《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 警惕XDR應用落入產(chǎn)品化的思維陷阱中

警惕XDR應用落入產(chǎn)品化的思維陷阱中

2022-12-05
來源:安全牛
關(guān)鍵詞: XDR 產(chǎn)品化

  XDR概念已提出多年,,但很多企業(yè)用戶對它的理解仍然一頭霧水,有人認為它是端點檢測和響應(EDR)技術(shù)的擴展,,有人認為它是由單一安全廠商提供的威脅檢測工具組件包,,還有人認為它是一種開放式的威脅檢測和事件響應新架構(gòu)。

  XDR技術(shù)之所以會出現(xiàn),,是由于企業(yè)安全團隊對威脅檢測和響應技術(shù)有了更高的要求,。國際IT專業(yè)媒體TechTarget旗下的企業(yè)戰(zhàn)略研究機構(gòu)ESG日前開展了一項調(diào)查,面向381名企業(yè)安全專業(yè)人員進行了XDR應用訪談,。研究發(fā)現(xiàn),,85%的組織計劃在今后12到18個月內(nèi)加大在XDR應用方面的支出。很顯然,,組織對現(xiàn)在實施的方案并不滿意,。對于企業(yè)的安全架構(gòu)師而言,是時候改進優(yōu)化現(xiàn)有的XDR應用策略了,。

  產(chǎn)品化的思維陷阱

  新一代XDR技術(shù)會是企業(yè)升級威脅檢測和響應能力的靈丹妙藥嗎,?ESG認為,如果企業(yè)把XDR看作一種安全產(chǎn)品的話,,那么可能很難找到一款真正能夠全面滿足組織需求的XDR產(chǎn)品,。

  ESG研究團隊認為,企業(yè)應該將XDR應用和部署看作是一個過程,,只有持續(xù)性地關(guān)注XDR技術(shù)應用過程中改進檢測和響應計劃的必要性,,才可以滿足 IT 基礎(chǔ)設(shè)施的多樣性應用需求,更好地應對日益復雜的安全威脅,。

  XDR 的核心是按照優(yōu)先級對各種類型的安全數(shù)據(jù)進行聚合,、關(guān)聯(lián)和分析,這反映了日益多樣化的攻擊面和更復雜的威脅形勢,,可以使高級威脅檢測更優(yōu)化,。盡管有很多安全廠商都推出宣稱是XDR的產(chǎn)品或解決方案,,但是企業(yè)組織要找到真正能夠滿足自己安全應用需求的XDR方案并不容易。要克服這一過程中的挑戰(zhàn),,企業(yè)可以從以下方面進行思考:

  明確定義組織對 XDR 的看法和需求,,將 XDR 視為一種全新的威脅檢測和響應戰(zhàn)略,而不是某個特定的產(chǎn)品工具,;

  根據(jù)組織的XDR戰(zhàn)略,,明確定義出對XDR方案的具體應用需求,并以此來確定企業(yè)已經(jīng)擁有的XDR能力,,同時發(fā)現(xiàn)需要投資優(yōu)化的地方,;

  不要陷入產(chǎn)品化的XDR思維陷阱中。在實際應用中,,實現(xiàn)XDR策略需要威脅情報等多種工具的支持,,但這些工具不能被獨立的標記為 XDR產(chǎn)品。

  從XDR得到什么,?

  構(gòu)建高效的威脅檢測和響應能力對組織安全運營建設(shè)至關(guān)重要,,但實現(xiàn)這一目標困難重重。在2023年,,以XDR為代表的威脅檢測和響應領(lǐng)域會成為安全投資熱點,。不同廠商圍繞新一代XDR產(chǎn)品定義的爭論還將持續(xù),但是XDR確實能夠幫助組織提高威脅檢測和響應效率以及安全運營效率,,所以仍將受到市場的熱捧,。

  企業(yè)用戶應該關(guān)注XDR的應用結(jié)果,而不是糾結(jié)于對XDR定義的爭論,。ESG研究數(shù)據(jù)顯示:

  36%的受訪者希望,,針對不斷擴大的攻擊面,通過應用XDR能幫助擴展并增強組織的威脅檢測和響應能力,。安全運營團隊希望新一代XDR方案能夠既有廣度,,又有深度,可以實現(xiàn)綜合收集,、分析并處理來自威脅情報,、云端、身份系統(tǒng)和物聯(lián)網(wǎng)設(shè)備等多種來源的安全檢測數(shù)據(jù),,降低運營團隊的人工工作壓力;

  33%的受訪者希望,,新一代XDR方案能夠提高安全警報的準確性和優(yōu)先級,,從而更便捷地分析和響應事件。換句話說,,安全運營團隊希望XDR能夠快速識別并檢測正在進行中的攻擊,,而不是陷入到海量的安全事件分析中去,;

  29%的受訪者希望,新一代XDR方案能夠為企業(yè)創(chuàng)建集中式的威脅檢測管理中心,。安全運營團隊想要一個真正統(tǒng)一化的協(xié)同工作平臺,,而不是來自不同工具的繁瑣UI界面和管控儀表板。這一點對提高企業(yè)安全管理流程效率和員工生產(chǎn)力非常有幫助,;

  26%的受訪者希望XDR能夠縮短檢測和響應威脅的平均時間,。很顯然,他們對XDR目前的表現(xiàn)并不滿意,,希望XDR能成為業(yè)務助推器,;

  25%的受訪者希望新一代XDR方案,具有更強大的未知高級威脅檢測能力,。這需要對現(xiàn)有的分析工具,、警報機制以及Mitre ATT&CK框架進行改良優(yōu)化,以便深入了解攻擊活動以及攻擊者使用的戰(zhàn)術(shù),、技術(shù)和程序(TTP),。

  實施XDR的7點建議

  對于希望成功實施XDR策略的企業(yè)組織,ESG研究團隊給出了以下7點建議:

  1 將可擴展的分析平臺作為XDR策略的核心

  要實現(xiàn)更好的威脅檢測和事件響應,,需要更多的安全監(jiān)控數(shù)據(jù)來支撐,。XDR方案中的數(shù)據(jù)分析平臺應該能夠全面獲取和分析這些安全數(shù)據(jù)。組織要對各種檢測能力工具實現(xiàn)更多的集成,,并能夠快捷納入新接入的安全工具,。由于數(shù)據(jù)分析的速度和規(guī)模對檢測分析都很重要,所以企業(yè)應優(yōu)先考慮集成性強,、擴展性好的數(shù)據(jù)分析平臺,。

  2 使用自動化分析引擎工具

  部署應用XDR策略應該能夠使檢測、響應,、威脅情報分析和安全操作等流程實現(xiàn)自動化,。自動化引擎在這方面將發(fā)揮著重要角色。自動化引擎是很多傳統(tǒng)XDR方案中欠缺的一個方面,,企業(yè)后續(xù)需要加大關(guān)注力度,。很多XDR方案目前的工作流程根本不具有可擴展性,將難以滿足數(shù)字化發(fā)展和新型威脅攻擊的增長速度,。

  3 要能夠獲取和自動處理多來源的威脅情報

  不是所有的威脅情報都需要匯集到XDR策略中,,但是威脅分析引擎必須可靈活擴展,以便從多個情報來源獲取最新的威脅情報信息,。雖然大多數(shù)安全產(chǎn)品和服務提供商在威脅研究方面都投入了巨資,,但僅依靠單一的情報來源從長遠來看是不夠的。

  4 基于風險的安全警報和事件優(yōu)先級評價

  組織需要從基于風險的角度,,幫助安全分析師關(guān)注組織內(nèi)外整個攻擊面上價值最高,、風險最高的資產(chǎn)和威脅隱患?,F(xiàn)有的安全風險評估機制必須與XDR策略相集成。

  5 高度直觀的自動化交互工具

  自動化交互工具可以幫助安全分析師更好地理解,、調(diào)查,、緩解或?qū)Ω哆M行中的攻擊。工具不僅僅應該直觀呈現(xiàn)攻擊,,還應該提供洞察力,,以便深入了解攻擊者的常見行為、對應情況以及從之前的調(diào)查所獲得的情報,。自動化技術(shù)可在其中起到了關(guān)鍵作用,,因為它為數(shù)據(jù)分析增添了更多的信息,并基于充分理解的模式使工作流程實現(xiàn)自動化,,從而縮短威脅事件的調(diào)查過程,。

  6 加強與其他安全能力的整合

  XDR策略如果與組織中其他工作流程工具(包括工單系統(tǒng)、消息傳遞工具,、安全,、編排、SOAR等)整合,,組織就可以更容易充分利用現(xiàn)有的工作流程和資源,,加強團隊的知識庫建設(shè),以便將來可以積累和利用更多的調(diào)查成果,。

  7 確保各種安全工具協(xié)同性

  隨著XDR項目逐漸深入開展,,組織應考慮實施與當前安全體系和架構(gòu)相一致的技術(shù)。確保當前架構(gòu)中盡可能多的部分實現(xiàn)預構(gòu)建集成,,這可能意味著從現(xiàn)有的安全提供商購置XDR技術(shù),。



更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected]