XDR概念已提出多年,但很多企业用户对它的理解仍然一头雾水,有人认为它是端点检测和响应(EDR)技术的扩展,有人认为它是由单一安全厂商提供的威胁检测工具组件包,还有人认为它是一种开放式的威胁检测和事件响应新架构。

XDR技术之所以会出现,是由于企业安全团队对威胁检测和响应技术有了更高的要求。国际IT专业媒体TechTarget旗下的企业战略研究机构ESG日前开展了一项调查,面向381名企业安全专业人员进行了XDR应用访谈。研究发现,85%的组织计划在今后12到18个月内加大在XDR应用方面的支出。很显然,组织对现在实施的方案并不满意。对于企业的安全架构师而言,是时候改进优化现有的XDR应用策略了。

产品化的思维陷阱

新一代XDR技术会是企业升级威胁检测和响应能力的灵丹妙药吗?ESG认为,如果企业把XDR看作一种安全产品的话,那么可能很难找到一款真正能够全面满足组织需求的XDR产品。

ESG研究团队认为,企业应该将XDR应用和部署看作是一个过程,只有持续性地关注XDR技术应用过程中改进检测和响应计划的必要性,才可以满足 IT 基础设施的多样性应用需求,更好地应对日益复杂的安全威胁。

XDR 的核心是按照优先级对各种类型的安全数据进行聚合、关联和分析,这反映了日益多样化的攻击面和更复杂的威胁形势,可以使高级威胁检测更优化。尽管有很多安全厂商都推出宣称是XDR的产品或解决方案,但是企业组织要找到真正能够满足自己安全应用需求的XDR方案并不容易。要克服这一过程中的挑战,企业可以从以下方面进行思考:

  • 明确定义组织对 XDR 的看法和需求,将 XDR 视为一种全新的威胁检测和响应战略,而不是某个特定的产品工具;

  • 根据组织的XDR战略,明确定义出对XDR方案的具体应用需求,并以此来确定企业已经拥有的XDR能力,同时发现需要投资优化的地方;

  • 不要陷入产品化的XDR思维陷阱中。在实际应用中,实现XDR策略需要威胁情报等多种工具的支持,但这些工具不能被独立的标记为 XDR产品。

从XDR得到什么?

构建高效的威胁检测和响应能力对组织安全运营建设至关重要,但实现这一目标困难重重。在2023年,以XDR为代表的威胁检测和响应领域会成为安全投资热点。不同厂商围绕新一代XDR产品定义的争论还将持续,但是XDR确实能够帮助组织提高威胁检测和响应效率以及安全运营效率,所以仍将受到市场的热捧。

企业用户应该关注XDR的应用结果,而不是纠结于对XDR定义的争论。ESG研究数据显示:

  • 36%的受访者希望,针对不断扩大的攻击面,通过应用XDR能帮助扩展并增强组织的威胁检测和响应能力。安全运营团队希望新一代XDR方案能够既有广度,又有深度,可以实现综合收集、分析并处理来自威胁情报、云端、身份系统和物联网设备等多种来源的安全检测数据,降低运营团队的人工工作压力;

  • 33%的受访者希望,新一代XDR方案能够提高安全警报的准确性和优先级,从而更便捷地分析和响应事件。换句话说,安全运营团队希望XDR能够快速识别并检测正在进行中的攻击,而不是陷入到海量的安全事件分析中去;

  • 29%的受访者希望,新一代XDR方案能够为企业创建集中式的威胁检测管理中心。安全运营团队想要一个真正统一化的协同工作平台,而不是来自不同工具的繁琐UI界面和管控仪表板。这一点对提高企业安全管理流程效率和员工生产力非常有帮助;

  • 26%的受访者希望XDR能够缩短检测和响应威胁的平均时间。很显然,他们对XDR目前的表现并不满意,希望XDR能成为业务助推器;

  • 25%的受访者希望新一代XDR方案,具有更强大的未知高级威胁检测能力。这需要对现有的分析工具、警报机制以及Mitre ATT&CK框架进行改良优化,以便深入了解攻击活动以及攻击者使用的战术、技术和程序(TTP)。

实施XDR的7点建议

对于希望成功实施XDR策略的企业组织,ESG研究团队给出了以下7点建议:

将可扩展的分析平台作为XDR策略的核心

要实现更好的威胁检测和事件响应,需要更多的安全监控数据来支撑。XDR方案中的数据分析平台应该能够全面获取和分析这些安全数据。组织要对各种检测能力工具实现更多的集成,并能够快捷纳入新接入的安全工具。由于数据分析的速度和规模对检测分析都很重要,所以企业应优先考虑集成性强、扩展性好的数据分析平台。

使用自动化分析引擎工具

部署应用XDR策略应该能够使检测、响应、威胁情报分析和安全操作等流程实现自动化。自动化引擎在这方面将发挥着重要角色。自动化引擎是很多传统XDR方案中欠缺的一个方面,企业后续需要加大关注力度。很多XDR方案目前的工作流程根本不具有可扩展性,将难以满足数字化发展和新型威胁攻击的增长速度。

要能够获取和自动处理多来源的威胁情报

不是所有的威胁情报都需要汇集到XDR策略中,但是威胁分析引擎必须可灵活扩展,以便从多个情报来源获取最新的威胁情报信息。虽然大多数安全产品和服务提供商在威胁研究方面都投入了巨资,但仅依靠单一的情报来源从长远来看是不够的。

基于风险的安全警报和事件优先级评价

组织需要从基于风险的角度,帮助安全分析师关注组织内外整个攻击面上价值最高、风险最高的资产和威胁隐患。现有的安全风险评估机制必须与XDR策略相集成。

高度直观的自动化交互工具

自动化交互工具可以帮助安全分析师更好地理解、调查、缓解或对付进行中的攻击。工具不仅仅应该直观呈现攻击,还应该提供洞察力,以便深入了解攻击者的常见行为、对应情况以及从之前的调查所获得的情报。自动化技术可在其中起到了关键作用,因为它为数据分析增添了更多的信息,并基于充分理解的模式使工作流程实现自动化,从而缩短威胁事件的调查过程。

加强与其他安全能力的整合

XDR策略如果与组织中其他工作流程工具(包括工单系统、消息传递工具、安全、编排、SOAR等)整合,组织就可以更容易充分利用现有的工作流程和资源,加强团队的知识库建设,以便将来可以积累和利用更多的调查成果。

确保各种安全工具协同性

随着XDR项目逐渐深入开展,组织应考虑实施与当前安全体系和架构相一致的技术。确保当前架构中尽可能多的部分实现预构建集成,这可能意味着从现有的安全提供商购置XDR技术。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。