当个体端点安全不能完全满足当前的安全要求时,需要各个端点与网络联动进行检测和响应。XDR是从EDR自然演变而来的。XDR(ExtendedDetectionandResponse)是一系列IT架构中安全产品的集成组合,包括LAN、WAN、IaaS、数据中心等;XDR的目的是协调这些工具以实现威胁预防、检测和响应。XDR将控制点、安全遥测仪、数据分析和操作统一到同一个企业系统中。XDR中的“X”意味着将威胁检测从零散的状态转变为统一的状态。XDR不再仅仅识别终端、网络、邮件中的安全事件,而是通过安全管控对这些事件进行收集和关联。因此,将威胁检测理解为一条攻击链,或者结合MITREATT&CK框架。“D”是数据收集、处理和分析,能够比现有系统更快、更准确地检测到攻击。通常,这些活动发生在云中,从而可以进一步分析数月甚至数年之久的大量数据。终于。“R”与自动化能力密切相关。XDR需要通过自动化将大量安全运维工作从人类手中解放出来——有点像简化版的SOAR。这是市场对XDR的理解,但我们多年来一直在谈论工具的组合——这比XDR的概念存在的时间要长得多。那么XDR真的可以实现吗?ESG高级分析师JonOltsik和他的同事DaveGruber最近完成了一个关于XDR的研究项目。Dave专注于EDR,Jon专注于安全运营中心,因此他们从多个角度看待XDR的概念。根据他们的研究,XDR不仅是现实的,甚至可能在2021年影响整个安全行业。其中,关键结论是:组织在威胁检测之前已经做了很多工作。当被问及他们如何定义威胁检测目标时,34%的组织表示他们希望改进对高级威胁的检测,29%的组织希望减少平均补救时间,27%的组织希望能够更好地确定威胁的优先级。帮助。这一点表示需要改进流程和技术。现有工具不起作用。即使在安全领域投入数十亿,企业仍然无法及时发现并应对威胁。当被问及威胁检测和响应的挑战时,31%的安全专业人员表示他们需要在自己的时间进行事件响应,29%的人承认安全监控存在盲点,23%的人表示很难将不同的安全警报关联起来工具。这显然代表了安全操作中的许多混乱。用于威胁检测和响应的预算正在增加。83%的受访组织表示,他们正在增加维持检测和响应预算——这表明企业对此的需求已达到迫在眉睫的危险点。研究还表明,许多组织已经将XDR视为可行的解决方案:70%的受访者表示他们已将XDR纳入未来12个月的预算;23%甚至表示他们已经在建立XDR项目——例如,将EDR与网络检测和响应工具集成,结合威胁情报等。组织显然愿意为威胁检测和响应付费,因此XDR很快在市场上获得了很大的关注。安全厂商已经清楚地看到了这个机会。Broadcom(收购赛门铁克)、CheckPoint、Cisco、FireEye、Fortinet、McAfee、Microsoft、PaloAltoNetworks和TrendMicro等主要公司已经将各种端点产品集成到XDR套件中。另一方面,Crowdstrike、Cyber??eason、SentinelOne等EDR厂商也开始部署XDR策略;LogRhythm、RSA等SIEM厂商也准备进军XDR领域。与此同时,也涌现出不少XDR创业公司。这些都预示着将会有大量的XDR研发投入和新的创新。然而,该研究也发现了XDR的一些困难。安全从业者最好了解以下一些问题:XDR解决方案中包括什么。只有24%的受访者表示他们熟悉XDR;其余受访者只知道XDR或根本不知道。当被要求定义XDR时,36%的受访者表示“XDR根据来自多个来源和控件的遥测数据收集、处理、分析和响应”——这是一个准确但相对宽泛的陈述。这不难理解。毕竟,大多数XDR解决方案都是基于各种安全控制,并没有标准化的封装。一些XDR解决方案更喜欢抽象出现有的治理和分析工具。这些概念的模糊性意味着在公司开始购买XDR之前需要一定程度的市场层面的教育。XDR如何与SIEM协调。许多组织在SIEM解决方案上花费了数百万,71%的企业认为SIEM在威胁检测和响应方面是有效的。然而,研究还发现,SIEM在面对未知威胁或复杂攻击时成本更高、更复杂且效率更低。基于这些数据,大多数组织需要XDR来增强他们的SIEM——而不是取代它,至少在短期内是这样。因此,XDR供应商需要制定强大的SIEM辅助策略。数据管理问题。就像SIEM一样,XDR必须能够实时收集、处理和分析数TB的数据。几乎每个安全工程师都会说,他们花费大量时间构建数据管道来实现这一点。ESG研究发现,组织面临的数据管道挑战包括:过滤警告噪音(38%)、拉伸数据管道以适应增加的安全遥测数据(37%)以及建立有效的数据管道以进行精简(34%)。XDR供应商可以利用云原生优势构建数据管道。现在,他们有机会通过展示他们如何管理数据管道来教育市场。安全服务。73%的企业计划或已经在使用某种类型的MDR服务,这些服务可能全部外包或部分外包。这意味着安全服务应该成为每一个XDR解决方案的一部分,但这对于许多以前只销售终端安全产品的XDR厂商来说是一个挑战。CISO需要威胁检测和响应能力方面的帮助,并且愿意为合适的服务付费。XDR可以满足这种需求,但在XDR成为安全运营时代的答案之前,还需要大量的市场教育和拓展。
