ESG研究显示,83%的组织会在2021年增加自己的威胁检测与响应预算——表示当前的工具和技术并不能满足现在的需求。XDR可以满足这个市场需求——不过也只有在相关缠上能够跳出行业的鼓吹,真正和安全人员建立联系的前提下。这里有8个CISO们需要从XDR厂商处得到的信息。
▶ XDR定义
根据ESG研究,只有24%的安全人员表示对XDR的相关技术概念“非常熟悉”。原因在于XDR更像是一个架构(比如安全运营和分析平台架构,也就是SOAPA),而非一个产品,因此感觉上更为模糊。另外,XDR会从几个方面来实现,包括基于控制(EDR、NDR等)、基于管理平台、开源XDR、软件叠加虚拟化等。这就继续一个坦诚、详细的市场教育过程。
▶ 算法揭秘
XDR价值点的关键之一,在于它比现有威胁检测技术更加优秀的分析能力。理论上,XDR会采集和处理来自各个单点工具的遥感数据,然后将所有与这些数据集合到一起,形成一个更加及时、准确和全面的威胁检测。这个听上去很不错,但是对此抱有怀疑的安全人员已经早就听过相关的说法了——比如UEBA。XDR厂商必须能够从理论进入实际的数据科学领域——毕竟威胁检测的准确性是关键。流水线化的安全运营也很重要,但是如果XDR无法识别复杂的多阶段攻击就毫无意义。
▶ 部署向导
这对于基于控制的XDR厂商来说是一大挑战。一个统一化的安全架构直觉上感觉不错,但是这对当下许多组织通过最强的单点工具来进行威胁检测和响应完全不是一回事。用户需要从哪里起步?他们如何逐渐集成工具?他们如何将现有的规则和经验保留下来,而不是从XDR再重新建立一次?XDR厂商在和潜在客户沟通的时候,需要有相关的架构、案例、以及相关的训练向导。
▶ 安全运营模型
行业内已经有很多关于XDR能做什么的信息,但是却极少听到运营团队可以如何使用相关产品:运营团队如何追踪告警?他们改如何调查高优先级的告警?他们如何自动化处理响应行为?XDR工具如何和ITSM系统协同?
▶ 数据难题
XDR的愿景,可能直指当下安全运营的核心能力——SIEM。这个目标看上去很宏伟,但是需要知道的是,SIEM现在是数据管理中的天皇巨星,建立在一系列复杂的网络采集器、转发器、目录管理、信息管理等之上,每天持续地采集、处理和分析Tb级别的数据。ESG研究表示,已经有许多大型组织已经在流数据处理/分析中进行了大量投入,并且正在增加新的数据源。在一些大型企业的运营团队中,他们对XDR处理Tb级别数据管道能力嗤之以鼻。XDR厂商需要能够在数据处理方面脱颖而出。
▶ 第三方集成
可以理解,大型安全厂商总是想给自己的客户兜售整体的XDR解决方案;但是要知道,那是一个大单子。一个使用过软件叠加虚拟化的XDR解决方案的CISO曾表示:“XDR厂商们都假设我会通过取代现有的EDR、NDR和SIEM产品,来标准化并符合他们的产品。而我的问题在于,我都已经有了每一种产品了,意味着我已经有了全套,甚至多套EDR、NDR和SIEM;那么要替代这些解决方案简直就不可能。”这情况很常见,因此XDR厂商必须和其他厂商都要z
当被问及希望从哪里开始XDR项目的时候,43%的受访者表示:“需要为云负载和SaaS提供威胁检测和响应能力的XDR解决方案”。这个答案相当出乎意料,因为直觉上会认为XDR会从取代EDR和NDR开始。当然这也不难理解,因为云可视化能力对许多组组织来说是一个可怕的盲点。为了解决这个问题,XDR厂商需要愿意讨论他们采集、处理、分析和可视化的所有类型的云数据。另外,他们还需要能够通过上下文分析所有云数据,作为追踪端点、网络、服务器、服务和整个混合IT架构的杀伤链的手段。
▶ 身份问题
现在的XDR产品还存在着另一个问题:缺乏对攻击中人员因素的考虑,缺少和认证、网络目录和IAM的集成。这个问题,在有着大量SaaS应用、以及大量开发人员面临各类新型云应用开发工具的组织尤为明显。讽刺的是,上一次行业吐槽新的安全运营技术是针对UEBA——UEBA恰恰是以用户为中心的,而XDR这次则是以技术为中心。
组织和机构必然是需要威胁检测和响应能力的帮助,而且会对XDR技术持开放态度。CISO们显然明白问题的复杂性。厂商们在面对潜在客户的时候需要充分准备,并且据实回答相关问题,包括XDR如何能融入现有的运营技术和流程,以及它如何慢慢演进。
来源:数世咨询