XDR在威胁检测、调查和响应中的全部价值只有当它被视为架构时才能实现2021年英国高级网络安全专业人士根据以下调查结果进行的451研究研究该调查。该研究将队列扩大到英国、美国和澳大利亚的750名高级管理人员,研究了在当今分布式企业中实施网络安全自动化的驱动因素,探索了常见的用例、面临的典型挑战以及自动化采用的障碍。2022年报告还确定了企业网络安全自动化成熟度的水平。它着眼于扩展检测和响应(XDR)的兴起如何影响组织对自动化的需求以及董事会对网络安全报告的兴趣程度。根据451Research的并购知识库,2021年网络安全并购活动总额创下741亿美元的历史新高。促成这一增长的是,扩展检测和响应(XDR)在19个月内从零笔交易增加到28笔交易,预计这将推动持续的并购活动,这是有充分理由的。451Research将研究扩展到XDR,最近发现XDR现在是SIEM/安全分析增强功能中报告最频繁的领域,43%的受访者认为它是与这些核心安全运营技术集成的顶级技术。威胁检测和响应达到拐点2022年安全运营调查着眼于安全运营(SecOps)技术和服务的趋势。它扩展了我们之前对这些产品的重要性、它们的属性以及它们为组织提供的应对威胁形势的能力的研究。威胁检测和响应继续重塑安全运营的现状。扩展检测和响应(XDR)首次成为引用最多的技术类别,与安全信息和事件管理/安全分析相结合,不包括威胁情报,尽管幅度很小。虽然SIEM仍然是SecOps的支柱,但威胁检测和响应已成为首选的技术和托管服务。有些人可能会争辩说,威胁检测和响应始终是SIEM/安全分析的一个方面。虽然这可能是真的,但采用的证据表明这些新进入者对该领域产生了影响。专注于该领域多种功能的产品是SecOps市场的一个方面,它将继续存在。结果摘要XDR已成为报告最频繁的SIEM/安全分析增强功能。在我们之前的信息安全研究中,威胁情报经常被认为是与SIEM/安全分析相结合的顶级技术——而且通常遥遥领先。在我们的2021年信息安全供应商评估研究中,威胁情报被49%引用,事件响应工作流紧随其后,占36%。在我们的2022年调查中,XDR位居榜首,但排名靠后。在43%的受访者中,XDR领先威胁情报工具或来源一个百分点,但无论如何它标志着一个转折点,标志着威胁检测和响应对安全操作的影响越来越大的里程碑。对于集中式安全分析,SIEM仍然是中流砥柱,而端点检测和响应(EDR)在检测和响应方面处于领先地位——托管服务非常强大。当被问及组织使用哪些技术作为其安全运营集中分析平台的一部分时,SIEM继续领先,占44%的受访者。然而,EDR紧随其后,为41%。然而,下一个最频繁的响应表明服务选项的优先级,33%的人表示托管检测和响应服务是他们集中安全分析的一部分。对于SIEM/SecurityAnalytics供应商来说,输出的质量仍然非常出色,威胁情报的集成是重中之重。到2022年,报告和警报的质量、威胁情报的集成和关联以及设置、实施和调整的简便性仍将是SIEM/安全分析供应商的三大属性。与上面的2021年研究相比,受访者非常重要。与此同时,包括机器学习和行为分析在内的高级分析方法的整合在2022年取得了进展,51%的受访者认为这非常重要,而2021年这一比例为41%。大多数人认为云资产警报非常重要。58%的受访者表示,SIEM/安全分析供应商支持在本地以外的架构(例如,云、IaaS和SaaS环境)上发出警报非常重要,而另有36%的受访者表示此属性有些重要。这表明,不仅有机会在安全运营中实现IT可观察性,而且还需要安全运营团队在云原生环境方面的专业知识。尽管取得了进展,但SecOps团队仍在与警报过载作斗争。表示他们无法在通常的一天调查安全分析生成的警报的受访者的平均百分比为48%。这个数字高于之前引用的2021年研究中的41%。虽然检测和分析技术在优化安全运营方面取得了进展,但该技术不断扩大的范围和复杂性继续给SecOps团队带来压力。然而,它也可能进一步激发人们对托管检测和响应服务的兴趣。增强是关键词。SIEM已经在聚合来自不同工具的日志和事件,并创建自己的警报。通过XDR增强整个企业的更广泛可见性是一件好事,因为不良行为者会利用漏洞为自己谋取利益。但意想不到的后果是警报数量增加了一个数量级。因此,这些调查受访者还表示他们仍在与警报过载作斗争也就不足为奇了;通常情况下,48%的警报未经调查,高于去年调查中的41%。多年来,警报疲劳一直困扰着安全分析师。在更多区域添加更多检测会加剧该问题。要扭转这一趋势,我们需要将XDR视为一种架构方法,而不是一种解决方案。当XDR被定义为一个专注于集成和自动化的开放平台时,分析师可以快速连接点,了解整个环境中发生的事情,并确定是否应将警报升级为事件响应。第一件事:整合。XDR架构必须支持与企业拥有的任何工具集成,包括所有内部数据源——SIEM系统、日志管理存储库、案例管理系统和安全基础设施——在本地和云端。它还必须与组织订阅的多个外部数据源集成——商业、开源、政府、行业和现有安全供应商,以及MITREATT&CK等框架。与RSS提要、研究博客、新闻网站和GitHub存储库的集成可帮助分析师跟上新信息,这些信息提供额外的上下文以进一步通知警报分类。除了支持数据流和丰富的上下文之外,这种集成还打破了团队运作的孤岛,这样他们就可以看到整个环境中真正发生的事情的大局,并进一步调查。与现有工具集成并跨现有工具实现可见性、协作和更深入的理解。团队可以使用他们已知的工具一起工作,以更快地做出更好的决策。接下来是自动化。集成是XDR架构的核心属性。但是,将数据整合在一起并打破孤岛的能力还不够。自动化也是必要的,因为分析师自己根本无法理解所有这些数据。然而,尽管一项全球调查发现对安全自动化的信心正在上升,但只有18%的受访者将自动化应用于警报分类。这是一个错失的机会,因为警报分类的重复性、低风险、耗时的任务——例如内部和外部数据规范化、关联、上下文化和优先级——是自动化的主要候选对象。自动化通过减少噪音和误报并使团队能够快速利用所有可用数据的丰富性来全面了解正在发生的事情,从而简化了对警报进行分类的任务。根据他们设置的参数,团队可以更快地获得重要警报,并且由于集成,相关数据可以显示在一个屏幕上,因此分析师可以更轻松、更快速地进行调查,检测整个企业的恶意活动并加快解决速度.在可预见的未来,XDR似乎注定要成为安全基础设施的核心。但只有当它被视为一种架构时,它在威胁检测、调查和响应方面的全部价值才能实现。否则,它只是另一种工具,它增加了我们以前无法处理的警报量,不会打破孤岛,也不会在整个组织内实现协作、决策制定和响应。这当然不是任何人想要的XDR,让这种情况发生的风险太大了。
