?XDR 在威脅檢測、調查和響應方面的全部價值只有當它被視為一種架構時才能實現

451 Research研究在2021對英國高級網絡安全專業人員進行的調查結果的基礎上進行的。這項研究隊列擴大到了英國、美國和澳大利亞的750名高級管理人員，該研究考察了當今分布式企業實施網絡安全自動化的驅動因素，探討了常見的用例、面臨的典型挑戰以及自動化采用的障礙。2022年報告還確定了企業網絡安全自動化成熟度的水平。它著眼于擴展檢測和響應（XDR）的興起如何影響組織對自動化的需求，以及董事會對網絡安全報告的興趣程度。

根據451Research 的并購知識庫，2021年的網絡安全并購活動總交易額達到 741 億美元，創歷史新高。促成這一增長的是，擴展檢測和響應 (XDR) 在 19 個月內從零交易增加到28筆交易，預計將推動持續的并購活動，這是有充分理由的。451 Research將其研究擴展到 XDR，最近發現 XDR 現在是報告最頻繁的 SIEM/安全分析增強領域，43% 的受訪者認為它是與這些核心安全運營技術相結合的頂級技術。

威脅檢測和響應達到拐點

2022 年安全運營調查著眼于安全運營 (SecOps) 技術和服務的趨勢。它擴展了我們之前對這些產品的重要性、它們的屬性以及它們為組織提供的應對威脅形勢的能力的研究。

威脅檢測和響應繼續重塑安全運營的現狀。擴展檢測和響應 (XDR) 首次成為被引用次數最多的技術類別，它與安全信息和事件管理/安全分析相結合，將威脅情報排除在外，盡管幅度很小。雖然 SIEM 仍然是 SecOps 的支柱，但威脅檢測和響應已成為技術和托管服務的首選。有些人可能會爭辯說，威脅檢測和響應始終是 SIEM/安全分析的一個方面。雖然這可能是真的，但采用的證據表明這些新進入者對該領域產生了影響。專注于該領域多種功能的產品是 SecOps 市場的一個方面，它將繼續存在。

調查結果摘要

XDR 已成為最常報告的 SIEM/安全分析增強。在我們之前的信息安全研究中，威脅情報經常被認為是與 SIEM/安全分析相結合的頂級技術——而且通常有很大的差距。在我們的 2021 年信息安全、供應商評估研究中，威脅情報被 49% 引用，事件響應工作流程以 36% 位居第二。在我們 2022 年的調查中，XDR 位居榜首，但排名靠后。在 43% 的受訪者中，XDR 以一個百分點的優勢領先威脅情報工具或源，但無論如何它都是一個轉折點，標志著威脅檢測和響應對安全操作的影響增加的里程碑。

對于集中式安全分析，SIEM 仍然是支柱，而端點檢測和響應 (EDR) 在檢測和響應方面處于領先地位——托管服務表現強勁。當被問及組織使用哪些技術作為其安全運營集中分析平臺的一部分時，SIEM 繼續領先，占 44% 的受訪者。然而，EDR 以 41% 緊隨其后。然而，下一個最頻繁的響應指出了服務選項的優先級，33% 的人表示托管檢測和響應服務是他們集中安全分析的一部分。

對于 SIEM/安全分析供應商，輸出質量仍然非常出色，威脅情報的集成是重中之重。2022 年，報告和警報的質量、威脅情報的集成和關聯以及設置、實施和調整的簡便性仍然是 SIEM/安全分析供應商的三大屬性。與上述 2021 年研究相比，受訪者非常重要。與此同時，包括機器學習和行為分析在內的高級分析方法的整合在 2022 年取得了進展，51% 的受訪者認為這非常重要，而 2021 年這一比例為 41%。

大多數人認為云資產警報非常重要。58% 的受訪者表示，SIEM/安全分析供應商支持對本地以外的架構（例如，云、IaaS 和 SaaS 環境）發出警報非常重要，另有 36% 的受訪者稱此屬性有些重要。這表明，不僅有機會在安全運營中實現 IT 可觀察性，而且還需要安全運營團隊在云原生環境方面的專業知識。

盡管取得了進展，但 SecOps 團隊仍在與警報過載作斗爭。受訪者表示他們無法在典型的一天進行調查的安全分析生成的警報的平均百分比為 48%。這個數字比之前引用的 2021 年研究中的 41% 有所增加。雖然偵探和分析技術正在優化安全運營方面取得進展，但技術不斷擴大的范圍和復雜性繼續給 SecOps 團隊帶來壓力。然而，這也可能會進一步激發人們對托管檢測和響應服務的興趣。

增強是關鍵詞。SIEM 已經在聚合來自不同工具的日志和事件，并創建自己的警報。使用 XDR 進行增強以在整個企業中獲得更廣泛的可見性是一件好事，因為壞人會利用漏洞來獲取優勢。但意想不到的后果是警報的數量增加了一個數量級。因此，這些調查受訪者還表示他們仍在為警報過載而苦苦掙扎也就不足為奇了；在通常的一天，48% 的警報未經調查，高于去年調查中的 41%。多年來，警報疲勞一直困擾著安全分析師。在更多區域添加更多檢測會加劇該問題。 

要扭轉這種趨勢，我們需要將 XDR 視為一種架構方法，而不是一種解決方案。當 XDR 被定義為專注于集成和自動化的開放平臺時，分析師可以快速連接點，了解整個環境中發生的事情，并確定是否應將警報升級為事件響應。 

要事第一：整合。 

XDR 架構必須支持與企業擁有的任何工具的集成，包括所有內部數據源——SIEM 系統、日志管理存儲庫、案例管理系統和安全基礎設施——在本地和云端。它還必須與組織訂閱的多個外部數據源集成——商業、開源、政府、行業和現有安全供應商，以及 MITRE ATT&CK 等框架。與 RSS 提要、研究博客、新聞網站和 GitHub 存儲庫的集成可幫助分析師跟上新信息，這些信息提供額外的上下文以進一步通知警報分類。

除了支持數據流動和豐富上下文之外，集成還打破了團隊在其中運作的孤島，這樣他們就可以看到整個環境中真正發生的事情的大局，并進一步調查。與現有工具集成并跨現有工具實現可見性、協作和更深入的理解。團隊可以使用他們已經熟悉的工具一起工作，以更快地做出更好的決策。

接下來是自動化。

集成是 XDR 架構的核心屬性。但是，將數據整合在一起并打破孤島的能力還不夠。自動化也是必需的，因為分析師自己根本無法理解所有這些數據。然而，盡管一項全球調查 發現人們對安全自動化的信心正在上升，但只有 18% 的受訪者將自動化應用于警報分類。這是一個錯失的機會，因為警報分類的重復性、低風險、耗時的任務——如內部和外部數據規范化、關聯、上下文化和優先級——是自動化的主要候選對象。 

自動化通過減少噪音和誤報并使團隊能夠快速利用所有可用數據的豐富性來全面了解正在發生的事情，從而簡化了警報分類的工作。根據他們設置的參數，團隊可以更快地獲得重要的警報，并且由于集成，相關數據可以顯示在一個屏幕上，因此分析師可以更輕松、更快速地進行調查、檢測整個企業的惡意活動并加快解決速度.

在可預見的未來，XDR 似乎注定要成為安全基礎設施的核心。但只有當它被視為一種架構時，它對威脅檢測、調查和響應的全部價值才會實現。否則，它只是增加了我們以前無法處理的警報量的又一個工具，它不會打破孤島，也無法在整個組織內實現協作、決策制定和響應。這當然不是任何人為 XDR 打算的結果，而且讓這種情況發生的風險太大。