为什么XDR注定会失败
XDR是当下最火爆的网络安全概念之一,资本市场的热度和风头甚至盖过了零信任,一季度谷歌和SentinelOne的大手笔收购更是拉响了XDR市场的整合大幕。根据Gartner最近的报告,虽然目前只有不到5%的组织使用XDR,但预计到2027年这一比例将飙升至40%。
就在XDR春光无限、群雄逐鹿的热闹喧嚣中,一位专家跳出来泼冷水,Query.AI首席运营官兼联合创始人安德鲁·马洛尼近日撰文指出:我们所知道的XDR注定会失败。
马洛尼认为,XDR被炒作过度了,其局限性却被人们选择性无视。
2018年Palo Alto Networks首席技术官Nir Zuk首次创造了XDR(扩展检测和响应)一词。Palo Alto给XDR的定义是:“打破传统安全孤岛以提供跨所有数据源的检测和响应”。在全球新冠病毒大流行之后,随着SaaS云服务的使用猛增,企业需要统一从多个(并且不断增加的)平台和工具统一获取数据以进行安全调查,因此过去几年围绕XDR的炒作也随着疫情持续而不断升温。
但是技术概念和执行之间有很大的不同,马洛尼指出:XDR(无论是单一供应商产品还是开放或混合模型)都有其固有的局限性,这使其难以在市场上取得真正的成功。
单一供应商XDR的缺陷
所谓单一供应商XDR,就是某安全厂商大包大揽,宣布自己能独家提供跨数据孤岛执行威胁检测和响应所需的所有XDR功能,包括安全调查所需的所有收集、聚合、关联和分析功能。
然而,当今数据的离散化和安全工具的多样化意味着,指望任何一家安全厂商提供有效安全调查所需的所有最佳技术和能力是不现实的。这种单一的方法通常需要一个大型行业巨头收购一堆较小的公司,以拼凑出一个完整的安全产品组合。几乎没有商业动机来确保所有这些不同的技术能够紧密集成,构建功能齐全的XDR平台。
此外,对XDR的需求很大程度上源于安全信息和事件管理(SIEM)以及支持安全运营的安全分析方面的挑战。SIEM是不同数据源的原始关联点。但是,SIEM的规则和分析功能很快导致大量警报,随后出现大量误报。如果SIEM,以及后来的SOAR(安全编排、自动化和响应)都没有办法帮助企业将所有数据,例如安全调查所需的上下文信息以及做出准确响应决策所需的所有数据集中到一个地方,我们凭什么相信XDR能做到?尤其是在数据的多样性和规模化导致数据中心化处理难度不断加大的今天?
最后,但同样重要的是,采用单一厂商XDR的前提是企业需要淘汰并替换他们多年来投资的安全技术堆栈,转而支持单一XDR供应商的平台。可以想象,如果CISO或安全领导者打算放弃在其安全生态系统中投入的所有时间、金钱和精力,将所有鸡蛋放入一个新的篮子——某个厂商的XDR,那么CEO或董事会成员的反应会是什么?而且该XDR厂商仅仅是承诺但尚未证明新的方案可以集中处理数据,更准确地进行威胁检测和响应。
开放式、混合式XDR的缺陷
在开方式XDR模型中,企业可以使用来自各种开放式或混合式XDR供应商的单点解决方案。这种策略解决了“淘汰和替换”问题,因为很多企业已经投资了许多可以在开方式XDR环境中使用的安全技术,但是——就像单一厂商XDR面临的问题一样,开方式XDR仍然需要一个连接层来集成所有这些孤立的工具。
这就引入了几个问题:谁来负责(集成)?完全寄希望于安全厂商之间能“发扬国际主义精神”,彼此无缝集成并减轻客户负担是否现实?或者客户是否会被迫与托管检测和响应(MDR)服务商签约以减轻繁重的工作?
这些都是需要评估的重要问题,因为如果没有这个连接层,就不可能将不同的技术和平台整合在一起,这意味着不能促进跨所孤岛的数据访问,无法帮助安全分析师了解数据之间的关系并进行高效的事件响应,最终这意味着XDR将无法实现其预期效果。
还有一点需要考虑:我们看到多家厂商纷纷抱团成立XDR联盟,准备通过将成员技术融合到一个“小生态系统”中来克服集成问题,帮助分析师提高威胁检测和响应能力。
但需要指出的是,这些XDR联盟仍然是封闭的生态系统,客户只能使用联盟内部厂商成员的技术。因此,最终很多企业用户发现,所谓开方式XDR同样需要废除和更换现有的基础设施,并分配大量时间、预算和资源来实施这些新技术。
不看炒作看本质
XDR能否兑现其最初的承诺?不排除这种可能,但这需要XDR厂商们充分意识到位于安全生态系统之上的连接层的重要性,开放对这些工具提供的所有数据的访问。
马洛尼认为:XDR的生命周期都被过度炒作了,XDR并不会是个长命的技术,它将在短短几年内成为过去时。归根结底,XDR是解决数十年来困扰企业的安全检测与响应问题的新尝试。部署XDR的企业客户将看到与他们使用SIEM和SOAR技术所经历的相似的结果——投入数百万美元和数年的时间来获得警报疲劳和低于标准的结果。
重点是,企业不应该被市场炒作牵着鼻子走,盲目地在XDR这个时髦的缩写词上投入大量资金。他们应该在实施任何新的安全技术之前进行必要的尽职调查。
此外,无论是使用XDR、SIEM、SOAR还是其他技术来进行安全检测和响应,安全团队都应考虑部署前文提到的集成层(连接层)。只有这样,企业安全调查使用的数据来源,才能从数据子集和孤岛扩展到所有数据源,从而大大提高事件响应的速度和准确性。