XDR(擴展威脅檢測和響應(yīng))是近年網(wǎng)絡(luò)安全行業(yè)的熱詞,具體指是企業(yè)現(xiàn)有防御無法涵蓋范圍廣泛的威脅攻擊媒介時,,所使用的擴展方案,。
簡而言之,,XDR包含至少兩種及以上類型的威脅檢測。因為企業(yè)所面臨的威脅可能來自臺式機,、Web,、SaaS應(yīng)用程序、云提供商等,,所以需要多個檢測功能來保護企業(yè)的系統(tǒng),。
在安全牛《“窮人”的SOC,?XDR面臨三大挑戰(zhàn)》一文中,,我們將XDR稱為“窮人的SOC”,面對日益增長的威脅攻擊面和矢量,,對于那些沒有或者無法擁有“滿級配置”SOC的中小企業(yè)或者小型安全團隊來說,,XDR擁有重要價值。
需要注意的是,,一些安全廠商提供的安全方案僅覆蓋了幾個威脅媒介,,但他們也稱之為XDR。這只是一個很好的營銷術(shù)語,,可以掩蓋他們提供的服務(wù)不足,。
為什么要使用XDR,?
Gartner將XDR產(chǎn)品定義為平臺,該平臺可以自動收集和關(guān)聯(lián)來自多個組件的數(shù)據(jù),。XDR承諾通過統(tǒng)一格式的集中式歷史和實時事件數(shù)據(jù),,以及可擴展的高性能存儲,快速索引的搜索和自動化驅(qū)動的響應(yīng),,使安全團隊更高效,、更有效率。
但是,,XDR解決方案正在從可能由更多工具組成的多種解決方案集中提取數(shù)據(jù),,并且它們使分析人員面臨大量要分析的威脅數(shù)據(jù)。
XDR代表了端點威脅檢測和響應(yīng)(EDR)解決方案的自然發(fā)展,。它尋求提供一個多檢測功能的平臺,,其中包括端點保護、云訪問安全代理(CASB),、安全Web網(wǎng)關(guān)(SWG),、安全電子郵件網(wǎng)關(guān)(SEG)、網(wǎng)絡(luò)防火墻,、網(wǎng)絡(luò)入侵防御系統(tǒng)(NIP),、統(tǒng)一威脅管理(UTM)以及身份和訪問管理(IAM)。
但是,,有些網(wǎng)絡(luò)安全廠商對于XDR的研發(fā)會失敗,,是因為他們經(jīng)常會遺漏一個關(guān)鍵因素:人。XDR只是一個工具,。為了獲得該工具的任何潛在價值,,企業(yè)需要具備通過智能分析能對噪聲中的真實事件進行排序并確定響應(yīng)優(yōu)先級的人才。沒有這些人才,,使用XDR就等于簡單地將可能收集到的所有有關(guān)威脅的信息傾倒在一個大鍋里“亂燉”,,同時繼續(xù)給了攻擊者可乘之機。
XDR與更傳統(tǒng)的安全行業(yè)主打產(chǎn)品,,安全信息和事件管理產(chǎn)品(SIEM)相似,,為具有多個不同分析人員和控制臺的企業(yè)提供了方案。通過SIEM,,企業(yè)期望通過匯總所有控制臺并將所有內(nèi)容(包括入侵信息)放在一個地方來消除這些低效率的問題,。因此,SIEM和XDR從本質(zhì)上講是相同的,,并且受同一問題的困擾:即企業(yè)需要精通這些工具的人員,,以從中獲得收益。
在解決人才短缺這一問題時,,企業(yè)正在逐漸選擇另一個解決方案:MDR(托管檢測和響應(yīng)服務(wù)),。這種安全即服務(wù)(SaaS)產(chǎn)品使公司可以訪問外部分析師,,這些分析師掌握所有XDR功能的專業(yè)知識,能夠連續(xù),、有效地接收告警事件并確定事件的優(yōu)先級,,從而減輕了內(nèi)部IT團隊的分流負擔(dān),并在誤報事件升級之前調(diào)查高風(fēng)險事件,,從而減少誤報,,同時為企業(yè)提供最新的情報。
換句話說,,MDR可被理解為托管的XDR,。因此,企業(yè)的安全團隊成員不必購買自己的情報源,,解決方案不只是一種工具,。他們每天無需再處理數(shù)量過萬的警報,或者遭受頻繁警報的困擾,。他們從這些負擔(dān)中解脫出來,,可以專注于更大范圍安全戰(zhàn)略計劃,以改善公司的整體安全狀況,。
由于具有這些優(yōu)勢,,MDR可以被更廣泛地采用,,因為現(xiàn)在有四分之一的企業(yè)正在使用MDR服務(wù),,其中72%的組織將解決攻擊所需的時間減少了25%到100%。在目前不使用該服務(wù)的公司中,,有79%正在評估或正在考慮采用這種服務(wù),,這些公司目前仍在使用XDR。但是,,如前所述,,他們也正在嘗試托管服務(wù),這將幫助企業(yè)安全專業(yè)人才進一步發(fā)揮的深度價值,。
如果XDR解決方案沒有足夠的專業(yè)人才,,那么它將永遠只是一種工具。通過采用托管服務(wù)模型,,企業(yè)才可能獲得更多的技術(shù)功能和使之起作用所需的專業(yè)人員,。