和当今指数倍增长的安全数据相比,安全人才的短缺带来了潜在的风险。几乎所有的公司,无论规模大小,在安全资源能力上都有限,需要过滤各种告警才能将分析量保持在可接受范围。但这样一来,潜在的威胁线索就可能被埋没,而攻击者就有机会潜伏更长时间,从而增加安全事故的发生几率。
在这个情况下,一种新的技术XDR(eXtended Detection and Response)出现了,为数据资源和安全运维之间提供技术集成,从而加速检测和响应。XDR解决方案会集成一系列的统一管控点、安全数据、分析和运维能力,成为一个单独的企业解决方案。Gartner最近为XDR进行了以下标注:“安全和风险管理领导者应该基于风险考虑XDR解决方案的优势。”
自动化监控与分类软件供应商Respond Software的CTO兼联合创始人Chris Calvert就五个问题对XDR解决方案的必要性发表了看法。
第一问:你SIEM的解决方案多有效?
现在SIEM解决方案非常火,但SIEM需要一系列的规则才能减少安全团队分析的安全事件数量。SIEM基于的逻辑过于单一,难以隔离和分析真正的攻击。另外,SIEM的规则和编写SIEM规则的人的能力都参差不齐,造成不准确或者不完全的分析。最后,大部分组织都缺少时间和预算,来部署和维护自己的SIEM架构。
第二问:你SOAR的效益最大化了吗?
一些组织正在使用SOAR平台,可以让工程师编写代码,对低危的安全事件自动化进行数据收集、关联、填充、响应等任务。但SOAR的问题在于,这些工具一旦遇到海量需要分析的数据的时候,就会极大降低自己的修复能力。所以,现在SOAR解决方案很多时候被调整用于降低告警数量,但这无异于花了大价钱,用一个强大的工具,却刻意降低了它的效用。
第三问:能否剔除误报?
EDR在独立使用的时候,会产生大量的误报。不得不说,EDR在收集数据方面很有效,但如果想实时判定某件东西是否是恶意的,那任务对它而言就过于繁重了。但是,当EDR集成到了XDR引擎中时,它就能快速处理大量传感信息。这些信息不仅仅是来自终端的数据,还包括了来自网络遥测点和其他传感器的数据、漏洞信息、威胁情报、以及一些关于账户和独立系统的信息。
第四问:你是否在想要单独完整的解决方案同时,害怕被厂商绑定?
XDR是一个不错的附加工具,但它也有自己的局限性。举个例子,大部分XDR解决方案受限于供应商的技术结构,会减少能够关联的安全数据量,同时让客户不得不绑定一些昂贵的工具。另外,检测能力也有局限性,或者需要专业人员进行定制化服务。
第五问:你能选出最佳解决方案吗?
另一种选择,是选择不绑定厂商的XDR引擎,可以给安全团队带来双重的好处:能够实时发现事故的同时,还能用多种安全技术进行工作。环境中的传感器会生成不同的数据和证据,并且都需要被大批量的关联和分析。不绑定厂商的XDR引擎可以和多个厂商、遥测、威胁情报等协同,有效地只针对恶意,且需要采取行动的事故进行告警。
数世咨询评
传统基于规则的被动防御技术已经无法适应新的威胁环境,网络安全已经进入检测与响应时代。因此,EDR(端点)、NDR(网络)、MDR(托管)、TDR(威胁)等检测与响应技术纷纷出现,并且包括了威胁捕捉、行为分析、威胁情报等新兴自动化工具。XDR泛指一切基于检测与响应技术的工具和方案,关注的是威胁和风险控制。
来源:数世咨询