2020年,XDR将成为CISO们必须了解的概念之一,让企业更准确地检测,提高安全运营效率。从那时起,大大小小的安全供应商涌入了XDR市场,将他们的产品改造成XDR解决方案。随着SOC演变为检测和响应部门,管理人员开始考虑XDR来实现这一目标。如果企业正在考虑XDR解决方案,很容易迷失在各种定义和实施模型中。如果简化来看,目前主要有三种XDR架构。单一供应商生态系统许多大型安全供应商将这种实施模式吹捧为最佳实践,这是通过集成来自单一供应商(通常是基于云的)的各种安全产品来实现的。这种模式看起来很有吸引力,因为它强调简单性和全面覆盖。然而,问题是典型的组织使用来自多个供应商的许多不同技术来保护自己,包括防火墙、IPS/IDS、路由器、网站和电子邮件安全以及EDR。企业还会有SIEM等其他工具来存储内部威胁和事件数据,如票务系统、日志管理库、用例管理系统等。他们一般依赖一些“大厂商”来处理他们的大量安全任务,但通常他们也会选择不同的最佳供应商,以防止大型供应商过度影响自己。IBM2020年的一项调查发现,一般组织拥有45种不同的安全工具,但大多数不会相互交互。这是不同团队、预算计划和部门随着时间的推移做出独立决策的自然结果。安全供应商必须接受这样一个事实,即并非每个组织都从一家供应商处购买其所有工具,并且短期内没有动力修改和更换工具。更不用说,由于持续创新以跟上新的用例、威胁和威胁因素,新供应商和解决方案不断涌现。这个切入点的落地和扩展是基于供应商自身所关注的某个方面,比如EDR或者NDR,然后供应商通过集成其他安全工具来增加XDR能力。虽然这个切入点提供了选择最佳底层技术进行检测和响应的机会,但它也带来了一些挑战。集成是构建XDR架构的关键。然而,供应商可能只专注于核心技术的创新,从而对集成产生负面影响。更重要的是,如果集成能力不是他们的核心竞争力,供应商将花费大量时间来识别交互工具,然后深度集成他们的XDR。开放平台以此为切入点的安全厂商将提供一个专注于集成的平台,将不同领域的工具与其他安全基础设施连接起来。该解决方案作为与现有安全技术的链接提供了更强大的功能,包括其他供应商声称的XDR解决方案。这需要供应商的核心竞争力,并专注于系统之间的集成和数据流动。已经具备一定安全能力,甚至拥有多个跨部门最佳解决方案的企业,可以利用这种开放的、可扩展的架构,有效地集成现有工具,包括XDR供应商不熟悉的产品,进行集成和交互。将有用于数据收集和输出的标准接口,并且可以在数小时内建立自定义连接器,以连接新的安全控制功能和已部署的工具以应对新的威胁。每个入口点都有优点和缺点。但是,如果把XDR当做目标而不是解决方案,那么无论从哪个切入点开始实践,都需要了解不同供应商的侧重点和核心竞争力,转换到XDR需要的经验,以及可能出现的偏差。只有了解这一点,您才能确信您选择的供应商能够提供您需要的XDR,以实现跨基础设施和所有攻击媒介的检测和响应能力。对XDR概念的评述,为整体安全性给出了新的发展方向。然而,概念与实践之间仍然存在差距。技术的落地和实践,不仅是技术能力的考量,也是商业层面的取舍。XDR实现的三个切入点是基于安全厂商现有能力,根据自身业务需求提供相应的XDR解决方案;相比之下,企业在选择XDR解决方案时,自然需要结合自身的能力。根据不同切入点的优劣,选择对您的业务最有利的XDR解决方案,以及相关XDR厂商的情况。
