威胁检测与响应始终是企业安全建设的重点,据调查,83% 的组织计划在未来 12 到 18 个月内增加威胁检测和响应支出。与之相对的是,尽管企业在安全技术上花费了数百万美元,但仍然无法在合理的时间内检测或是有效应对网络攻击,甚至因为攻击的加剧,企业面临的安全环境更为糟糕。
为了寻求出路,行业内将希望放在了 XDR(eXtended Detection and Response,扩展检测与响应技术) 上面。需要明确的是,XDR 作为一种新兴技术而非万能药。在这一观点下,我们可以看到 XDR 行业的很多创新和投资正在上演,随着 XDR 的发展,它可以帮助企业提高安全分析效率,简化安全操作,并且通过紧密集成的安全操作和分析平台架构 (SOAPA) 来巩固和优化 SOC。
在 XDR 的潜力下,CISO 可以采取 5 个步骤,为企业制定 XDR 落地计划。
1. 广撒网:做大量前期调研
根据调查,只有 24% 的安全专家表示自己 “非常熟悉” XDR。鉴于对新技术的知识鸿沟,企业首先应该了解所有类型的 XDR:基于平台的 XDR(具备分析及控制台等多个控件)、软件式 XDR、开放式 XDR,随后再让 SOC 团队制定 XDR 如何补充或替代现有工具和流程的策略。
目前,基于 XDR 整合体系结构的特性,很多供应商很可能会将 XDR 作为其 EDR、NDR 或安全分析技术的外延,因此,CISO 应该邀请战略安全技术合作伙伴加入,向安全团队介绍 XDR,并概述其产品路线图,从而让安全团队加快速度、更好地制定 XDR 战略。
2. 找到组织的弱点与盲点
在使用另一种威胁检测和响应技术之前,有必要深入研究现有工具和流程,这样才能了解对企业安全来说什么是有效,什么是无效的。
SOC 团队是否充分利用了 EDR,NDR 和 SIEM? 是否存在技能或资源缺口? 是否存在进程瓶颈,导致威胁的平均检测时间和响应时间变长? 如果存在以上情况,那么 SOAR(安全编排自动化与响应) 和专业服务可能比起其他分析工具更有价值。由于现代网络威胁会在整个网络中横向移动,因此在安全监控方面,该组织是否存在任何弱点或盲点也需要了解。例如,ESG 研究就指出了与公共云基础架构相关的安全监控弱点。在这种情况下,XDR 应该首先改善云安全可视化,然后将云安全分析与现有的 EDR、NDR、威胁情报等集成在一起。
3. 为项目规划选择一个 “起点”
XDR 是一种体系结构,而非产品。企业完全部署和配置 XDR 可能需要花费几年的时间,这意味着 CISO 需要思考从哪里开始着手。
在 ESG 的《XDR 在现代 SOC 中的影响》调查中,有 43% 的受访者表示,他们会从实施具有云计算工作负载和 SaaS 的威胁检测和响应功能的 XDR 解决方案来启动项目。事实上,XDR 技术可以从战术性覆盖发展到战略性覆盖,无论从哪里开始部署 XDR,安全团队都必须具备全局眼光,也就是确定集成点、规划项目、并定义一组用于度量 XDR 和项目有效性的度量标准。
4. 使用 XDR 建立安全运营最佳实践
在很多企业里,安全操作是杂乱无章的,并且充斥着许多手动操作和不断灭火过程。 一些 SOC 团队使用 SOAR 试图摆脱这种混乱,但 SOAR 平台需要人力资源和技能来创建剧本和代码编排例程,具有一定门槛。这一背景下,XDR 很可能会充当” 低成本 “的 SOAR。比如删去对企业来说无伤大雅的一些常见安全流程,帮助企业实施 MITRE ATT&CK 框架等。
在选择 XDR 解决方案时,CISO 应该评估每个供应商如何支持和推进安全运营最佳实践,以及企业如何适应这些变化。
5. 让 IT 团队参与进来
事件响应需要安全团队和 IT 团队之间协作与合作。为了支持和改进团队工作,XDR 平台应适应现有的流程切换,并与现有的安全操作工具 (如 ServiceNow、Jira、Microsoft OMS 等) 集成。换句话说,XDR 项目是要改进而不是中断现有的数据分析、案例管理、事件优先级和缓解工作。
最后,网络安全行业往往会陷入对新技术的趋之若鹜,但不幸的是,很多企业在使用新技术的同时不会花费时间充分学习新技术,也不能实现新技术的利益最大化。以 XDR 为例,作为一个需要数月或数年才能完全部署的架构,XDR 可以让组织有时间把事情做好,把 XDR 真正构建到正式项目和未来战略中,而不仅仅是安全会议上又一个谈资或话题。