威胁检测与响应始终是企业安全建设的重点,据调查,83%的组织计划在未来12到18个月内增加威胁检测和响应支出。与之相对的是,尽管企业在安全技术上花费了数百万美元,但仍然无法在合理的时间内检测或是有效应对网络攻击,甚至因为攻击的加剧,企业面临的安全环境更为糟糕。
为了寻求出路,行业内将希望放在了XDR(eXtended Detection and Response,扩展检测与响应技术)上面。需要明确的是,XDR作为一种新兴技术而非万能药。在这一观点下,我们可以看到XDR行业的很多创新和投资正在上演,随着XDR的发展,它可以帮助企业提高安全分析效率,简化安全操作,并且通过紧密集成的安全操作和分析平台架构(SOAPA)来巩固和优化SOC。
在XDR的潜力下,CISO可以采取5个步骤,为企业制定XDR落地计划。
1. 广撒网:做大量前期调研
根据调查,只有24%的安全专家表示自己“非常熟悉”XDR。鉴于对新技术的知识鸿沟,企业首先应该了解所有类型的XDR:基于平台的XDR(具备分析及控制台等多个控件)、软件式XDR、开放式XDR,随后再让SOC团队制定XDR如何补充或替代现有工具和流程的策略。
目前,基于XDR整合体系结构的特性,很多供应商很可能会将XDR作为其EDR、NDR或安全分析技术的外延,因此,CISO应该邀请战略安全技术合作伙伴加入,向安全团队介绍XDR,并概述其产品路线图,从而让安全团队加快速度、更好地制定XDR战略。
2. 找到组织的弱点与盲点
在使用另一种威胁检测和响应技术之前,有必要深入研究现有工具和流程,这样才能了解对企业安全来说什么是有效,什么是无效的。
- SOC团队是否充分利用了EDR,NDR和SIEM?
- 是否存在技能或资源缺口?
- 是否存在进程瓶颈,导致威胁的平均检测时间和响应时间变长?
如果存在以上情况,那么SOAR(安全编排自动化与响应)和专业服务可能比起其他分析工具更有价值。由于现代网络威胁会在整个网络中横向移动,因此在安全监控方面,该组织是否存在任何弱点或盲点也需要了解。例如,ESG研究就指出了与公共云基础架构相关的安全监控弱点。在这种情况下,XDR应该首先改善云安全可视化,然后将云安全分析与现有的EDR、NDR、威胁情报等集成在一起。
3. 为项目规划选择一个“起点”
XDR是一种体系结构,而非产品。企业完全部署和配置XDR可能需要花费几年的时间,这意味着CISO需要思考从哪里开始着手。
在ESG的《XDR在现代SOC中的影响》调查中,有43%的受访者表示,他们会从实施具有云计算工作负载和SaaS的威胁检测和响应功能的XDR解决方案来启动项目。事实上,XDR技术可以从战术性覆盖发展到战略性覆盖,无论从哪里开始部署XDR,安全团队都必须具备全局眼光,也就是确定集成点、规划项目、并定义一组用于度量XDR和项目有效性的度量标准。
4. 使用XDR建立安全运营最佳实践
在很多企业里,安全操作是杂乱无章的,并且充斥着许多手动操作和不断灭火过程。 一些SOC团队使用SOAR试图摆脱这种混乱,但SOAR平台需要人力资源和技能来创建剧本和代码编排例程,具有一定门槛。这一背景下,XDR很可能会充当”低成本“的SOAR。比如删去对企业来说无伤大雅的一些常见安全流程,帮助企业实施MITRE ATT&CK框架等。
在选择XDR解决方案时,CISO应该评估每个供应商如何支持和推进安全运营最佳实践,以及企业如何适应这些变化。
5. 让IT团队参与进来
事件响应需要安全团队和IT团队之间协作与合作。为了支持和改进团队工作,XDR平台应适应现有的流程切换,并与现有的安全操作工具(如ServiceNow、Jira、Microsoft OMS等)集成。换句话说,XDR项目是要改进而不是中断现有的数据分析、案例管理、事件优先级和缓解工作。
最后,网络安全行业往往会陷入对新技术的趋之若鹜,但不幸的是,很多企业在使用新技术的同时不会花费时间充分学习新技术,也不能实现新技术的利益最大化。以 XDR为例,作为一个需要数月或数年才能完全部署的架构,XDR可以让组织有时间把事情做好,把XDR真正构建到正式项目和未来战略中,而不仅仅是安全会议上又一个谈资或话题。
参考来源:csoonline