关于XDR的这些问题你都了解吗?
“现在从XDR概念角度来讲,客户肯定是接受的,甚至是他未来安全建设的一个方向,这个毋庸置疑。但换一个名字叫其他什么DR其实都不是很重要,因为XDR要解决的问题是非常明确的,也是我们从威胁检测和响应角度要去帮客户解决他们现在面临的最大的一些问题。”
近日,未来智安(XDR SCE)创始人兼CEO唐伽佳参加了由网安行业门户FreeBuf主办的网安新势力SOLO发布季,作为攻防安全新势力代表厂商,在《浅谈XDR扩展威胁检测与响应》议题之下,唐伽佳对话一众投资人评委与产业评委。
问题来了:
对XDR终端侧如何考虑?
XDR多插件对于性能的要求具体体现在哪些方面?
未来智安XDR平台一方面会对接其他EDR和NDR系统,另一方面也会有自建的EDR和NDR系统,两者的效果会有什么样的差别?对于客户来讲现在哪种部署方式会多一些?
目前客户对于XDR产品的接受度怎么样?有没有相应的用户画像?
王宇帆 | 航行资本
对XDR终端侧如何考虑?
唐伽佳 | 未来智安创始人兼CEO
我们把未来智安XDR定义为一个平台,XDR平台里需要接入各种数据,这些数据起到的作用是XDR平台里面一个重要的能力,我们称之为基于上下文数据的遥测能力的实现,遥测能力更加关注的是流量侧和终端侧的丰富的数据。
终端的能力是XDR最核心能力的一部分。未来智安XDR的终端主要覆盖到PC端、服务器端、CWPP等,可以说对整个终端是全量覆盖的,所以终端的能力是XDR的一项基础和必要能力,对此我们也做了比较大的投入。
马勇 | 中国民航第二研究所技术部总助
XDR多插件对于性能的要求具体体现在哪些方面?
唐伽佳 | 未来智安创始人兼CEO
XDR多插件对于性能的要求其实就是对数据湖性能的要求,是XDR平台一个非常关键的能力,多插件在XDR里体现的是两块能力。
现在全球的对于XDR的定义分成两个阵营,一个叫“原生”XDR,像Palo Alto、CrowdStrike等大厂都觉得所有的数据都应该是自己的,所以这里的插件更多指的是对于自己的各种插件的支持等。还有一个阵营叫“生态”XDR,也就是说市面上只要有相应的数据,比如EDR、NDR的数据都要接进来。这两个阵营的核心需求根本上仍然来自于对性能的要求。
性能要求分为两个点,首先性能体现在两方面,一方面我们叫入库的性能,即存的性能,指的是当数据来了,我们要不断的去存储、建立索引,建立起消费过程中的关联关系等,这对性能要求很高。目前我们用ClickHouse来解决存的问题。另一方面是搜索,对存下来的数据做查询。现在查询比较好的仍然是ElasticSearch。所以这可以算是一种比较创新的方式,存储用ClickHouse,搜索用ES。
而性能要求的另外一点关注的是多插件,这里可能性能是打引号的,是对于功能性、扩展性的要求。因为XDR的全称是扩展的威胁检测响应,这里的扩展性一定是说对于威胁检测和响应这个领域,我们能够满足全面支持客户的扩展性的能力,更多的支持数据遥测能力,当一些攻击线索进来之后,XDR平台能基于这些攻击线索找到相应的遥测数据,进行相应的上下文查询,然后帮客户做到快速的响应和处置。
许俊 | 繁星创投
未来智安XDR平台一方面会对接其他EDR和NDR系统,另一方面也会有自建的EDR和NDR系统,两者的效果会有什么样的差别?对于客户来讲现在哪种部署方式会多一些?
唐伽佳 | 未来智安创始人兼CEO
这是现在市场上客户问到最多的问题。现在市场上有很多类似于XDR的新的概念,其实我个人的一个看法是,可能到现在这个阶段,客户不是很关心这个东西到底叫什么。我们跟客户聊的时候,客户经常会问的问题是你能给我解决什么问题?我现在有什么问题,你能不能给我解决?如果能解决,我就觉得这个东西对我是有用的。
其实安全的本源依然是解决客户在安全运营、安全检测角度存在的痛点,能够实实在在帮他去落地一些事情。不管是XDR两大阵营中“原生”的也好,“生态”的也好,其实不是特别关键。因为从保护客户投资的角度来讲,他的系统里已经有很多探针和数据了,这时候我们要不要去支持对接?我觉得是有必要的,因为从客户整个的安全建设周期来讲,之前的建设不能全部推翻,那么他有好的数据,有一些好的阶段性的建设成果,我们要去充分的利用。所以这是第一点,从XDR会去保护客户的投资这个角度讲。
第二点,从原生的角度来讲,如果客户在之前没有做数据采集或是一些相应的建设,我们的XDR平台能够帮他去做这样的建设,这个事情是不冲突也不矛盾的。
但从两者的效果来讲,不同厂商实现的效果是不一样的,不管是“原生”还是“生态”,我们现在看到的情况来讲与引擎有关系。如果是第三方接入的数据,那一个好的引擎,他在过程当中会把这些数据再重新做加工治理,再去做孵化,再做相应的标签化处理,最后拿到的相应的遥测数据能够跟自己的数据字典结合起来,效果也是可以很好的。所以从生态来讲,全球也有很多成功的生态XDR的例子。
从原生的角度来讲,如果客户的建设阶段还是一些传统的防火墙、IPS等,他其实是可以接受用现在最新的全流量的、或者是EDR的一些探针的建设,然后再去往XDR上走。
杨佳俊 | FreeBuf主编
目前客户对于XDR产品的接受度怎么样?有没有相应的用户画像?
唐伽佳 | 未来智安创始人兼CEO
现在从XDR概念角度来讲,客户肯定是接受的,甚至是他未来安全建设的一个方向,这个毋庸置疑。但换一个名字叫其他什么DR其实都不是很重要,因为XDR要解决的问题是非常明确的,也是我们从威胁检测和响应角度要去帮客户解决他们现在面临的最大的一些问题。
第一个问题,从客户侧来讲,不管是从检测角度,还是从运营角度,在重保期间、攻防演习期间,他们现在遇到的最大问题并不一定是缺乏发现的能力,或是检测点的覆盖,而更多的是如何在海量的数据里面找到有效的告警,第一时间去响应,这是第一个要赶快解决的问题。因为这个问题如果不解决,想要把安全做好,我觉得是一个长期的过程,甚至说是要一直堆人的过程,因为很多技术和平台化、或者是工具化的东西不能解决这个问题,或者太依赖于人去做事。从威胁检测的角度来讲,我觉得安全的发展一定还是很漫长的一个过程。
我们未来智安创立的想法,是在威胁检测的角度能够去做一些创新,帮客户解决一些问题。所以从XDR的角度来讲,我们能够在茫茫的数据里面去找到有效的攻击事件,然后基于这个攻击事件,把我们安全人员、安全专家大脑里面的处置方式落到机器里面,让它变成自动化的响应处置。
举一个很简单的例子,以前做安全运营,特别是在攻防演习的时候,经常会发现一些扫描或是漏洞利用的攻击,当发现这个漏洞利用的时候,可能它已经要进来了,我们的安全运营人员会很紧张,接下来几步的动作是人在这个过程当中持续的去做一些响应和处置的工作。这个时间比较漫长,很多时候这个时间窗口也非常宝贵。但如果我们把安全专家的一些既定动作变成基于这个事件和攻击的自动化的脚本或是自动化的流程,当这个事件出现时,可以一键完成后面的自动化处理,比方说核实漏洞利用,去做基于漏洞的相应的加固,甚至是基于主机的隔离等一系列的动作,安全运营人员通过机器一键几分钟就能把这些事情做下来。在宝贵的时间窗口,让处置的效果立竿见影。
所以现在能够解决这两个问题,未来智安在XDR这个方向上,其实已经可以让客户非常满意了。在我们现有的能源客户、运营商客户、大型银行客户的实际应用里,这些能力都得到了验证,人员投入的效率得到很大的增强。所以客户的满意也让他们愿意持续与我们合作。
目前我们没有贪大求全的要做很多客户,在创立不到两年的时间里,我们希望先服务好几个客户,把产品打磨出来,能够做到很好的客户服务,就能很好的体现未来智安XDR平台的价值。