[新科技速遞]
公有雲和人工智能變成主流,間接導致網絡保安發生變化。不少針對公有雲保安供應商股價急升,以Crowdstrike升破300美元為例,可能反映網絡保安重心正在轉變。
近月多宗網絡事故,加上公有雲和SaaS應用廣泛,生成式AI令企業愈來愈多數據,傳送到雲端以大模型訓練,不少企業認識到公有雲,或者SaaS和AI 應用,不可能依賴傳統保安機制,除了速度太慢,架床疊屋,又誤鳴極多,導致保安疲勞,結果徒勞無功。威脅偵測及回應(Extended Detection and Response,XDR)應運而生,回應公有雲和分散架構的挑戰。
XDR原理是將各種設備的數據和警報;包括了電郵、終端設備、公有雲、SaaS應用、網絡等的安全數據,整合至同一個平台上,以作廣泛和深入的威脅檢測、分析和回應。不過,多個來源數據先要經過「歸一化」(Data normalization)後,變成標凖格式才供分析,結果成本高踞不下。
公開制式大勢所趨
數據「歸一化」是保安協調中心(SOC)內,最耗資源心力的瑣碎工作,完成後數據才能分析。多家IT業界合作推出的Open Cybersecurity Schema Framework (OCSF)框架,以公開制式消除數據「歸一化」的障礙,又獲得AWS大力支持。現時共十多種主流SaaS可通過AWS的AppFabric服務,可自動轉化成OCSF,配合威脅情報和MITRE ATT&CK框架描述的攻擊手段,就可更快確認攻擊。
OCSF可接收多個保安廠商警報,互相對照之下,大大減少誤鳴。OCSF有如一種互惠機制,減低偵察入侵成本,為保安服務帶來更多價值,帶動XDR市場成長。XDR市場廣泛獲看好。研究機構Gartner預測,2027年前全球有至少四成機構,會選擇XDR來減少供應商數目,加快偵察和回應入侵。
XDR明日之星
XDR如雨後春簡,不少初創進入市場,更不乏傳統終端和防火牆廠商;Crowdstrike推出Falcon XDR、Palo Alto Networks(PAN)則有支援AI的Cortex XDR、Trend Micro的Vision One、SentinelOne的Singularity、Microsoft的Defender XDR、電郵和雲端保安服務商Barracuda也推出XDR產品線。
XDR講求豐富的保安數據和威脅情報;類似Crowdstrike、PAN、Trend Micro紛紛加入OCSF陣營,接收更多應用和設備的目錄檔和警報,再結合自家威脅情報偵察。偵察到入侵以後,保安團隊須要作出回應,即場攔截黑客入侵,阻截最有利位置,反而就是邊緣位置。問題在於保安邊緣,早已不屬企業防火牆,不少在家工作和遠程用戶,在用戶設備上攔截,可能更具意義。
端點保安佔盡地利
一旦XDR發現了入侵,即使防火牆自動加入規則,防禦作用可能有限,倒不如更新終端的設定攔截。從防禦角度看,XDR對端點保安工具廠商,特別有利。
理論上,全球最大終端保安,非Microsoft的Defender莫屬,Microsoft 365是最大的SaaS應用,XDR市場應所向披靡。問題是不少機構利用混合雲,OCSF出現之後,各種SaaS應用和公有雲日誌和警報,都可變為OCSF訊號,公開社區反而擁更多數據來源。
類似Crowdstrike和Trend Micro端點偵測與回應(EDR)傳統廠商,亦是OCSF成員,結合EDR阻截入侵,甚至宣稱XDR就是EDR伸延。上述兩家企業在XDR排名,均遠高於Microsoft以上。
後起之秀百花齊放
XDR廠商通過結盟,增加情報數據來源,加快反應速度。Crowdstrike與Zscaler建立合作關係,讓端點和雲端防火牆互通,加強XDR的偵察性能,所以大廠也不一定佔優,Crowdstrike的迅速冒起,反映業內出現洗牌。
公有雲保安還有後起之秀,成長最快網絡保安初創WIZ為例,創立不到4年,估值突破100億美元,WIZ是以色列網絡保安初創,開發「無代理」(Agentless)進入雲保安和AI市場,銷售額超過二億美元。公有雲和AI安全工具複雜而分散,令人無從入手,往往發出太多警報,根本上無法及時處理。
WIZ覷凖了公有雲保安的痛點,無需部署代理程式,就可掃描雲VM和容器,掃描面自動縮放,配合經常動態創建雲運算,大大減少監察工作量,警報通過OCSF又導入各廠商XDR,更易發現黑客入侵。此消彼長之下,相信類似OCSF公開制式,遲早會改寫保安市場。