将资源和业务风险与正确的解决方案相匹配
在当今的网络安全环境中,获得对整个企业基础架构(端点、服务器、应用程序、SaaS、云、用户等)的攻击的可见性和响应是一项非常艰巨的任务。 企业被迫创建复杂的安全堆栈,包括 SIEM, UEBA,翱翔,EDR, NDR, 小提示 和其他工具来应对这一挑战。 对于很多企业来说, SIEM 是从基础设施聚合和分析数据的主要工具。 近半数企业表示不满意 SIEMs [1] 但所有企业都会很快指出,他们为了建立和维持自己的企业投入了多少资金、时间和资源。 SIEMs. Open XDR 正在作为一种新方法出现,以应对在整个企业基础架构中获得可见性和响应攻击的挑战。 在本文中,我们将看看如何 Open XDR 以及 SIEM 符合安全解决方案的标准。
定义 Open XDR
Gartner定义 XDR或者,扩展检测与响应(eXT)被定义为“一个统一的安全事件检测与响应平台,能够自动收集和关联来自多个专有安全组件的数据”。这个定义可以追溯到2020年,但它并没有涵盖所有内容。 Open XDR 作为一个新兴的类别 XDR 收集和关联来自所有现有安全组件的数据,而不仅仅是 所有权 或单一供应商的。 所以, Open XDR 定义与 Gartner 相同 XDR 定义除了它以 “所有现有的安全组件,通过开放式架构交付”。 该 开放式 vs. 原生式 XDR 两者之间的差异将在另一篇文章中详细讨论。本文重点关注…… Open XDR 与……相比 SIEM. Open XDR 为实现上述定义所承诺的目标,需满足以下技术要求:
- 可部署性—— 云原生微服务架构,可扩展性,可用性和部署灵活性
- 数据融合—— 集中、规范化和丰富整个攻击面的数据,包括网络、云、端点、应用程序和身份
- 检测– 内置自动检测通过 机器学习
- 相关性 - 跨多个安全工具的高保真相关检测
- 智能响应– 来自同一平台的一键式或自动响应。
声音类似 SIEM 加上一点 SOAR? 那是因为它是。 但是,存在主要的架构差异,允许 Open XDR 兑现许多承诺 SIEMs 协调 SIEMs 已达不到要求。
定义 SIEM
Gartner定义 SIEM或安全信息和事件管理,是指“通过收集和分析(包括近实时和历史数据)安全事件以及各种其他事件和上下文数据源,来支持威胁检测、合规性和安全事件管理”的技术。该定义与安全信息和事件管理的定义非常相似。 XDR建筑学是二者之间最大的区别所在,但从纯粹的定义角度来看…… SIEM 它以主要目的——管理信息和事件——命名。 XDR 它的名称也源于其主要用途——检测和响应。这看似微不足道,但正是这种业务目标上的差异驱动了架构方法,也是其原因所在。 SIEM在当今的安全环境下,这些都需要大量的资金投入。
架构比较
这种比较只关注差异。 有许多技术相似之处,包括长期存储、与安全工具的开放集成、云原生以及高效的搜索和威胁追踪。
然而, Open XDR 与上述五点主要架构差异 SIEMs:
- 数据被强制进入规范化和丰富状态,这是在数据存储在数据湖中之前完成的。
- 警报的检测和关联由人工智能自动驱动 Open XDR而不是像……那样的人为编写的规则 SIEMs.
- 事件是由相关的警报生成的,并基于这些警报在同一平台上协调执行单一响应,这与……相比 SIEM它会将警报发送到另一个 SOAR 平台,然后该平台执行下游关联和响应。
- 很多安全运营所需的工具都是统一的,比如 大数据湖 UEBASOAR、TIP、NDR or EDR 在一个平台上,而许多 SIEM仅包含一个 大数据湖,迫使 SIEM 用户自己手动将许多复杂的工具组合在一起。
差异1和差异2密切相关。为了在任何行业构建和维护有意义的人工智能,必须解决数据问题。在安全领域,这意味着数据必须集中化、规范化和丰富化,以降低数据复杂性。如果平台每次部署时数据建模方式都不同,那么维护人工智能模型将成为一个不可能完成的任务。 XDR 强制要求在数据进入数据湖之前,每次部署都以相同的方式对数据进行建模;数据仅以其规范化和丰富化的状态可用。 SIEM 要么将其作为可选功能提供,要么根本不提供此功能;在可选的情况下,规范化和丰富化被视为对已存储的原始数据的后处理步骤。
总之,关于技术差异 1 和 2, Open XDR 强制对数据进行规范化和丰富,因此它能够构建有意义的 AI,将事件和警报关联在一起。 出于同样的原因, SIEM 由于架构对数据的处理方式,它无法产生同样高精度的AI引擎。 SIEM企业将能够利用人工智能,但难以规模化。
技术差异 3 归结为 Open XDR 在同一平台上执行关联和响应。 事件的高阶构造(多个相关警报)在 Open XDR 平台,这是对整体的回应。 一种 SIEM 必须将警报传递给 SOAR,它必须将警报与规则关联起来,而无需了解环境中发生的所有事情的深层背景。 Open XDR 产生与以下情况类似的反应 SIEM SOAR 的确可以做到这一点,但响应保真度要高得多。 XDR 因为它是由同一个平台协调执行检测和人工智能驱动的关联,所有数据都可以在该平台上获取。
最后的技术差异集中在构建和维护整体安全堆栈的方法上。 Open XDR 旨在统一所有关键安全运营工具,以便可以从一个平台进行协调。 SIEM提供了大量的插件和深度自定义功能,但这却将构建和配置系统的责任落在了用户身上。
对于企业而言,这些技术差异会影响运行安全平台所需的资金、时间和资源。 SIEM这些技术是开放式的,因此运营成本会很高。 Open XDR 平台是安全规范技术,因此企业在使用它们时会更有效率。
最后,虽然并非严格意义上的技术差异,但有两个方面存在差异 SIEMs 更加注重与合规性相关的存储,并且使用同一平台进行 IT 运维。 XDR 其设计目标是实现检测和响应。它仍然可以满足合规性要求,但并非从一开始就为此而设计。在同一平台上进行 IT 运维是独一无二的。 SIEM 可以声称, Open XDR 完全专注于安全。
NG怎么样?SIEMs?
“下一代”任何事物都标志着更好的事物,而不是不同的事物。 NG-SIEMs 胜过 SIEMs 在假设意义上。 Open XDR 与两者都不同。NG-SIEM在许多传统领域带来了巨大的进步。 SIEMs 跟不上当今安全环境的需求。 显着的改进是:
- 大数据技术的使用(不再) SIEM (经常摔倒)
- 一些用户和实体行为分析(UEBA) 通过各种算法
- 对威胁追踪等关键工作流程的 UI/UX 改进
- 与本机或开放式集成 升空
- 数据建模插件。
NG-SIEMs 当然,这将有助于缩小能力差距。 Open XDR 以及 SIEM但建筑风格上的差异依然存在。
一些供应商表示他们提供 SIEM 以及 XDR 平台——问题出在哪里?
两者之间有许多相似之处 SIEM 以及 Open XDR如上所述,技术上的差异虽然细微,但对业务价值和运营所需资本有着重大影响。如果供应商同时使用这两种技术,他们会提出两种主张。 SIEM 以及 Open XDR 来描述他们的产品。
供应商可能做出的第一个声明是他们可能使用 “SIEM 能力” 参考他们的 Open XDR 平台 具备所有重要的能力 SIEM 开放式收集、存储、搜索、报告、云原生——以此来描述如何 Open XDR 可部署在企业安全架构中,专门用于替换现有安全措施。 SIEM.
供应商可能提出的第二个说法是他们的平台既是一个 SIEM 和 Open XDR 平台这一点可能会让人困惑,但它能确保供应商不会错失潜在的品类营销机会,并且无论顾客是否正在寻找某种产品,都能向他们销售产品。 SIEM or Open XDR但正如上文所述, SIEM 以及 Open XDR 两者不同,所以同一产品不可能同时具备这两种特性。
应对碰撞 XDR 和 SIEM
XDR 正在与 SIEM 正如 Forrester [2] 指出的那样,SOAR 和企业安全运营自动化 (SOAR) 也同样重要。企业在考虑这两类技术时,需要兼顾其长期业务成果和可用资源。开箱即用的高精度自动化检测和响应是否更为重要?同一团队在同一平台上进行响应的能力对于缩短攻击潜伏时间是否至关重要?团队是否人手不足,或者需要大量培训才能操作该工具?这些都是企业在制定安全堆栈策略并决定是否采用 SOAR 时必须考虑的关键问题。 XDR or SIEM 适合他们。
