威胁检测与响应一直是企业安全建设的重点。根据调查,83%的组织计划在未来12到18个月内增加威胁检测和响应支出。相比之下,虽然企业在安全技术上投入了数百万美元,但仍无法在合理时间内发现或有效应对网络攻击,甚至因为攻击愈演愈烈,企业面临的安全环境更加恶劣。为了寻找出路,业界将希望寄托在XDR(eXtendedDetectionandResponse,扩展检测和响应技术)上。需要明确的是,XDR是一项新兴技术,而非灵丹妙药。从这个角度来看,我们可以看到XDR行业的很多创新和投资正在上演。随着XDR的发展,它可以帮助企业提高安全分析效率,简化安全操作,并通过紧密集成的安全操作和分析平台架构(SOAPA)来巩固和优化SOC。借助XDR的潜力,CISO可以采取5个步骤为企业制定XDR实施计划。1.广撒网:做大量的前期调研根据调查,只有24%的安全专家表示对XDR“非常熟悉”。鉴于对新技术的知识差距,企业应该首先了解所有类型的XDR:基于平台的XDR(具有分析和控制台等多种控制),基于软件的XDR,开放的XDR,然后让SOC团队制定XDR如何补充或者替换现有工具和流程的策略。目前,基于XDR集成架构的特点,很多厂商很可能将XDR作为其EDR、NDR或安全分析技术的扩展。因此,CISO们应该邀请战略安全技术合作伙伴的加入,将XDR引入安全团队,并勾勒出其产品路线图,让安全团队加速并更好地制定XDR战略。2.找出组织的弱点和盲点在使用另一种威胁检测和响应技术之前,值得深入研究现有的工具和流程,以了解哪些对企业安全有效,哪些无效。SOC团队是否充分利用了EDR、NDR和SIEM?是否存在技能或资源缺口?是否存在增加威胁的平均检测时间和响应时间的流程瓶颈?如果是这样,那么SOAR(安全编排自动化和响应)和专业服务可能比其他分析工具更有价值。由于现代网络威胁在网络中横向移动,了解组织在安全监控方面是否存在弱点或盲点也很重要。例如,ESG研究指出了与公共云基础设施相关的安全监控弱点。在这种情况下,XDR应该首先改进云安全可视化,然后将云安全分析与现有的EDR、NDR、威胁情报等进行集成。3.选择项目规划的“起点”XDR是一种架构,而不是产品。企业可能需要数年时间才能完全部署和配置XDR,这意味着CISO需要考虑从哪里开始。在ESG的《XDR在现代SOC中的影响》调查中,43%的受访者表示他们将通过实施具有威胁检测和响应功能的XDR解决方案来启动一个项目,该解决方案适用于云工作负载和SaaS。事实上,XDR技术可以从战术覆盖发展到战略覆盖。无论XDR部署在哪里,安全团队都必须采取全局观,即识别集成点、规划项目,并定义一套衡量XDR和项目有效性的指标。4.使用XDR建立安全运营最佳实践在许多企业中,安全运营是杂乱无章的,充满了许多手动操作和持续不断的救火流程。一些SOC团队使用SOAR试图摆脱这种困境,但SOAR平台需要人力资源和技能来创建playbook和代码编排例程,这有一定的门槛。在此背景下,XDR很可能充当“低成本”SOAR的角色。例如,删除一些对企业无害的通用安全流程,帮助企业实施MITREATT&CK框架。在选择XDR解决方案时,CISO应该评估每个供应商如何支持和推进安全操作最佳实践,以及企业如何适应这些变化。5.让IT团队参与事件响应需要安全团队和IT团队之间的协作。为了支持和改进团队工作,XDR平台应该适应现有的流程切换,并与现有的安全操作工具(如ServiceNow、Jira、MicrosoftOMS等)集成。换句话说,XDR项目是关于改进而不是破坏现有数据分析、案例管理、事件优先级排序和缓解工作。最后,网络安全行业往往陷入对新技术的追捧,不幸的是,许多企业在使用新技术时没有花时间充分学习并最大限度地发挥新技术的优势。以XDR为例。作为一种需要数月或数年才能完全部署的架构,XDR可以让组织有时间把事情做好,并将XDR实际构建到正式项目和未来战略中,而不仅仅是在安全会议中。话题或话题。参考来源:csoonline
