自2019年2月的RSA大会以来,有关扩展检测与响应平台(eXtended Detection and Response, XDR)的讨论开始升温,而2020年随着疫情和网络威胁带来的新变化,XDR的热度有望在未来数年内持续上升。那么为什么安全专家需要关注XDR,原因在于XDR有能力在简化安全操作的同时加快威胁检测/响应的速度。
说到安全运作和分析平台架构(security operations and analytics platform architecture,SOAPA),其设计初衷是作为一种可互操作的安全运作技术架构,使用API、消息总线、供应商共同开发以及自定义编码作为一种集成手段。而XDR的愿景是它将提供“开箱即用”的SOAPA。大型企业组织仍将使用其他专门的安全运营技术,例如威胁情报平台(TIP)以及安全编排与自动化响应平台(SOAR),但是XDR将与这些系统集成,同时充当安全运营的中心枢纽。
XDR会颠覆市场走向吗?
从理论上讲,XDR可以推动良好的安全运营进程,但是可能还不足以给网络防御者带来好处。原因之一在于,鉴于攻击面不断扩大、安全数据大量激增以及日趋严峻的威胁形势等方面的综合影响,安全运营正变得越来越复杂。XDR供应商意识到了这一点,但他们现在还正在与这种复杂性进行艰苦的战斗。
正如同,只有让火箭科学变得更容易才能够切实地帮助加速太空探索,但目前它仍然只是难以实践的火箭科学,迫切需要火箭科学家。同样地,在消除复杂性之前,XDR还不足以为推动安全运营工作做出任何现实贡献,迫切需要相关网络安全人才的参与。
然而,全球网络安全技能短缺的现状并未得到任何改善。根据ESG和信息系统安全协会的研究显示,70%的网络安全专家表示,他们的组织受到网络安全技能短缺的影响,导致网络安全人员的工作量增加。此外,有29%的组织声称其最大的网络安全技能缺口在于安全分析和调查领域。不管是否进行XDR,我们仍然需要熟练的专业人员来进行威胁检测和响应,而现在这些人员仍然严重不足。
MDR现状
这些普遍存在的问题正在促使大型和小型企业越来越多的使用托管检测和响应服务(Managed Detection and Response Services , MDR)。例如,ESG的最新研究发现,35%的组织已经在使用MDR服务,38%的组织正在积极参与采用MDR服务的项目,15%的组织计划采用MDR服务,以及6%的组织对未来采用MDR服务感兴趣。
有些组织将威胁检测和对第三方的响应项目外包出去,有些组织需要对其安全运营中心(SOC,运行时间为每周5天/每天8小时)进行非工作时间支持,还有一些组织需要一位专家专门支持SOC员工,以帮助他们完成取证调查和威胁捕获之类的复杂任务。这里的关键在于,MDR服务提供高级技能,而且52%的组织也相信MDR服务提供商可以比他们更好地完成威胁检测和响应任务。
对于MDR服务的研究数据主要得出了下述结论:
1. XDR必须包含MDR。
仅仅XDR技术是不够的。XDR供应商必须拥有自己的服务或需要与托管安全服务提供商(MSSP)合作,从而可以为其产品增加专业知识和价值。提供XDR和MDR服务集成产品组合的CrowdStrike、FireEye、Secureworks以及趋势科技等供应商目前正处于最前沿位置。
2. 纯MDR供应商将是XDR最大的竞争对手。
如果说我付钱请别人来割草,我真的不在乎他们用的是哪种割草机。相反地,我只关心结果——每周修剪一次草坪。同样地,CISO采购诸如XDR之类的安全技术,也是为了实现其目的——最佳的网路威胁检测和响应。随着组织对服务的依赖性增加,MDR供应商可能会成功采用自己的自主技术+服务解决方案来推广XDR技术。如果他们能够提供持续改进的威胁检测和响应结果,那么谁还会在乎他们是如何做到的呢?
3. MDR供应商将根据专业来区分自己。
由于所有MDR供应商都提供相同的基本服务,因此想要占领市场就必须在利基安全运营领域表现出色,例如威胁情报、事件响应或支持IoT和OT。其他供应商将建立垂直行业的专业能力,以专注于医疗保健临床系统、自动驾驶汽车或在线商务应用程序等方面的威胁(可能会与反欺诈服务相结合)。
4. 安全运营人才的竞争加剧。
无论如何,都可能会发生这种情况,但是XDR的出现以及MDR需求的增长将加剧网络安全技能的短缺和薪资的上涨。
XDR供应商坚定地相信,该技术可能会改变安全运营。确实存在这种可能,但是XDR的成功似乎仍然需要基于人类的专业技能,这使得XDR需要依赖MDR并且容易受到MDR的影响。根据ESG的研究指出,能够获取最终胜利的将是最好的服务,而不是最好的安全技术小部件。