警惕XDR应用落入产品化思维的陷阱它是单一安全厂商提供的威胁检测工具组件包,有人认为它是一种开放的威胁检测和事件响应的新架构。XDR技术出现的原因是企业安全团队对威胁检测和响应技术有了更高的要求。国际IT专业媒体TechTarget旗下企业战略研究机构ESG近日就XDR应用对381名企业安全专业人士进行了调查和采访。研究发现,85%的组织计划在未来12到18个月内增加XDR应用程序的支出。很明显,该组织对其现在实施的解决方案并不满意。对于企业安全架构师来说,是时候改进和优化现有的XDR应用策略了。产品化思维陷阱新一代XDR技术会不会成为企业提升威胁检测和响应能力的灵丹妙药?ESG认为,如果企业将XDR视为一种安全产品,可能很难找到能够完全满足组织需求的XDR产品。ESG研究团队认为,企业应将XDR的应用和部署视为一个过程。只有在XDR技术的应用过程中不断关注完善检测和响应计划的必要性,才能满足IT基础设施多样化的应用需求,甚至更好地应对日益复杂的安全威胁。XDR的核心是优先聚合、关联和分析各类安全数据,反映日益多样化的攻击面和更复杂的威胁环境,从而实现更优化的高级威胁检测。虽然很多安全厂商推出了号称XDR的产品或解决方案,但企业组织要找到真正满足其安全应用需求的XDR解决方案并不容易。为克服这一过程中的挑战,企业可以从以下几个方面进行思考:明确组织对XDR的认知和需求,将XDR视为一种新的威胁检测和响应策略,而不是一种特定的产品工具;根据组织的XDR战略,明确XDR解决方案的具体应用需求,并据此确定企业已经具备的XDR能力,同时发现需要投资优化的地方;不要陷入以产品为导向的XDR思维的陷阱。在实际应用中,XDR策略的实施需要威胁情报等多种工具的支持,但这些工具并不能单独标记为XDR产品。你从XDR得到了什么?建立高效的威胁检测和响应能力对于构建组织的安全运营至关重要,但实现这一目标很困难。2023年,以XDR为代表的威胁检测与响应领域将成为安全投资热点。不同厂商对新一代XDR产品的定义会继续争论不休,但XDR确实可以帮助组织提高威胁检测和响应效率以及安全运营效率,因此它仍然会在市场上大受欢迎。企业用户应该关注XDR的应用结果,而不是纠结于XDR定义的争论。根据ESG研究数据,36%的受访者希望,针对不断扩大的攻击面,XDR的应用有助于扩展和增强组织的威胁检测和响应能力。安全运营团队希望新一代XDR解决方案能够兼顾广度和深度,能够对威胁情报、云端、身份系统、物联网设备等多源安全检测数据进行综合采集、分析和处理,减少运营团队的工作量。体力劳动压力大;33%的受访者希望新一代XDR解决方案能够提高安全警报的准确性和优先级,更容易分析和响应事件。换句话说,安全运营团队希望XDR能够快速识别和检测正在进行的攻击,而不是困在海量安全事件的分析中;29%的受访者希望新一代XDR解决方案能够打造一个集中的威胁检测管理中心。安全运营团队想要一个真正统一的协作工作平台,而不是繁琐的UI界面和来自不同工具的控制仪表板。这对于提高企业安全管理流程的效率和员工的工作效率非常有帮助;26%的受访者希望XDR能够缩短检测和响应威胁的平均时间。显然,他们对XDR目前的表现并不满意,希望XDR能够成为商业的助推器;25%的受访者希望新一代XDR解决方案具备更强的未知高级威胁检测能力。这需要改进现有的分析工具、警报机制和MitreATT&CK框架,以深入了解攻击者使用的活动和战术、技术和程序(TTP)。实施XDR的7条建议对于希望成功实施XDR战略的企业组织,ESG研究团队给出了以下7条建议:1.将可扩展的分析平台置于XDR战略的核心,以实现更好的威胁检测和事件响应,需要更多安全监控数据支持。XDR解决方案中的数据分析平台应该能够全面获取和分析这些安全数据。组织需要实现各种检测能力工具的更多集成,并能够快速整合新访问的安全工具。由于数据分析的速度和规模对检测分析很重要,因此企业应优先考虑集成性强、扩展性好的数据分析平台。2、使用自动化分析引擎工具部署和应用XDR策略,应该能够实现检测、响应、威胁情报分析、安全运营等流程的??自动化。自动化引擎将在其中发挥重要作用。自动化引擎是很多传统XDR解决方案所欠缺的一个方面,未来需要企业更加重视。目前许多XDR解决方案的工作流程根本无法扩展,将难以满足数字化发展和新威胁攻击的增长速度。3、要能够获取并自动处理多源威胁情报,并不是所有的威胁情报都需要收集到XDR策略中,但是威胁分析引擎必须具有灵活的可扩展性,能够从多个情报源中获取最新的威胁情报信息.虽然大多数安全产品和服务提供商都在威胁研究方面投入了大量资金,但从长远来看,依赖单一情报来源是不够的。4.基于风险的安全警报和事件优先级评估组织需要帮助安全分析师从基于风险的角度关注组织内外整个攻击面上最有价值和风险最大的资产和威胁。现有的安全风险评估机制必须与XDR策略集成。5.高度直观的自动化交互工具自动化交互工具可以帮助安全分析师更好地理解、调查、缓解或应对持续的攻击。工具不仅应可视化攻击,还应提供对常见攻击者行为、响应和从先前调查中获得的情报的洞察力。自动化技术可以在这里发挥关键作用,因为它可以为数据分析添加更多信息,并根据易于理解的模式使工作流程自动化,从而缩短对威胁事件的调查。6.加强与其他安全能力的融合。如果XDR策略与组织中的其他工作流工具(包括工单系统、消息传递工具、安全性、编排、SOAR等)集成,组织将更容易充分利用现有的工作流和资源来加强知识为团队建立基地,以便日后积累和利用更多的调查成果。7.确保各种安全工具的协同作用随着XDR项目的逐步发展,组织应考虑实施与当前安全系统和架构一致的技术。确保当前体系结构的尽可能多的部分具有预构建的集成,这可能意味着从现有安全提供商那里购买XDR技术。
