ESG研究表明,83%的组织将在2021年增加其威胁检测和响应预算——这表明当前的工具和技术无法满足当前的需求。XDR可以满足这种市场需求——但前提是相关纠葛能够跳出行业的鼓吹,真正与安保人员建立关系。以下是CISO需要XDR供应商提供的8样东西。XDR定义根据ESG的研究,只有24%的安全人员表示他们对XDR相关的技术概念“非常熟悉”。原因是XDR更像是一种架构(例如安全操作和分析平台架构,或SOAPA)而不是一种产品,因此给人的感觉更加模糊。此外,XDR将从几个方面实现,包括基于控制(EDR、NDR等)、基于管理平台、开源XDR、软件叠加虚拟化等,这延续了一个坦诚、细致的市场教育过程。该算法揭示XDR价值的关键之一在于其与现有威胁检测技术相比具有卓越的分析能力。理论上,XDR会收集和处理来自各种单点工具的遥感数据,然后将所有这些数据整合在一起,形成更及时、准确和全面的威胁检测。这听起来不错,但持怀疑态度的安全人员已经听说过这种说法——比如UEBA。XDR供应商必须能够从理论转向实际的数据科学——毕竟,威胁检测的准确性是关键。流水线安全操作也很重要,但如果XDR无法识别复杂的多阶段攻击,就毫无意义。DeploymentWizard这对基于控制的XDR厂商来说是一个很大的挑战。统一的安全架构在直觉上感觉很好,但对于当今许多依赖最强大的单点工具进行威胁检测和响应的组织来说,它完全不同。用户需要从哪里开始?他们如何逐步整合工具?他们如何保留现有的规则和经验,而不是从XDR中重新建立它们?XDR厂商在与潜在客户沟通时,需要有相关的架构和案例,以及相关的培训指南。安全运营模型业界已经听说了很多关于XDR可以做什么的消息,但很少听说运营团队可以如何使用该产品:运营团队如何跟踪警报?他们如何调查高优先级警报?他们如何使它们自动化?反应行为?XDR工具如何与ITSM系统协同工作?数据问题XDR的愿景可能直接指向当前安全运营的核心能力——SIEM。这个目标看似宏伟,但需要知道的是,SIEM现在是数据管理领域的巨星,建立在一系列复杂的网络收集器、转发器、目录管理、信息管理等之上,不断收集、处理和分析TB级的数据数据。ESGResearch表示,已经有许多大型组织已经在流数据处理/分析方面进行了大量投资,并且正在添加新的数据源。在一些大企业的运营团队中,他们对XDR处理Tb级数据管道的能力嗤之以鼻。XDR供应商需要能够在数据处理方面脱颖而出。第三方集成大型安全厂商总是想向他们的客户推销一个整体的XDR解决方案,这是可以理解的;但你必须知道这是一个很大的清单。一位使用过软件覆盖虚拟化XDR解决方案的CISO曾说:“XDR厂商都认为我会通过替换现有的EDR、NDR和SIEM产品来标准化和符合他们的产品。我的问题是,我已经有了每一个产品,这意味着我已经拥有全套,甚至多套EDR、NDR和SIEM;那么几乎不可能替换这些解决方案。”其他制造商一起工作。当被问及他们想从哪里开始他们的XDR项目时,43%的受访者表示:“需要为云工作负载和SaaS提供威胁检测和响应功能的XDR解决方案。”这个答案挺出人意料的,因为直觉上认为XDR会从取代EDR和NDR开始。当然,这并不难理解,因为云可见性功能是许多组织团体的一个可怕的盲点。为了解决这个问题,XDR供应商需要愿意讨论他们收集、处理、分析和可视化的所有类型的云数据。此外,他们需要能够分析上下文中的所有云数据,以此作为跟踪端点、网络、服务器、服务和整个混合IT架构的杀伤链的一种方式。身份问题目前的XDR产品还有另一个问题:缺乏对攻击的人为因素的考虑,以及缺乏与身份验证、Web目录和IAM的集成。这个问题在拥有大量SaaS应用程序和大量开发人员面对各种新的云应用程序开发工具的组织中尤为明显。讽刺的是,上一次业界吐槽新的安全运营技术是针对UEBA的——UEBA恰恰是以用户为中心,而XDR这次是以技术为中心。组织和机构肯定会需要威胁检测和响应能力方面的帮助,并将对XDR技术持开放态度。CISO清楚地了解问题的复杂性。厂商在面对潜在客户时需要做好充分的准备,并如实回答相关问题,包括XDR如何融入现有的运营技术和流程,以及它将如何慢慢演进。点评:XDR的想法逐渐在业界流行开来,但很少有人能够清楚地解释XDR的核心是什么。此外,如何实现XDR是另一个问题。甲方客户最大的需求是能够在保证自身业务的同时,最大程度的解决自身的安全问题——而不是堆砌一系列华丽的技术和概念。当新的技术概念出现时,厂商不仅需要大力推广,更需要能够脚踏实地地解决客户的疑惑。
