XDR概念已提出多年,,但很多企業(yè)用戶對(duì)它的理解仍然一頭霧水,,有人認(rèn)為它是端點(diǎn)檢測(cè)和響應(yīng)(EDR)技術(shù)的擴(kuò)展,有人認(rèn)為它是由單一安全廠商提供的威脅檢測(cè)工具組件包,,還有人認(rèn)為它是一種開放式的威脅檢測(cè)和事件響應(yīng)新架構(gòu),。
XDR技術(shù)之所以會(huì)出現(xiàn),,是由于企業(yè)安全團(tuán)隊(duì)對(duì)威脅檢測(cè)和響應(yīng)技術(shù)有了更高的要求。國(guó)際IT專業(yè)媒體TechTarget旗下的企業(yè)戰(zhàn)略研究機(jī)構(gòu)ESG日前開展了一項(xiàng)調(diào)查,,面向381名企業(yè)安全專業(yè)人員進(jìn)行了XDR應(yīng)用訪談,。研究發(fā)現(xiàn),85%的組織計(jì)劃在今后12到18個(gè)月內(nèi)加大在XDR應(yīng)用方面的支出,。很顯然,,組織對(duì)現(xiàn)在實(shí)施的方案并不滿意,。對(duì)于企業(yè)的安全架構(gòu)師而言,是時(shí)候改進(jìn)優(yōu)化現(xiàn)有的XDR應(yīng)用策略了,。
產(chǎn)品化的思維陷阱
新一代XDR技術(shù)會(huì)是企業(yè)升級(jí)威脅檢測(cè)和響應(yīng)能力的靈丹妙藥嗎,?ESG認(rèn)為,如果企業(yè)把XDR看作一種安全產(chǎn)品的話,,那么可能很難找到一款真正能夠全面滿足組織需求的XDR產(chǎn)品。
ESG研究團(tuán)隊(duì)認(rèn)為,,企業(yè)應(yīng)該將XDR應(yīng)用和部署看作是一個(gè)過程,,只有持續(xù)性地關(guān)注XDR技術(shù)應(yīng)用過程中改進(jìn)檢測(cè)和響應(yīng)計(jì)劃的必要性,才可以滿足 IT 基礎(chǔ)設(shè)施的多樣性應(yīng)用需求,,更好地應(yīng)對(duì)日益復(fù)雜的安全威脅,。
XDR 的核心是按照優(yōu)先級(jí)對(duì)各種類型的安全數(shù)據(jù)進(jìn)行聚合、關(guān)聯(lián)和分析,,這反映了日益多樣化的攻擊面和更復(fù)雜的威脅形勢(shì),,可以使高級(jí)威脅檢測(cè)更優(yōu)化。盡管有很多安全廠商都推出宣稱是XDR的產(chǎn)品或解決方案,,但是企業(yè)組織要找到真正能夠滿足自己安全應(yīng)用需求的XDR方案并不容易,。要克服這一過程中的挑戰(zhàn),企業(yè)可以從以下方面進(jìn)行思考:
明確定義組織對(duì) XDR 的看法和需求,,將 XDR 視為一種全新的威脅檢測(cè)和響應(yīng)戰(zhàn)略,,而不是某個(gè)特定的產(chǎn)品工具;
根據(jù)組織的XDR戰(zhàn)略,,明確定義出對(duì)XDR方案的具體應(yīng)用需求,,并以此來確定企業(yè)已經(jīng)擁有的XDR能力,同時(shí)發(fā)現(xiàn)需要投資優(yōu)化的地方,;
不要陷入產(chǎn)品化的XDR思維陷阱中,。在實(shí)際應(yīng)用中,實(shí)現(xiàn)XDR策略需要威脅情報(bào)等多種工具的支持,,但這些工具不能被獨(dú)立的標(biāo)記為 XDR產(chǎn)品,。
從XDR得到什么?
構(gòu)建高效的威脅檢測(cè)和響應(yīng)能力對(duì)組織安全運(yùn)營(yíng)建設(shè)至關(guān)重要,,但實(shí)現(xiàn)這一目標(biāo)困難重重,。在2023年,以XDR為代表的威脅檢測(cè)和響應(yīng)領(lǐng)域會(huì)成為安全投資熱點(diǎn),。不同廠商圍繞新一代XDR產(chǎn)品定義的爭(zhēng)論還將持續(xù),,但是XDR確實(shí)能夠幫助組織提高威脅檢測(cè)和響應(yīng)效率以及安全運(yùn)營(yíng)效率,所以仍將受到市場(chǎng)的熱捧,。
企業(yè)用戶應(yīng)該關(guān)注XDR的應(yīng)用結(jié)果,,而不是糾結(jié)于對(duì)XDR定義的爭(zhēng)論,。ESG研究數(shù)據(jù)顯示:
36%的受訪者希望,針對(duì)不斷擴(kuò)大的攻擊面,,通過應(yīng)用XDR能幫助擴(kuò)展并增強(qiáng)組織的威脅檢測(cè)和響應(yīng)能力,。安全運(yùn)營(yíng)團(tuán)隊(duì)希望新一代XDR方案能夠既有廣度,又有深度,,可以實(shí)現(xiàn)綜合收集,、分析并處理來自威脅情報(bào)、云端,、身份系統(tǒng)和物聯(lián)網(wǎng)設(shè)備等多種來源的安全檢測(cè)數(shù)據(jù),,降低運(yùn)營(yíng)團(tuán)隊(duì)的人工工作壓力;
33%的受訪者希望,,新一代XDR方案能夠提高安全警報(bào)的準(zhǔn)確性和優(yōu)先級(jí),,從而更便捷地分析和響應(yīng)事件。換句話說,,安全運(yùn)營(yíng)團(tuán)隊(duì)希望XDR能夠快速識(shí)別并檢測(cè)正在進(jìn)行中的攻擊,,而不是陷入到海量的安全事件分析中去;
29%的受訪者希望,,新一代XDR方案能夠?yàn)槠髽I(yè)創(chuàng)建集中式的威脅檢測(cè)管理中心,。安全運(yùn)營(yíng)團(tuán)隊(duì)想要一個(gè)真正統(tǒng)一化的協(xié)同工作平臺(tái),而不是來自不同工具的繁瑣UI界面和管控儀表板,。這一點(diǎn)對(duì)提高企業(yè)安全管理流程效率和員工生產(chǎn)力非常有幫助,;
26%的受訪者希望XDR能夠縮短檢測(cè)和響應(yīng)威脅的平均時(shí)間。很顯然,,他們對(duì)XDR目前的表現(xiàn)并不滿意,,希望XDR能成為業(yè)務(wù)助推器;
25%的受訪者希望新一代XDR方案,,具有更強(qiáng)大的未知高級(jí)威脅檢測(cè)能力,。這需要對(duì)現(xiàn)有的分析工具、警報(bào)機(jī)制以及Mitre ATT&CK框架進(jìn)行改良優(yōu)化,,以便深入了解攻擊活動(dòng)以及攻擊者使用的戰(zhàn)術(shù),、技術(shù)和程序(TTP)。
實(shí)施XDR的7點(diǎn)建議
對(duì)于希望成功實(shí)施XDR策略的企業(yè)組織,,ESG研究團(tuán)隊(duì)給出了以下7點(diǎn)建議:
1 將可擴(kuò)展的分析平臺(tái)作為XDR策略的核心
要實(shí)現(xiàn)更好的威脅檢測(cè)和事件響應(yīng),,需要更多的安全監(jiān)控?cái)?shù)據(jù)來支撐。XDR方案中的數(shù)據(jù)分析平臺(tái)應(yīng)該能夠全面獲取和分析這些安全數(shù)據(jù),。組織要對(duì)各種檢測(cè)能力工具實(shí)現(xiàn)更多的集成,,并能夠快捷納入新接入的安全工具。由于數(shù)據(jù)分析的速度和規(guī)模對(duì)檢測(cè)分析都很重要,,所以企業(yè)應(yīng)優(yōu)先考慮集成性強(qiáng),、擴(kuò)展性好的數(shù)據(jù)分析平臺(tái),。
2 使用自動(dòng)化分析引擎工具
部署應(yīng)用XDR策略應(yīng)該能夠使檢測(cè)、響應(yīng),、威脅情報(bào)分析和安全操作等流程實(shí)現(xiàn)自動(dòng)化,。自動(dòng)化引擎在這方面將發(fā)揮著重要角色。自動(dòng)化引擎是很多傳統(tǒng)XDR方案中欠缺的一個(gè)方面,,企業(yè)后續(xù)需要加大關(guān)注力度,。很多XDR方案目前的工作流程根本不具有可擴(kuò)展性,將難以滿足數(shù)字化發(fā)展和新型威脅攻擊的增長(zhǎng)速度,。
3 要能夠獲取和自動(dòng)處理多來源的威脅情報(bào)
不是所有的威脅情報(bào)都需要匯集到XDR策略中,,但是威脅分析引擎必須可靈活擴(kuò)展,以便從多個(gè)情報(bào)來源獲取最新的威脅情報(bào)信息,。雖然大多數(shù)安全產(chǎn)品和服務(wù)提供商在威脅研究方面都投入了巨資,但僅依靠單一的情報(bào)來源從長(zhǎng)遠(yuǎn)來看是不夠的,。
4 基于風(fēng)險(xiǎn)的安全警報(bào)和事件優(yōu)先級(jí)評(píng)價(jià)
組織需要從基于風(fēng)險(xiǎn)的角度,,幫助安全分析師關(guān)注組織內(nèi)外整個(gè)攻擊面上價(jià)值最高、風(fēng)險(xiǎn)最高的資產(chǎn)和威脅隱患?,F(xiàn)有的安全風(fēng)險(xiǎn)評(píng)估機(jī)制必須與XDR策略相集成,。
5 高度直觀的自動(dòng)化交互工具
自動(dòng)化交互工具可以幫助安全分析師更好地理解、調(diào)查,、緩解或?qū)Ω哆M(jìn)行中的攻擊,。工具不僅僅應(yīng)該直觀呈現(xiàn)攻擊,還應(yīng)該提供洞察力,,以便深入了解攻擊者的常見行為,、對(duì)應(yīng)情況以及從之前的調(diào)查所獲得的情報(bào)。自動(dòng)化技術(shù)可在其中起到了關(guān)鍵作用,,因?yàn)樗鼮閿?shù)據(jù)分析增添了更多的信息,,并基于充分理解的模式使工作流程實(shí)現(xiàn)自動(dòng)化,從而縮短威脅事件的調(diào)查過程,。
6 加強(qiáng)與其他安全能力的整合
XDR策略如果與組織中其他工作流程工具(包括工單系統(tǒng),、消息傳遞工具、安全,、編排,、SOAR等)整合,組織就可以更容易充分利用現(xiàn)有的工作流程和資源,,加強(qiáng)團(tuán)隊(duì)的知識(shí)庫(kù)建設(shè),,以便將來可以積累和利用更多的調(diào)查成果。
7 確保各種安全工具協(xié)同性
隨著XDR項(xiàng)目逐漸深入開展,,組織應(yīng)考慮實(shí)施與當(dāng)前安全體系和架構(gòu)相一致的技術(shù),。確保當(dāng)前架構(gòu)中盡可能多的部分實(shí)現(xiàn)預(yù)構(gòu)建集成,,這可能意味著從現(xiàn)有的安全提供商購(gòu)置XDR技術(shù)。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
