作为网络安全从业者的我们已经习惯了“变化”,特别是当新的攻击路径、新的攻击方式出现时更是如此——根据需要我们很快就能对应增加一种新的安全工具或处置流程。但如此多年之后,随着数字化进程的加快,远程办公与迁移到云端已经迫使安全从业者们需要采用一种更为全面的方法应对“检测”与“响应”。

安全从业者对“检测”进行了再思考:从信息基础设施各个独立的系统与源中获取的信息如何兼具广度与深度,从而能更好的识别、抵御威胁。同样地,我们对“响应”能力也提出了新的要求:如何对一次攻击所影响的所有信息基础设施都能做出及时响应。为了支持这些新的检测与响应需求,我们需要重点针对系统和工具如何协同工作排列优先级,完善改进。在这样的背景下,XDR呼之欲出,并得到了众多从业者的关注。

改变似乎触手可及,但要想全球超过300万的安全专家做出改变,首先要做的是,如何考虑他们原有的安全运营工作。只有基于现有各基础设施的数据流进行整合,XDR才能发挥出防护、检测与响应的效果。然而实际情况是,许多机构用户都在XDR解决方案的实施与管理中苦苦挣扎。即使XDR解决方案提供商已经给出了易于编写的API接口,但如何将本地软件、老旧应用中的数据迁移到云平台上依然是个艰巨的任务任何XDR解决方案,都可能快速演变为一个时间成本、资金预算俱增的庞大咨询项目

因此,有些机构用户选择将部分或整个需求交给托管检测与响应(MDR)服务提供商来做,即采购XDR即服务。作为传统MSSP市场发展出的一个分支,MDR是一个迅速增长的网络安全服务类别,其市场规模2020年为9.75亿美元,据预测2028年将增长至73亿美元。Gartner对MDR服务商的定义为,通过将技术工具与人工服务相结合,为用户提供7x24小时的威胁监测、检测与响应服务。这么听起来,XDR这个概念就像是为MDR服务商量身打造的不是吗?如果你正在考虑将XDR外包给一家MDR服务商来做,要确保他们已经解决了以下三个问题:

  • 如何覆盖更多的攻击暴露面?XDR解决方案中,一般首先关注的是终端检测与响应(EDR),许多MDR服务商也是这么做的。但,问题就来了。没错,EDR是非常重要,但是跨网络、跨云端、跨公司几十种原有的安全工具、本地软件、老旧应用等等场景下的检测与响应也同样重要。对XDR来说,企业所使用的每个工具中的数据都是基础且必要的。

  • 是否引入并利用了正确的外部数据源?作为各类检测与响应方案的必备组成部分,第三方数据与情报源对于构建一幅完整的态势图景、跟踪内部威胁与事件数据的实时变化都十分重要。第三方数据的来源包括商业数据、开源数据、政府、行业、安全供应商等 —— 具体可以参考MITRE ATT&CK 框架。利用攻击者画像、攻击方式、攻击活动等信息,MDR服务商可以从企业所使用的其他工具中寻找相关蛛丝马迹,确认恶意行为的攻击范围,标识出所有受影响的系统。

  • 是否能够使所有工具、团队协同工作?无论是部分亦或全部将XDR服务外包,外包的部分与内部SecOps团队原有用例与工作流的协调整合都是至关重要的。此外,对所有系统的双向集成可以确保跨系统操作的有效性、防御网络强化的及时性,以及获取数据进行不断学习改进的可持续性。如果短时间内无法在所有实例中达到这个效果,最低限度的,也应当在MDR服务商与内部SOC(反之亦然)之间建立相关流程,以确保全面、协同的响应能力。

如果你的团队组织规模正在快速扩大,或是正在寻找一家MDR服务商提供具备XDR的安全运营能力,一定要确保注意到了上述三个问题。对MDR服务商来说,只有在深刻理解检测、响应以及服务的内涵基础上,才能够真正交付有效果的XDR。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。