XDR(ExtendedThreatDetectionandResponse)是近年来网络安全行业的一个热词。它特指当企业现有的防御无法覆盖广泛的威胁攻击向量时所采用的扩展方案。简而言之,XDR至少包含两种或两种以上的威胁检测。由于对企业的威胁可能来自桌面、Web、SaaS应用程序、云提供商等,因此需要多种检测功能来保护企业的系统。在《“穷人”的SOC?XDR面临三大挑战》一文中,我们将XDR称为“穷人的SOC”。面对日益增长的威胁攻击面和向量,对于那些没有或不能拥有“全级配置”SOC的中小企业或小型安全团队来说,XDR具有重要的价值。需要注意的是,一些安全供应商提供的安全解决方案仅涵盖少数几个威胁向量,但他们也将其称为XDR。这只是一个很好的营销术语来掩盖他们提供的服务不足。为什么使用XDR?Gartner将XDR产品定义为自动收集和关联来自多个组件的数据的平台。XDR承诺通过统一格式的集中历史和实时事件数据,以及可扩展的高性能存储、快速索引搜索和自动化驱动的响应,使安全团队更加高效和有效。然而,XDR解决方案正在从可能包含更多工具的多个解决方案集中提取数据,并且它们使分析师接触大量威胁数据以进行分析。XDR代表端点威胁检测和响应(EDR)解决方案的自然发展。它旨在提供一个具有多种检测功能的平台,包括端点保护、云访问安全代理(CASB)、安全网络网关(SWG)、安全电子邮件网关(SEG)、网络防火墙、网络入侵防御系统(NIP)、统一威胁管理(UTM)和身份与访问管理(IAM)。然而,一些网络安全厂商之所以未能开发出XDR,是因为他们往往忽略了一个关键因素:人。XDR只是一种工具。为了从这个工具中获得任何潜在价值,组织需要具有智能分析能力的人才,这些人才可以在噪音中对真实事件进行分类并确定响应的优先级。如果没有这些才能,使用XDR就等于将所有可以收集到的有关威胁的信息简单地倒入“沸腾”的大锅中,同时继续为攻击者提供利用的机会。与更传统的安全行业主要产品、安全信息和事件管理产品(SIEM)类似,XDR为具有多个不同分析师和控制台的企业提供方案。借助SIEM,企业希望通过聚合所有控制台并将所有内容(包括入侵信息)放在一个地方来消除这些低效率问题。所以SIEM和XDR本质上是一样的东西,也有同样的问题:即企业需要精通这些工具的人才能从中获益。在解决这一人才短缺问题时,企业越来越多地转向另一种解决方案:MDR(托管检测和响应服务)。这种安全即服务(SaaS)产品使公司能够访问具有所有XDR功能专业知识的外部分析师,他们可以持续有效地接收警报事件并确定其优先级,从而减轻内部IT团队的负担。通过减轻负担并在高风险事件升级之前对其进行调查来减少误报,同时为企业提供最新情报。也就是说,MDR可以理解为托管的XDR。因此,企业安全团队的成员不必购买自己的情报源,解决方案不仅仅是一种工具。他们不再需要每天处理数以千计的警报或遭受频繁警报的困扰。摆脱这些负担后,他们可以专注于更大的安全战略计划,以改善公司的整体安全状况。由于这些好处,MDR可以得到更广泛的采用,因为四分之一的企业现在正在使用MDR服务,其中72%的组织将解决攻击所需的时间减少了25%到100%。在目前未使用该服务的公司中,79%正在评估或考虑采用该服务,并且仍在使用XDR。但是,如前所述,他们也在试验托管服务,这将帮助企业安全专业人员进一步释放价值的深度。如果一个XDR解决方案没有足够的专业人员,它永远只是一个工具。通过采用托管服务模型,企业可以获得更多的技术能力和使它们发挥作用所需的专业人员。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
