選購XDR之前要關注這些問題
當單獨的端點安全無法完全滿足當下的安全需求時,就需要各個端點、網絡之間的聯動進行檢測和響應。XDR自然而然就從EDR演化而來。XDR(Extended Detection and Response)是一系列IT架構中安全產品的集成組合,包括LAN、WAN、IaaS、數據中心等;XDR的目的是將這些工具協同,從而實現威脅防范、檢測和響應。XDR將控制點、安全遙測器、數據分析、運營統一管理到同一個企業系統中。
XDR中的“X”意味著將威脅檢測從分散狀態轉化為統一。XDR不再僅僅單獨識別終端、網絡和郵件中的安全事件,而是通過安全管控將這些事件收集并進行關聯。因此,將威脅檢測理解為攻擊鏈,或者結合MITRE ATT&CK框架。“D”則數據收集、處理和分析,從而能夠比現有系統更快、更精確地檢測攻擊。一般而言,這些活動會在云端發生,從而能夠對數月,甚至數年之久的海量數據進行進一步分析。最后。“R”和自動化能力息息相關。XDR需要通過自動化,將大量的安全運營工作從人類手中解放——有點像簡約版的SOAR。
這是市場對XDR的理解,但是我們已經說了好多年工具的組合使用——那可比XDR這個概念存在的時間長多了。那XDR真的能夠實現嗎 ?
ESG的高級分析師Jon Oltsik和他的同事Dave Gruber最近完成了XDR的一項調研項目。Dave關注于EDR,而Jon側重于安全運營中心,因此他們從多個角度來看XDR這個概念。根據他們的研究,XDR不僅僅很現實,甚至可能影響2021年整個安全產業。其中,關鍵的結論有:
- 組織已經在威脅檢測前做了很多工作。當被問及他們如何定義自己的威脅檢測目標時,34%的組織表示希望能夠改善自己對高級威脅的檢測,29%希望減少修復的平均時間,27%希望能夠在威脅優先級的排序方面得到幫助。這一點代表了對流程和技術改進的需求。
- 現有工具并沒有效果。哪怕投了幾十億在安全領域,企業依然無法及時對威脅進行檢測和響應。當被問及威脅檢測和響應面臨的挑戰時,31%的安全專家表示需要在自己的業余時間進行應急響應,29%承認安全監控中存在盲點,23%表示不同工具之間很難關聯安全警告。這顯然表示安全運營中存在很多混亂。
- 威脅檢測和響應的預算在增加。83%的受訪組織表示正在增加自己的維系檢測和響應預算——代表了企業對于這方面的需求已經到了火燒眉毛的地步。
研究同樣表明,許多組織已經將XDR作為一種可行的解決方案:70%的受訪者表示已經將XDR放在未來12個月的預算中;有23%的甚至表示已經在建立XDR項目——比如將EDR和網絡檢測和響應工具集成、結合威脅情報等等。
組織顯然愿意為威脅檢測和響應買單,因此XDR很快在市場上得到了大量關注。安全廠商顯然看到了這個機會,像博通(收購賽門鐵克)、Check Point、思科、火眼、Fortinet、McAfee、微軟、派拓網絡、趨勢科技等大廠已經在將各種端點產品集成為XDR套裝。另一方面,Crowdstrike、Cybereason、SentinelOne等EDR廠商也已經開始部署XDR戰略;LogRhythm和RSA等SIEM廠商也準備進入XDR領域。與此同時,還有許多XDR的創業公司正在出現。這些都表示,會產生大量的XDR的研發投入,產生新的創新。不過,研究同樣發現XDR面臨的一些困境。安全從業人員最好能理解到以下一些問題:
- XDR解決方案包括哪些內容。只有24%的受訪者表示他們很熟悉XDR;剩余的受訪者只是對XDR有所知曉,甚至完全不了解。當被問及XDR定義的時候,36%的受訪者表示“XDR基于多個來源和管控的遙測器進行收集、處理、分析以及響應”——這是一個準確但相對寬泛的說法。這個不難理解,畢竟大部分XDR解決方案是基于多種不同的安全管控而成,沒有標準化的套裝。一些XDR解決方案更傾向于在現有的管控和分析工具上抽象一層出來。這些概念的不清晰意味著在企業開始購買XDR前,需要一定的市場層面的教育。
- XDR如何和SIEM協調。許多組織已經在SIEM解決方案上花了數百萬,并且有71%的企業認為SIEM在威脅檢測和響應上有效。然而,研究也發現SIEM更加昂貴、復雜,而且在未知威脅或者復雜攻擊面前并不那么有效。基于這個數據,大部分組織需要XDR來加強他們的SIEM——而非取代SIEM,至少在短期來看如此。因此,XDR廠商需要發展出一個強有力的SIEM輔助策略。
- 數據管理問題。就和SIEM一樣,XDR必須能實時收集、處理和分析Tb級別的數據。幾乎每個安全工程師都會表示,他們花了大量的時間建立數據管道來實現這些。ESG研究發現,組織面臨的數據管道挑戰包括:過濾警告噪音(38%)、為了適應增長的安全遙測數據延展數據管道(37%)、建立流水化的有效數據管道(34%)。XDR廠商可以利用云原生的優勢建立數據管道。現在,他們有機會通過說明他們如何管理數據管道來教育市場。
- 安全服務。73%的企業計劃,或者已經在使用某種類型的MDR服務,可能是完全外包,也可能是外包一部分。這就代表安全服務應該是每個XDR解決方案的一部分,但對很多之前只賣終端安全產品的XDR廠商而言,是一項挑戰。
CISO們需要威脅檢測和響應能力的幫助,而且愿意為合適的服務買單。XDR可以滿足這個需求,但是在XDR成為安全運營的時代答案之前,還需要大量的市場教育和拓展。
