安全团队依然面临快速检测和响应安全威胁等基础性的挑战。XDR被视为帮助在攻击链中检测、识别和了解复杂威胁的潜在手段。

近期,全球知名信息技术分析和咨询机构ESG的报告显示:企业和组织正在努力提升终端检测与响应平台(Endpoint Detection and Response, EDR)、网络检测与响应平台(Network Detection and Response, NDR)以及其他安全分析方案的能力,以支持更加全面的威胁检测和响应。扩展检测与响应平台(eXtended Detection and Response, XDR)恰逢其时。但部署XDR从何入手?需要同时配置哪些安全能力?

01 威胁检测和响应的重点

ESG报告显示,提升高级威胁检测能力成为威胁检测和响应的首要任务

34%的受访者认为威胁检测和响应需要重点提升高级威胁检测能力,33%的受访者认为应当重点提升自动化修复能力,29%的受访者认为应当降低威胁的平均响应时间。

概括来说,安全运营中心(SOC)团队需要提升威胁检测和响应的效率,尤其是在面对随着时间推移能够在网络中横向移动的未知威胁时

图1:威胁检测和响应的重点领域

02 威胁检测和响应的挑战

2.1安全运营工具购买、维护和运营成本高昂,且无法有效识别未知威胁

SIEM已经成为流行且有效的安全运营技术,但SIEM面临诸多问题和挑战。34%的受访者认为SIEM软件价格很昂贵,32%的受访者认为维护和运营SIEM基础设施成本高昂,需要大量的资源和时间来运营。30%的受访者认为,虽然有经验的专家分析师可以从SIEM中获益,但初级分析师仍在SIEM学习曲线中苦苦挣扎。需要特别注意的是,30%的受访者认为,虽然SIEM可以有效地检测已知威胁,但是无法有效识别未知威胁

图2:SIEM面临的最大挑战

总的来说,图2代表了当下企业和组织安全运营的状态。各种安全运营工具复杂难用、成本高昂,检测复杂未知威胁(能够在跨网络和云工作负载中横向移动的高级威胁)效率低下。CISO正在努力寻求提高安全效率的解决方案,同时降低安全运营的成本和复杂性。

2.2安全运营最大技术挑战是数据摄入

安全分析和运营严重依赖于收集、处理、分析和响应不断增长的安全数据。日志数据类型不仅包括防火墙日志、EDR数据、网络流量、威胁情报、电子邮件、web代理日志,而且还包括许多其他遥测数据源。企业和组织在安全数据管理方面面临诸多问题和挑战:安全告警误报过滤(38%),数据管道弹性(37%),收集、处理、上下文威胁情报(36%),以及构建有效的流处理或批处理数据管道(34%)。

图3:安全数据和告警管理挑战

03 XDR成提升安全效能的潜在途径

企业和组织将XDR视为帮助他们理解、识别和检测复杂的跨杀伤链攻击的潜在途径。大多数企业和组织期望新的解决方案可以简化复杂攻击链的可视化,并提供能够关联多种来源信号的高级分析能力,三分之一(31%)的企业和组织需要自动化响应能力。如果XDR解决方案能够阻止攻击并跨终端、网络、服务器以及云的工作负载更新规则集,将特别实用有效。

图4:最吸引用户的XDR功能

尽管XDR技术可能有助于企业和组织克服现有安全控制和管理工具在进行威胁检测和响应时的问题,但是企业和组织对XDR的概念和定义认知差异很大。多数受访者(36%)认为XDR是一个整合的安全数据管道,用于收集、处理和分析多个控件和数据源。其他受访者认为XDR是现有的安全控制和运营技术的补充和增强,或者是集成安全数据管理、分析和自动化响应的技术栈,或者是终端检测与响应(EDR)技术的演化。

图5:对XDR概念和定义的不同认知

实际上,XDR不仅包括上述所有概念和定义而且不止如此,但用户会对XDR的概念和定义产生困惑。因此,XDR供应商需要采取适当的资源教育整个市场,并与安全团队合作,阐明XDR是什么以及它能提供什么价值。

3.1 XDR需要处理数据摄入问题

鉴于数据摄入是安全运营最大技术挑战,XDR需要重视安全数据管理能力建设。安全数据管理存在大量的工程工作,需要综合考虑各个方面,进而确定相应的优先级。为了克服安全数据管理挑战和潜在的数据瓶颈,各个企业和组织正在构建或改进其安全数据管道(40%),处理、分析跨多个安全控件的信号以检测复杂的攻击(39%),并收集、集中化更多的安全数据(32%)。

图6:安全数据管道构建或改进的优先级

为了适应安全数据的大规模、高速性和多样性等特点,XDR技术需要由一个现代化的数据管道支撑,这个管道可以跨业务系统大规模地收集和处理安全数据。如果不具备这种能力,XDR解决方案需要构建在开源、商业日志管理系统或基于云的数据库和存储产品之上。

3.2 XDR需要扩展SIEM能力

尽管SIEM面临诸多问题和挑战,SIEM是当今威胁检测和响应工具中三个最有价值的之一。SIEM最有价值的特性包括能够检测特殊类型安全事件(例如,勒索软件、钓鱼、漏洞利用、数据泄露)的高级检测能力,能够适用威胁检测和响应不同场景(例如,恶意软件检测、威胁狩猎、调查、培训分析师)的安全运营能力,以及综合UEBA、SOAR、威胁情报分析等安全功能的集成能力。尽管EDR、NDR和威胁情报平台对于安全运营也很有效,但SIEM主要特色在于:作为主要的安全机制有效整合、存储、关联和报告安全数据。

图7:SIEM最有价值的特性

XDR需要扩展SIEM中这些有价值的能力。超过一半的受访者认为XDR可以在增强现有安全分析能力、与SOAR集成以实现安全运营流程自动化、与DevOps集成将安全植入CI/CD流水线方面发挥作用。这样的话,XDR不仅可以改进威胁检测和响应,还可以帮助实现安全运营流程的现代化、集成化和自动化。XDR也就成了SOC现代化的催化剂。

图8:XDR推动SOC现代化的方式

3.3 XDR需要配套MDR服务

托管检测和响应服务(Managed Detection and Response Services , MDR)正在成为大多数现代安全体系的主要部分。大多数企业和组织正在使用MDR提供商的服务,或者正在参与采用MDR提供商的项目。至于这背后的驱动因素,ESG报告显示:超过一半的企业和组织认为MDR提供商在威胁检测和响应方面比他们单独做要更好,43%的企业和组织认为将MDR服务添加到现有的MSSP合同中是一个很好的业务和技术决策,42%的企业和组织通过终端提供商购买MDR服务,38%的企业和组织将MDR视为技能提升的手段,35%的企业和组织需要MDR服务来提升安全团队专业水平。

图9:MDR服务背后的驱动因素

安全分析师需要实际的帮助,托管XDR是对XDR内部运营来说是一个很有吸引力的替代方案。有一半的受访者对完全托管XDR感兴趣。此外,为7x24运营提供人员扩充也很受欢迎,包括威胁检测(45%),部署服务(45%)以及事故响应(42%)。

图10:有吸引力的MDR服务

鉴于这些广泛的服务需求,XDR技术提供商必须与企业级MSSP合作提供托管服务或提供全套服务

04 云安全将是XDR落地良好开端

图11:XDR落地的方向

超过2/3的机构计划在未来6-12月开展XDR投资。除了专门的预算,XDR的资金也可能来自SOC技术预算、EDR预算,甚至SIEM预算。

当前,云检测和响应市场仍存在较大空白,将是XDR的良好开端。

在考虑从何处着手实施XDR时,42%的受访者认为,XDR应当重点为云工作负载和SaaS提供给威胁检测和响应能力。这表明许多企业和组织都存在云安全盲点,可能很难检测到漏洞利用、恶意软件下载以及云工作负载和SaaS应用的异常行为。

同样值得注意的是,三分之一的受访者认为,XDR应重点补充或替代SIEM。这是因为SIEM是一项基础SOC技术,大多数企业和组织可能会将XDR添加到SIEM中用来提高告警质量,帮助初级分析师对事件进行分类,或利用XDR的高级威胁检测技术来补充SIEM关联规则。

图12:采用XDR替换现有安全项目的意愿

实际上,随着时间的推移,一旦企业和组织开始了XDR项目,XDR就可以取代现有的技术(例如EDR、NDR、SIEM)并飞速发展。事实上,近一半(48%)受访者愿意用集成的XDR解决方案替换单个控件;另有47%的受访者会考虑替换单个控件,但前提是确保集成的XDR解决方案的优越性。

数据表明:企业和组织需要紧密集成的SOC解决方案,但更换工具并非易事。CISO必须评估其现有的安全组合,找出技术和流程的弱点,然后创建XDR项目,从解决其中最大的挑战开始。工具更换必须以详细规划、SOC最佳实践和XDR参考架构为指导。

未来,随着大多数企业和组织增加对威胁检测和响应技术的投资,安全团队将经历剧烈的痛苦,能够清晰阐述XDR愿景和战略的提供商将在2021年蓬勃发展。

关于作者

安未然:虎符智库特约作者。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。