安全团队依然面临快速检测和响应安全威胁等基础性的挑战。XDR 被视为帮助在攻击链中检测、识别和了解复杂威胁的潜在手段。

近期，全球知名信息技术分析和咨询机构 ESG 的报告显示：企业和组织正在努力提升终端检测与响应平台（Endpoint Detection and Response, EDR）、网络检测与响应平台（Network Detection and Response, NDR）以及其他安全分析方案的能力，以支持更加全面的威胁检测和响应。扩展检测与响应平台（eXtended Detection and Response, XDR）恰逢其时。但部署 XDR 从何入手？需要同时配置哪些安全能力？

01 威胁检测和响应的重点

ESG 报告显示，提升高级威胁检测能力成为威胁检测和响应的首要任务。

34% 的受访者认为威胁检测和响应需要重点提升高级威胁检测能力，33% 的受访者认为应当重点提升自动化修复能力，29% 的受访者认为应当降低威胁的平均响应时间。

概括来说，安全运营中心（SOC）团队需要提升威胁检测和响应的效率，尤其是在面对随着时间推移能够在网络中横向移动的未知威胁时。

02 威胁检测和响应的挑战

2.1 安全运营工具购买、维护和运营成本高昂，且无法有效识别未知威胁

SIEM 已经成为流行且有效的安全运营技术，但 SIEM 面临诸多问题和挑战。34% 的受访者认为 SIEM 软件价格很昂贵，32% 的受访者认为维护和运营 SIEM 基础设施成本高昂，需要大量的资源和时间来运营。30% 的受访者认为，虽然有经验的专家分析师可以从 SIEM 中获益，但初级分析师仍在 SIEM 学习曲线中苦苦挣扎。需要特别注意的是，30% 的受访者认为，虽然 SIEM 可以有效地检测已知威胁，但是无法有效识别未知威胁。

总的来说，图 2 代表了当下企业和组织安全运营的状态。各种安全运营工具复杂难用、成本高昂，检测复杂未知威胁（能够在跨网络和云工作负载中横向移动的高级威胁）效率低下。CISO 正在努力寻求提高安全效率的解决方案，同时降低安全运营的成本和复杂性。

2.2 安全运营最大技术挑战是数据摄入

安全分析和运营严重依赖于收集、处理、分析和响应不断增长的安全数据。日志数据类型不仅包括防火墙日志、EDR 数据、网络流量、威胁情报、电子邮件、web 代理日志，而且还包括许多其他遥测数据源。企业和组织在安全数据管理方面面临诸多问题和挑战：安全告警误报过滤（38%），数据管道弹性（37%），收集、处理、上下文威胁情报（36%），以及构建有效的流处理或批处理数据管道（34%）。

03 XDR 成提升安全效能的潜在途径

企业和组织将 XDR 视为帮助他们理解、识别和检测复杂的跨杀伤链攻击的潜在途径。大多数企业和组织期望新的解决方案可以简化复杂攻击链的可视化，并提供能够关联多种来源信号的高级分析能力，三分之一（31%）的企业和组织需要自动化响应能力。如果 XDR 解决方案能够阻止攻击并跨终端、网络、服务器以及云的工作负载更新规则集，将特别实用有效。

尽管 XDR 技术可能有助于企业和组织克服现有安全控制和管理工具在进行威胁检测和响应时的问题，但是企业和组织对 XDR 的概念和定义认知差异很大。多数受访者（36%）认为 XDR 是一个整合的安全数据管道，用于收集、处理和分析多个控件和数据源。其他受访者认为 XDR 是现有的安全控制和运营技术的补充和增强，或者是集成安全数据管理、分析和自动化响应的技术栈，或者是终端检测与响应（EDR）技术的演化。

实际上，XDR 不仅包括上述所有概念和定义而且不止如此，但用户会对 XDR 的概念和定义产生困惑。因此，XDR 供应商需要采取适当的资源教育整个市场，并与安全团队合作，阐明 XDR 是什么以及它能提供什么价值。

3.1 XDR 需要处理数据摄入问题

鉴于数据摄入是安全运营最大技术挑战，XDR 需要重视安全数据管理能力建设。安全数据管理存在大量的工程工作，需要综合考虑各个方面，进而确定相应的优先级。为了克服安全数据管理挑战和潜在的数据瓶颈，各个企业和组织正在构建或改进其安全数据管道（40%），处理、分析跨多个安全控件的信号以检测复杂的攻击（39%），并收集、集中化更多的安全数据（32%）。

为了适应安全数据的大规模、高速性和多样性等特点，XDR 技术需要由一个现代化的数据管道支撑，这个管道可以跨业务系统大规模地收集和处理安全数据。如果不具备这种能力，XDR 解决方案需要构建在开源、商业日志管理系统或基于云的数据库和存储产品之上。

3.2 XDR 需要扩展 SIEM 能力

尽管 SIEM 面临诸多问题和挑战，SIEM 是当今威胁检测和响应工具中三个最有价值的之一。SIEM 最有价值的特性包括能够检测特殊类型安全事件（例如，勒索软件、钓鱼、漏洞利用、数据泄露）的高级检测能力，能够适用威胁检测和响应不同场景（例如，恶意软件检测、威胁狩猎、调查、培训分析师）的安全运营能力，以及综合 UEBA、SOAR、威胁情报分析等安全功能的集成能力。尽管 EDR、NDR 和威胁情报平台对于安全运营也很有效，但 SIEM 主要特色在于：作为主要的安全机制有效整合、存储、关联和报告安全数据。

XDR 需要扩展 SIEM 中这些有价值的能力。超过一半的受访者认为 XDR 可以在增强现有安全分析能力、与 SOAR 集成以实现安全运营流程自动化、与 DevOps 集成将安全植入 CI/CD 流水线方面发挥作用。这样的话，XDR 不仅可以改进威胁检测和响应，还可以帮助实现安全运营流程的现代化、集成化和自动化。XDR 也就成了 SOC 现代化的催化剂。

3.3 XDR 需要配套 MDR 服务

托管检测和响应服务（Managed Detection and Response Services , MDR）正在成为大多数现代安全体系的主要部分。大多数企业和组织正在使用 MDR 提供商的服务，或者正在参与采用 MDR 提供商的项目。至于这背后的驱动因素，ESG 报告显示：超过一半的企业和组织认为 MDR 提供商在威胁检测和响应方面比他们单独做要更好，43% 的企业和组织认为将 MDR 服务添加到现有的 MSSP 合同中是一个很好的业务和技术决策，42% 的企业和组织通过终端提供商购买 MDR 服务，38% 的企业和组织将 MDR 视为技能提升的手段，35% 的企业和组织需要 MDR 服务来提升安全团队专业水平。

安全分析师需要实际的帮助，托管 XDR 是对 XDR 内部运营来说是一个很有吸引力的替代方案。有一半的受访者对完全托管 XDR 感兴趣。此外，为 7x24 运营提供人员扩充也很受欢迎，包括威胁检测（45%），部署服务（45%）以及事故响应（42%）。 鉴于这些广泛的服务需求，XDR 技术提供商必须与企业级 MSSP 合作提供托管服务或提供全套服务。

04 云安全将是 XDR 落地良好开端

超过 2/3 的机构计划在未来 6-12 月开展 XDR 投资。除了专门的预算，XDR 的资金也可能来自 SOC 技术预算、EDR 预算，甚至 SIEM 预算。

当前，云检测和响应市场仍存在较大空白，将是 XDR 的良好开端。

在考虑从何处着手实施 XDR 时，42% 的受访者认为，XDR 应当重点为云工作负载和 SaaS 提供给威胁检测和响应能力。这表明许多企业和组织都存在云安全盲点，可能很难检测到漏洞利用、恶意软件下载以及云工作负载和 SaaS 应用的异常行为。

同样值得注意的是，三分之一的受访者认为，XDR 应重点补充或替代 SIEM。这是因为 SIEM 是一项基础 SOC 技术，大多数企业和组织可能会将 XDR 添加到 SIEM 中用来提高告警质量，帮助初级分析师对事件进行分类，或利用 XDR 的高级威胁检测技术来补充 SIEM 关联规则。

实际上，随着时间的推移，一旦企业和组织开始了 XDR 项目，XDR 就可以取代现有的技术（例如 EDR、NDR、SIEM）并飞速发展。事实上，近一半（48%）受访者愿意用集成的 XDR 解决方案替换单个控件；另有 47% 的受访者会考虑替换单个控件，但前提是确保集成的 XDR 解决方案的优越性。

数据表明：企业和组织需要紧密集成的 SOC 解决方案，但更换工具并非易事。CISO 必须评估其现有的安全组合，找出技术和流程的弱点，然后创建 XDR 项目，从解决其中最大的挑战开始。工具更换必须以详细规划、SOC 最佳实践和 XDR 参考架构为指导。 未来，随着大多数企业和组织增加对威胁检测和响应技术的投资，安全团队将经历剧烈的痛苦，能够清晰阐述 XDR 愿景和战略的提供商将在 2021 年蓬勃发展。

原文链接：https://blog.csdn.net/zy_zhengyang/article/details/115237853