警惕XDR应用落入产品化的思维陷阱中
日期:2022年12月05日 阅:38
XDR概念已提出多年,但很多企业用户对它的理解仍然一头雾水,有人认为它是端点检测和响应(EDR)技术的扩展,有人认为它是由单一安全厂商提供的威胁检测工具组件包,还有人认为它是一种开放式的威胁检测和事件响应新架构。
XDR技术之所以会出现,是由于企业安全团队对威胁检测和响应技术有了更高的要求。国际IT专业媒体TechTarget旗下的企业战略研究机构ESG日前开展了一项调查,面向381名企业安全专业人员进行了XDR应用访谈。研究发现,85%的组织计划在今后12到18个月内加大在XDR应用方面的支出。很显然,组织对现在实施的方案并不满意。对于企业的安全架构师而言,是时候改进优化现有的XDR应用策略了。
产品化的思维陷阱
新一代XDR技术会是企业升级威胁检测和响应能力的灵丹妙药吗?ESG认为,如果企业把XDR看作一种安全产品的话,那么可能很难找到一款真正能够全面满足组织需求的XDR产品。
ESG研究团队认为,企业应该将XDR应用和部署看作是一个过程,只有持续性地关注XDR技术应用过程中改进检测和响应计划的必要性,才可以满足 IT 基础设施的多样性应用需求,更好地应对日益复杂的安全威胁。
XDR 的核心是按照优先级对各种类型的安全数据进行聚合、关联和分析,这反映了日益多样化的攻击面和更复杂的威胁形势,可以使高级威胁检测更优化。尽管有很多安全厂商都推出宣称是XDR的产品或解决方案,但是企业组织要找到真正能够满足自己安全应用需求的XDR方案并不容易。要克服这一过程中的挑战,企业可以从以下方面进行思考:
从XDR得到什么?
构建高效的威胁检测和响应能力对组织安全运营建设至关重要,但实现这一目标困难重重。在2023年,以XDR为代表的威胁检测和响应领域会成为安全投资热点。不同厂商围绕新一代XDR产品定义的争论还将持续,但是XDR确实能够帮助组织提高威胁检测和响应效率以及安全运营效率,所以仍将受到市场的热捧。
企业用户应该关注XDR的应用结果,而不是纠结于对XDR定义的争论。ESG研究数据显示:
实施XDR的7点建议
对于希望成功实施XDR策略的企业组织,ESG研究团队给出了以下7点建议:
1
将可扩展的分析平台作为XDR策略的核心
要实现更好的威胁检测和事件响应,需要更多的安全监控数据来支撑。XDR方案中的数据分析平台应该能够全面获取和分析这些安全数据。组织要对各种检测能力工具实现更多的集成,并能够快捷纳入新接入的安全工具。由于数据分析的速度和规模对检测分析都很重要,所以企业应优先考虑集成性强、扩展性好的数据分析平台。
2
使用自动化分析引擎工具
部署应用XDR策略应该能够使检测、响应、威胁情报分析和安全操作等流程实现自动化。自动化引擎在这方面将发挥着重要角色。自动化引擎是很多传统XDR方案中欠缺的一个方面,企业后续需要加大关注力度。很多XDR方案目前的工作流程根本不具有可扩展性,将难以满足数字化发展和新型威胁攻击的增长速度。
3
要能够获取和自动处理多来源的威胁情报
不是所有的威胁情报都需要汇集到XDR策略中,但是威胁分析引擎必须可灵活扩展,以便从多个情报来源获取最新的威胁情报信息。虽然大多数安全产品和服务提供商在威胁研究方面都投入了巨资,但仅依靠单一的情报来源从长远来看是不够的。
4
基于风险的安全警报和事件优先级评价
组织需要从基于风险的角度,帮助安全分析师关注组织内外整个攻击面上价值最高、风险最高的资产和威胁隐患。现有的安全风险评估机制必须与XDR策略相集成。
5
高度直观的自动化交互工具
自动化交互工具可以帮助安全分析师更好地理解、调查、缓解或对付进行中的攻击。工具不仅仅应该直观呈现攻击,还应该提供洞察力,以便深入了解攻击者的常见行为、对应情况以及从之前的调查所获得的情报。自动化技术可在其中起到了关键作用,因为它为数据分析增添了更多的信息,并基于充分理解的模式使工作流程实现自动化,从而缩短威胁事件的调查过程。
6
加强与其他安全能力的整合
XDR策略如果与组织中其他工作流程工具(包括工单系统、消息传递工具、安全、编排、SOAR等)整合,组织就可以更容易充分利用现有的工作流程和资源,加强团队的知识库建设,以便将来可以积累和利用更多的调查成果。
7
确保各种安全工具协同性
随着XDR项目逐渐深入开展,组织应考虑实施与当前安全体系和架构相一致的技术。确保当前架构中尽可能多的部分实现预构建集成,这可能意味着从现有的安全提供商购置XDR技术。
文章来源:安全牛综合编译