自2019年2月的RSA大会以来,关于扩展检测与响应平台(eXtendedDetectionandResponse,XDR)的讨论开始升温。随着新变化的到来,预计XDR的受欢迎程度将在未来几年继续上升。那么为什么安全专家需要关注XDR,原因在于XDR有能力在简化安全操作的同时加速威胁检测/响应。当谈到安全操作和分析平台架构(SOAPA)时,它被设计为一种可互操作的安全操作技术架构,使用API、消息总线、供应商共同开发和自定义编码作为集成手段。XDR的愿景是它将提供“开箱即用”的SOAPA。大型企业组织仍将使用其他专门的安全运营技术,例如威胁情报平台(TIP)以及安全编排和自动响应平台(SOAR),但XDR将与这些系统集成,同时充当安全运营的中心枢纽。XDR会扰乱市场吗?理论上,XDR可以推动良好的安全运营,但可能不足以让网络防御者受益。造成这种情况的一个原因是,由于攻击面扩大、安全数据大规模爆炸以及威胁形势不断扩大的综合影响,安全操作变得越来越复杂。XDR供应商意识到了这一点,但他们现在正在与这种复杂性进行一场艰苦的战斗。就像,让火箭科学变得更容易确实可以帮助加速太空探索,但现在火箭科学仍然很难实践,迫切需要火箭科学家。同样,在消除复杂性之前,XDR将无法为推进安全运营工作做出任何真正的贡献,因此迫切需要相关网络安全人才的参与。然而,全球网络安全技能短缺的现状并没有任何改善。根据ESG和信息系统安全协会的研究,70%的网络安全专业人员表示他们的组织受到网络安全技能短缺的影响,导致网络安全人员的工作量增加。此外,29%的组织声称他们最大的网络安全技能差距在于安全分析和调查领域。无论有没有XDR,我们仍然需要技术娴熟的专业人员进行威胁检测和响应,但不幸的是,这些专业人员的人数仍然不足。MDR状态这些普遍存在的问题正在促使大大小小的企业越来越多地使用托管检测和响应服务(MDR)。例如,ESG最新研究发现,35%的组织已经在使用MDR服务,38%正在积极参与采用MDR服务的项目,15%计划采用MDR服务,6%有兴趣在未来采用MDR服务.感兴趣的。一SOC工作人员帮助他们完成复杂的任务,例如取证调查和威胁搜寻。这里的关键是MDR服务提供高级技能,52%的组织还认为MDR服务提供商可以比他们更好地完成威胁检测和响应任务。MDR服务的研究资料主要得出以下结论:1.XDR必须包含MDR。仅有XDR技术是不够的。XDR提供商必须拥有自己的服务或与托管安全服务提供商(MSSP)合作,在那里他们可以为其产品增加专业知识和价值。CrowdStrike、FireEye、Secureworks和TrendMicro等供应商提供集成的XDR和MDR服务组合,目前处于最前沿。2.纯MDR供应商将是XDR最大的竞争对手。如果说我花钱请别人修剪草坪,我真的不在乎他们用的是什么割草机。相反,我只关心结果——每周修剪一次草坪。同样,采购XDR等安全技术的CISO也服务于他们的目的——最佳网络威胁检测和响应。随着组织对服务的依赖程度越来越高,MDR供应商可能会通过自己的自主技术+服务解决方案成功推广XDR技术。如果他们能够提供不断改进的威胁检测和响应结果,谁会关心他们是如何做到的呢?3.MDR供应商将根据专业化来区分自己。由于所有MDR供应商都提供相同的基本服务,要想占领市场就需要在威胁情报、事件响应或支持物联网和OT等利基安全运营领域表现出色。其他供应商将建立垂直行业专业知识,专注于对医疗临床系统、自动驾驶汽车或在线商务应用程序(可能与反欺诈服务相结合)等事物的威胁。4、安全运营人才竞争加剧。无论如何这都有可能发生,但XDR的出现和对MDR需求的增加将加剧网络安全技能短缺和工资上涨。XDR供应商坚信该技术具有改变安全运营的潜力。这种可能性确实存在,但XDR的成功似乎仍然需要以人为本的专业知识,这使得XDR依赖并容易受到MDR的影响。根据ESG的研究,获胜的将是最好的服务,而不是最好的安全技术小工具。
