XDR(扩展威胁检测和响应)是近年网络安全行业的热词,具体指是企业现有防御无法涵盖范围广泛的威胁攻击媒介时,所使用的扩展方案。
简而言之,XDR包含至少两种及以上类型的威胁检测。因为企业所面临的威胁可能来自台式机、Web、SaaS应用程序、云提供商等,所以需要多个检测功能来保护企业的系统。
在《“穷人”的SOC?XDR面临三大挑战》一文中,我们将XDR称为“穷人的SOC”,面对日益增长的威胁攻击面和矢量,对于那些没有或者无法拥有“满级配置”SOC的中小企业或者小型安全团队来说,XDR拥有重要价值。
需要注意的是,一些安全厂商提供的安全方案仅覆盖了几个威胁媒介,但他们也称之为XDR。这只是一个很好的营销术语,可以掩盖他们提供的服务不足。
为什么要使用XDR?
Gartner将XDR产品定义为平台,该平台可以自动收集和关联来自多个组件的数据。XDR承诺通过统一格式的集中式历史和实时事件数据,以及可扩展的高性能存储,快速索引的搜索和自动化驱动的响应,使安全团队更高效、更有效率。
但是,XDR解决方案正在从可能由更多工具组成的多种解决方案集中提取数据,并且它们使分析人员面临大量要分析的威胁数据。
XDR代表了端点威胁检测和响应(EDR)解决方案的自然发展。它寻求提供一个多检测功能的平台,其中包括端点保护、云访问安全代理(CASB)、安全Web网关(SWG)、安全电子邮件网关(SEG)、网络防火墙、网络入侵防御系统(NIP)、统一威胁管理(UTM)以及身份和访问管理(IAM)。
但是,有些网络安全厂商对于XDR的研发会失败,是因为他们经常会遗漏一个关键因素:人。XDR只是一个工具。为了获得该工具的任何潜在价值,企业需要具备通过智能分析能对噪声中的真实事件进行排序并确定响应优先级的人才。没有这些人才,使用XDR就等于简单地将可能收集到的所有有关威胁的信息倾倒在一个大锅里“乱炖”,同时继续给了攻击者可乘之机。
XDR与更传统的安全行业主打产品,安全信息和事件管理产品(SIEM)相似,为具有多个不同分析人员和控制台的企业提供了方案。通过SIEM,企业期望通过汇总所有控制台并将所有内容(包括入侵信息)放在一个地方来消除这些低效率的问题。因此,SIEM和XDR从本质上讲是相同的,并且受同一问题的困扰:即企业需要精通这些工具的人员,以从中获得收益。
在解决人才短缺这一问题时,企业正在逐渐选择另一个解决方案:MDR(托管检测和响应服务)。这种安全即服务(SaaS)产品使公司可以访问外部分析师,这些分析师掌握所有XDR功能的专业知识,能够连续、有效地接收告警事件并确定事件的优先级,从而减轻了内部IT团队的分流负担,并在误报事件升级之前调查高风险事件,从而减少误报,同时为企业提供最新的情报。
换句话说,MDR可被理解为托管的XDR。因此,企业的安全团队成员不必购买自己的情报源,解决方案不只是一种工具。他们每天无需再处理数量过万的警报,或者遭受频繁警报的困扰。他们从这些负担中解脱出来,可以专注于更大范围安全战略计划,以改善公司的整体安全状况。
由于具有这些优势,MDR可以被更广泛地采用,因为现在有四分之一的企业正在使用MDR服务,其中72%的组织将解决攻击所需的时间减少了25%到100%。在目前不使用该服务的公司中,有79%正在评估或正在考虑采用这种服务,这些公司目前仍在使用XDR。但是,如前所述,他们也正在尝试托管服务,这将帮助企业安全专业人才进一步发挥的深度价值。
如果XDR解决方案没有足够的专业人才,那么它将永远只是一种工具。通过采用托管服务模型,企业才可能获得更多的技术功能和使之起作用所需的专业人员。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】