警惕XDR應用落入產品化的思維陷阱中
責編:gltian |2022-12-06 14:22:57XDR概念已提出多年,但很多企業用戶對它的理解仍然一頭霧水,有人認為它是端點檢測和響應(EDR)技術的擴展,有人認為它是由單一安全廠商提供的威脅檢測工具組件包,還有人認為它是一種開放式的威脅檢測和事件響應新架構。
XDR技術之所以會出現,是由于企業安全團隊對威脅檢測和響應技術有了更高的要求。國際IT專業媒體TechTarget旗下的企業戰略研究機構ESG日前開展了一項調查,面向381名企業安全專業人員進行了XDR應用訪談。研究發現,85%的組織計劃在今后12到18個月內加大在XDR應用方面的支出。很顯然,組織對現在實施的方案并不滿意。對于企業的安全架構師而言,是時候改進優化現有的XDR應用策略了。
產品化的思維陷阱
新一代XDR技術會是企業升級威脅檢測和響應能力的靈丹妙藥嗎?ESG認為,如果企業把XDR看作一種安全產品的話,那么可能很難找到一款真正能夠全面滿足組織需求的XDR產品。
ESG研究團隊認為,企業應該將XDR應用和部署看作是一個過程,只有持續性地關注XDR技術應用過程中改進檢測和響應計劃的必要性,才可以滿足 IT 基礎設施的多樣性應用需求,更好地應對日益復雜的安全威脅。
XDR 的核心是按照優先級對各種類型的安全數據進行聚合、關聯和分析,這反映了日益多樣化的攻擊面和更復雜的威脅形勢,可以使高級威脅檢測更優化。盡管有很多安全廠商都推出宣稱是XDR的產品或解決方案,但是企業組織要找到真正能夠滿足自己安全應用需求的XDR方案并不容易。要克服這一過程中的挑戰,企業可以從以下方面進行思考:
- 明確定義組織對 XDR 的看法和需求,將 XDR 視為一種全新的威脅檢測和響應戰略,而不是某個特定的產品工具;
- 根據組織的XDR戰略,明確定義出對XDR方案的具體應用需求,并以此來確定企業已經擁有的XDR能力,同時發現需要投資優化的地方;
- 不要陷入產品化的XDR思維陷阱中。在實際應用中,實現XDR策略需要威脅情報等多種工具的支持,但這些工具不能被獨立的標記為 XDR產品。
從XDR得到什么?
構建高效的威脅檢測和響應能力對組織安全運營建設至關重要,但實現這一目標困難重重。在2023年,以XDR為代表的威脅檢測和響應領域會成為安全投資熱點。不同廠商圍繞新一代XDR產品定義的爭論還將持續,但是XDR確實能夠幫助組織提高威脅檢測和響應效率以及安全運營效率,所以仍將受到市場的熱捧。
企業用戶應該關注XDR的應用結果,而不是糾結于對XDR定義的爭論。ESG研究數據顯示:
- 36%的受訪者希望,針對不斷擴大的攻擊面,通過應用XDR能幫助擴展并增強組織的威脅檢測和響應能力。安全運營團隊希望新一代XDR方案能夠既有廣度,又有深度,可以實現綜合收集、分析并處理來自威脅情報、云端、身份系統和物聯網設備等多種來源的安全檢測數據,降低運營團隊的人工工作壓力;
- 33%的受訪者希望,新一代XDR方案能夠提高安全警報的準確性和優先級,從而更便捷地分析和響應事件。換句話說,安全運營團隊希望XDR能夠快速識別并檢測正在進行中的攻擊,而不是陷入到海量的安全事件分析中去;
- 29%的受訪者希望,新一代XDR方案能夠為企業創建集中式的威脅檢測管理中心。安全運營團隊想要一個真正統一化的協同工作平臺,而不是來自不同工具的繁瑣UI界面和管控儀表板。這一點對提高企業安全管理流程效率和員工生產力非常有幫助;
- 26%的受訪者希望XDR能夠縮短檢測和響應威脅的平均時間。很顯然,他們對XDR目前的表現并不滿意,希望XDR能成為業務助推器;
- 25%的受訪者希望新一代XDR方案,具有更強大的未知高級威脅檢測能力。這需要對現有的分析工具、警報機制以及Mitre ATT&CK框架進行改良優化,以便深入了解攻擊活動以及攻擊者使用的戰術、技術和程序(TTP)。
實施XDR的7點建議
對于希望成功實施XDR策略的企業組織,ESG研究團隊給出了以下7點建議:
1
將可擴展的分析平臺作為XDR策略的核心
要實現更好的威脅檢測和事件響應,需要更多的安全監控數據來支撐。XDR方案中的數據分析平臺應該能夠全面獲取和分析這些安全數據。組織要對各種檢測能力工具實現更多的集成,并能夠快捷納入新接入的安全工具。由于數據分析的速度和規模對檢測分析都很重要,所以企業應優先考慮集成性強、擴展性好的數據分析平臺。
2
使用自動化分析引擎工具
部署應用XDR策略應該能夠使檢測、響應、威脅情報分析和安全操作等流程實現自動化。自動化引擎在這方面將發揮著重要角色。自動化引擎是很多傳統XDR方案中欠缺的一個方面,企業后續需要加大關注力度。很多XDR方案目前的工作流程根本不具有可擴展性,將難以滿足數字化發展和新型威脅攻擊的增長速度。
3
要能夠獲取和自動處理多來源的威脅情報
不是所有的威脅情報都需要匯集到XDR策略中,但是威脅分析引擎必須可靈活擴展,以便從多個情報來源獲取最新的威脅情報信息。雖然大多數安全產品和服務提供商在威脅研究方面都投入了巨資,但僅依靠單一的情報來源從長遠來看是不夠的。
4
基于風險的安全警報和事件優先級評價
組織需要從基于風險的角度,幫助安全分析師關注組織內外整個攻擊面上價值最高、風險最高的資產和威脅隱患。現有的安全風險評估機制必須與XDR策略相集成。
5
高度直觀的自動化交互工具
自動化交互工具可以幫助安全分析師更好地理解、調查、緩解或對付進行中的攻擊。工具不僅僅應該直觀呈現攻擊,還應該提供洞察力,以便深入了解攻擊者的常見行為、對應情況以及從之前的調查所獲得的情報。自動化技術可在其中起到了關鍵作用,因為它為數據分析增添了更多的信息,并基于充分理解的模式使工作流程實現自動化,從而縮短威脅事件的調查過程。
6
加強與其他安全能力的整合
XDR策略如果與組織中其他工作流程工具(包括工單系統、消息傳遞工具、安全、編排、SOAR等)整合,組織就可以更容易充分利用現有的工作流程和資源,加強團隊的知識庫建設,以便將來可以積累和利用更多的調查成果。
7
確保各種安全工具協同性
隨著XDR項目逐漸深入開展,組織應考慮實施與當前安全體系和架構相一致的技術。確保當前架構中盡可能多的部分實現預構建集成,這可能意味著從現有的安全提供商購置XDR技術。
來源:安全牛