熟度曲線。成熟度曲線表明XDR進入創(chuàng)新啟動期,XDR方案將提高安全檢測準確性,并提高安全運營效率。
XDR是近兩年提出的新概念,在國外已經(jīng)得到了主流客戶和咨詢機構(gòu)的認可。國外大型安全廠商如思科、微軟、Fortinet、Fidelis Cybersecurity、McAfee、Palo Alto Networks、Symantec、Trend Micro、FireEye、Rapid7和Sophos是XDR的潛在供應(yīng)商。思科XDR方案跨電子郵件、端點、服務(wù)器、云工作負載和網(wǎng)絡(luò)收集并關(guān)聯(lián)數(shù)據(jù),從而實現(xiàn)對高級威脅的可見性。然后對威脅進行分析、排序、追蹤和修復(fù),以防止數(shù)據(jù)丟失和安全漏洞。Fortinet XDR解決方案利用人工智能 (AI) 進行事件調(diào)查響應(yīng),可自動化完成通常由經(jīng)驗豐富的安全分析人員處理的安全運營流程,實現(xiàn)跨廣泛的攻擊面更快速地緩解威脅。FireEye XDR方案提供可管理的檢測和響應(yīng)服務(wù),采取明確的措施來防止事件發(fā)生并減少漏洞帶來的影響。FireEye提供了針對端點安全、網(wǎng)絡(luò)安全和取證、電子郵件安全等的解決方案。
XDR目前主要應(yīng)用傳統(tǒng)信息安全領(lǐng)域,不完全適用于工業(yè)互聯(lián)網(wǎng)安全場景。工業(yè)互聯(lián)網(wǎng)安全與傳統(tǒng)信息安全存在差異,工業(yè)系統(tǒng)以“可用性”為第一安全需求,而傳統(tǒng)信息安全以“機密性”為第一安全需求。工業(yè)互聯(lián)網(wǎng)安全在防護目標、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)傳輸、運行環(huán)境、管理維護等方面有其特殊性,故不能用傳統(tǒng)網(wǎng)絡(luò)安全防護思路解決工業(yè)互聯(lián)網(wǎng)安全問題。工業(yè)互聯(lián)網(wǎng)XDR方案不能完全照搬當前的傳統(tǒng)信息安全XDR方案。
從安全實戰(zhàn)出發(fā),切實提升網(wǎng)絡(luò)安全的檢測與響應(yīng)能力,是工業(yè)互聯(lián)網(wǎng)對未來安全要求。工業(yè)互聯(lián)網(wǎng)安全可借鑒XDR理念,結(jié)合工業(yè)互聯(lián)安全需求特點對XDR架構(gòu)做針對性調(diào)整,通過集成工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品(工業(yè)終端安全產(chǎn)品、工業(yè)防火墻、工業(yè)審計、工業(yè)入侵檢測、工業(yè)網(wǎng)閘、加密裝置、工業(yè)全流量分析系統(tǒng)),對日志數(shù)據(jù)、流量數(shù)據(jù)等安全數(shù)據(jù)進行數(shù)據(jù)歸一化處理、數(shù)據(jù)存儲、關(guān)聯(lián)分析,最終實現(xiàn)綜合的威脅檢測和響應(yīng)平臺,打破安全數(shù)據(jù)壁壘,將安全產(chǎn)品天然融合在一起,通過實時的安全風(fēng)險評估、違規(guī)\惡意行為挖掘、安全事件關(guān)聯(lián)分析、場景化的安全響應(yīng)定制等功能,行成一套閉環(huán)優(yōu)化的安全運營體系,有效提升工業(yè)互聯(lián)網(wǎng)企業(yè)安全運營效率與安全防護水平。
工業(yè)互聯(lián)網(wǎng)XDR方案提供了一種攻擊的檢測及響應(yīng)方案,可基于全流量、日志、情報、資產(chǎn)等源數(shù)據(jù),充分運用大數(shù)據(jù)、流式計算、AI等技術(shù),發(fā)現(xiàn)網(wǎng)絡(luò)中存在網(wǎng)絡(luò)攻擊、異常行為等已知威脅和未知威脅并快速響應(yīng)。XDR具備改進保護、檢測和響應(yīng)能力提高安全運營員工的效率、降低獲得有效檢測和響應(yīng)能力的總體擁有成本等優(yōu)勢,對于沒有足夠的網(wǎng)絡(luò)安全人才或技能來推出自己的集成架構(gòu)的工業(yè)企業(yè)更具吸引力。
建議從以下方面促進XDR方案在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域應(yīng)用發(fā)展:
1、加強技術(shù)投入。安全廠商提高產(chǎn)品的梳理和研發(fā)迭代能力,集成的安全產(chǎn)品API化打通,提供更廣泛更數(shù)據(jù)接入,提高威脅的檢出和處置能力。拓寬XDR場景適用性,針對性的開發(fā)工業(yè)互聯(lián)網(wǎng)XDR方案,無論與SIEM/SOC深度結(jié)合還是作為SIEM/SOC的高性價比替代品都將為工業(yè)互聯(lián)網(wǎng)安全防護體系建設(shè)增加助力。
2、加強XDR市場推廣。針對工業(yè)互聯(lián)網(wǎng)安全市場更廣泛宣傳推廣XDR方案。目前XDR處在發(fā)展初期,尚未形成統(tǒng)一的方案標準,廠商根據(jù)自身產(chǎn)品積累及集成能力來確定安全產(chǎn)品集成范圍。工業(yè)互聯(lián)網(wǎng)XDR市場尚未開發(fā)培育,小型創(chuàng)業(yè)公司和大型安全企業(yè)有同臺競技機會,共同做大做強XDR市場。
3、加快制定相關(guān)標準。目前XDR在國內(nèi)外缺少相應(yīng)方案標準,建議推動相關(guān)標準出臺,加速XDR的標準化進程,并積極推動XDR在工業(yè)互聯(lián)網(wǎng)應(yīng)用的標準落地。
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室 作者 | 長揚科技