?XDR 在威脅檢測(cè)、調(diào)查和響應(yīng)方面的全部?jī)r(jià)值只有當(dāng)它被視為一種架構(gòu)時(shí)才能實(shí)現(xiàn)

451 Research研究在2021對(duì)英國(guó)高級(jí)網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行的調(diào)查結(jié)果的基礎(chǔ)上進(jìn)行的。這項(xiàng)研究隊(duì)列擴(kuò)大到了英國(guó)、美國(guó)和澳大利亞的750名高級(jí)管理人員，該研究考察了當(dāng)今分布式企業(yè)實(shí)施網(wǎng)絡(luò)安全自動(dòng)化的驅(qū)動(dòng)因素，探討了常見的用例、面臨的典型挑戰(zhàn)以及自動(dòng)化采用的障礙。2022年報(bào)告還確定了企業(yè)網(wǎng)絡(luò)安全自動(dòng)化成熟度的水平。它著眼于擴(kuò)展檢測(cè)和響應(yīng)（XDR）的興起如何影響組織對(duì)自動(dòng)化的需求，以及董事會(huì)對(duì)網(wǎng)絡(luò)安全報(bào)告的興趣程度。

根據(jù)451Research 的并購(gòu)知識(shí)庫(kù)，2021年的網(wǎng)絡(luò)安全并購(gòu)活動(dòng)總交易額達(dá)到 741 億美元，創(chuàng)歷史新高。促成這一增長(zhǎng)的是，擴(kuò)展檢測(cè)和響應(yīng) (XDR) 在 19 個(gè)月內(nèi)從零交易增加到28筆交易，預(yù)計(jì)將推動(dòng)持續(xù)的并購(gòu)活動(dòng)，這是有充分理由的。451 Research將其研究擴(kuò)展到 XDR，最近發(fā)現(xiàn) XDR 現(xiàn)在是報(bào)告最頻繁的 SIEM/安全分析增強(qiáng)領(lǐng)域，43% 的受訪者認(rèn)為它是與這些核心安全運(yùn)營(yíng)技術(shù)相結(jié)合的頂級(jí)技術(shù)。

威脅檢測(cè)和響應(yīng)達(dá)到拐點(diǎn)

2022 年安全運(yùn)營(yíng)調(diào)查著眼于安全運(yùn)營(yíng) (SecOps) 技術(shù)和服務(wù)的趨勢(shì)。它擴(kuò)展了我們之前對(duì)這些產(chǎn)品的重要性、它們的屬性以及它們?yōu)榻M織提供的應(yīng)對(duì)威脅形勢(shì)的能力的研究。

威脅檢測(cè)和響應(yīng)繼續(xù)重塑安全運(yùn)營(yíng)的現(xiàn)狀。擴(kuò)展檢測(cè)和響應(yīng) (XDR) 首次成為被引用次數(shù)最多的技術(shù)類別，它與安全信息和事件管理/安全分析相結(jié)合，將威脅情報(bào)排除在外，盡管幅度很小。雖然 SIEM 仍然是 SecOps 的支柱，但威脅檢測(cè)和響應(yīng)已成為技術(shù)和托管服務(wù)的首選。有些人可能會(huì)爭(zhēng)辯說，威脅檢測(cè)和響應(yīng)始終是 SIEM/安全分析的一個(gè)方面。雖然這可能是真的，但采用的證據(jù)表明這些新進(jìn)入者對(duì)該領(lǐng)域產(chǎn)生了影響。專注于該領(lǐng)域多種功能的產(chǎn)品是 SecOps 市場(chǎng)的一個(gè)方面，它將繼續(xù)存在。

調(diào)查結(jié)果摘要

XDR 已成為最常報(bào)告的 SIEM/安全分析增強(qiáng)。在我們之前的信息安全研究中，威脅情報(bào)經(jīng)常被認(rèn)為是與 SIEM/安全分析相結(jié)合的頂級(jí)技術(shù)——而且通常有很大的差距。在我們的 2021 年信息安全、供應(yīng)商評(píng)估研究中，威脅情報(bào)被 49% 引用，事件響應(yīng)工作流程以 36% 位居第二。在我們 2022 年的調(diào)查中，XDR 位居榜首，但排名靠后。在 43% 的受訪者中，XDR 以一個(gè)百分點(diǎn)的優(yōu)勢(shì)領(lǐng)先威脅情報(bào)工具或源，但無論如何它都是一個(gè)轉(zhuǎn)折點(diǎn)，標(biāo)志著威脅檢測(cè)和響應(yīng)對(duì)安全操作的影響增加的里程碑。

對(duì)于集中式安全分析，SIEM 仍然是支柱，而端點(diǎn)檢測(cè)和響應(yīng) (EDR) 在檢測(cè)和響應(yīng)方面處于領(lǐng)先地位——托管服務(wù)表現(xiàn)強(qiáng)勁。當(dāng)被問及組織使用哪些技術(shù)作為其安全運(yùn)營(yíng)集中分析平臺(tái)的一部分時(shí)，SIEM 繼續(xù)領(lǐng)先，占 44% 的受訪者。然而，EDR 以 41% 緊隨其后。然而，下一個(gè)最頻繁的響應(yīng)指出了服務(wù)選項(xiàng)的優(yōu)先級(jí)，33% 的人表示托管檢測(cè)和響應(yīng)服務(wù)是他們集中安全分析的一部分。

對(duì)于 SIEM/安全分析供應(yīng)商，輸出質(zhì)量仍然非常出色，威脅情報(bào)的集成是重中之重。2022 年，報(bào)告和警報(bào)的質(zhì)量、威脅情報(bào)的集成和關(guān)聯(lián)以及設(shè)置、實(shí)施和調(diào)整的簡(jiǎn)便性仍然是 SIEM/安全分析供應(yīng)商的三大屬性。與上述 2021 年研究相比，受訪者非常重要。與此同時(shí)，包括機(jī)器學(xué)習(xí)和行為分析在內(nèi)的高級(jí)分析方法的整合在 2022 年取得了進(jìn)展，51% 的受訪者認(rèn)為這非常重要，而 2021 年這一比例為 41%。

大多數(shù)人認(rèn)為云資產(chǎn)警報(bào)非常重要。58% 的受訪者表示，SIEM/安全分析供應(yīng)商支持對(duì)本地以外的架構(gòu)（例如，云、IaaS 和 SaaS 環(huán)境）發(fā)出警報(bào)非常重要，另有 36% 的受訪者稱此屬性有些重要。這表明，不僅有機(jī)會(huì)在安全運(yùn)營(yíng)中實(shí)現(xiàn) IT 可觀察性，而且還需要安全運(yùn)營(yíng)團(tuán)隊(duì)在云原生環(huán)境方面的專業(yè)知識(shí)。

盡管取得了進(jìn)展，但 SecOps 團(tuán)隊(duì)仍在與警報(bào)過載作斗爭(zhēng)。受訪者表示他們無法在典型的一天進(jìn)行調(diào)查的安全分析生成的警報(bào)的平均百分比為 48%。這個(gè)數(shù)字比之前引用的 2021 年研究中的 41% 有所增加。雖然偵探和分析技術(shù)正在優(yōu)化安全運(yùn)營(yíng)方面取得進(jìn)展，但技術(shù)不斷擴(kuò)大的范圍和復(fù)雜性繼續(xù)給 SecOps 團(tuán)隊(duì)帶來壓力。然而，這也可能會(huì)進(jìn)一步激發(fā)人們對(duì)托管檢測(cè)和響應(yīng)服務(wù)的興趣。

增強(qiáng)是關(guān)鍵詞。SIEM 已經(jīng)在聚合來自不同工具的日志和事件，并創(chuàng)建自己的警報(bào)。使用 XDR 進(jìn)行增強(qiáng)以在整個(gè)企業(yè)中獲得更廣泛的可見性是一件好事，因?yàn)閴娜藭?huì)利用漏洞來獲取優(yōu)勢(shì)。但意想不到的后果是警報(bào)的數(shù)量增加了一個(gè)數(shù)量級(jí)。因此，這些調(diào)查受訪者還表示他們?nèi)栽跒榫瘓?bào)過載而苦苦掙扎也就不足為奇了；在通常的一天，48% 的警報(bào)未經(jīng)調(diào)查，高于去年調(diào)查中的 41%。多年來，警報(bào)疲勞一直困擾著安全分析師。在更多區(qū)域添加更多檢測(cè)會(huì)加劇該問題。 

要扭轉(zhuǎn)這種趨勢(shì)，我們需要將 XDR 視為一種架構(gòu)方法，而不是一種解決方案。當(dāng) XDR 被定義為專注于集成和自動(dòng)化的開放平臺(tái)時(shí)，分析師可以快速連接點(diǎn)，了解整個(gè)環(huán)境中發(fā)生的事情，并確定是否應(yīng)將警報(bào)升級(jí)為事件響應(yīng)。 

要事第一：整合。 

XDR 架構(gòu)必須支持與企業(yè)擁有的任何工具的集成，包括所有內(nèi)部數(shù)據(jù)源——SIEM 系統(tǒng)、日志管理存儲(chǔ)庫(kù)、案例管理系統(tǒng)和安全基礎(chǔ)設(shè)施——在本地和云端。它還必須與組織訂閱的多個(gè)外部數(shù)據(jù)源集成——商業(yè)、開源、政府、行業(yè)和現(xiàn)有安全供應(yīng)商，以及 MITRE ATT&CK 等框架。與 RSS 提要、研究博客、新聞網(wǎng)站和 GitHub 存儲(chǔ)庫(kù)的集成可幫助分析師跟上新信息，這些信息提供額外的上下文以進(jìn)一步通知警報(bào)分類。

除了支持?jǐn)?shù)據(jù)流動(dòng)和豐富上下文之外，集成還打破了團(tuán)隊(duì)在其中運(yùn)作的孤島，這樣他們就可以看到整個(gè)環(huán)境中真正發(fā)生的事情的大局，并進(jìn)一步調(diào)查。與現(xiàn)有工具集成并跨現(xiàn)有工具實(shí)現(xiàn)可見性、協(xié)作和更深入的理解。團(tuán)隊(duì)可以使用他們已經(jīng)熟悉的工具一起工作，以更快地做出更好的決策。

接下來是自動(dòng)化。

集成是 XDR 架構(gòu)的核心屬性。但是，將數(shù)據(jù)整合在一起并打破孤島的能力還不夠。自動(dòng)化也是必需的，因?yàn)榉治鰩熥约焊緹o法理解所有這些數(shù)據(jù)。然而，盡管一項(xiàng)全球調(diào)查 發(fā)現(xiàn)人們對(duì)安全自動(dòng)化的信心正在上升，但只有 18% 的受訪者將自動(dòng)化應(yīng)用于警報(bào)分類。這是一個(gè)錯(cuò)失的機(jī)會(huì)，因?yàn)榫瘓?bào)分類的重復(fù)性、低風(fēng)險(xiǎn)、耗時(shí)的任務(wù)——如內(nèi)部和外部數(shù)據(jù)規(guī)范化、關(guān)聯(lián)、上下文化和優(yōu)先級(jí)——是自動(dòng)化的主要候選對(duì)象。 

自動(dòng)化通過減少噪音和誤報(bào)并使團(tuán)隊(duì)能夠快速利用所有可用數(shù)據(jù)的豐富性來全面了解正在發(fā)生的事情，從而簡(jiǎn)化了警報(bào)分類的工作。根據(jù)他們?cè)O(shè)置的參數(shù)，團(tuán)隊(duì)可以更快地獲得重要的警報(bào)，并且由于集成，相關(guān)數(shù)據(jù)可以顯示在一個(gè)屏幕上，因此分析師可以更輕松、更快速地進(jìn)行調(diào)查、檢測(cè)整個(gè)企業(yè)的惡意活動(dòng)并加快解決速度.

在可預(yù)見的未來，XDR 似乎注定要成為安全基礎(chǔ)設(shè)施的核心。但只有當(dāng)它被視為一種架構(gòu)時(shí)，它對(duì)威脅檢測(cè)、調(diào)查和響應(yīng)的全部?jī)r(jià)值才會(huì)實(shí)現(xiàn)。否則，它只是增加了我們以前無法處理的警報(bào)量的又一個(gè)工具，它不會(huì)打破孤島，也無法在整個(gè)組織內(nèi)實(shí)現(xiàn)協(xié)作、決策制定和響應(yīng)。這當(dāng)然不是任何人為 XDR 打算的結(jié)果，而且讓這種情況發(fā)生的風(fēng)險(xiǎn)太大。