當(dāng)前，中小企業(yè)由于沒有專業(yè)能力來管理和運(yùn)營(yíng)一套有效的安全體系，越來越多地求助托管安全服務(wù)(MSS)提供商以保護(hù)其業(yè)務(wù)系統(tǒng)安全。然而對(duì)于MSSP(Managed Security Service Provider，安全托管服務(wù)提供商)來說，搭建一套有效且易于管理的安全技術(shù)架構(gòu)來為客戶提供可靠的安全服務(wù)也并非易事，其實(shí)現(xiàn)過程同樣困難重重。

XDR(擴(kuò)展威脅檢測(cè)和響應(yīng))技術(shù)的成熟讓我們看到了希望，與MSSP目前采用的大多數(shù)傳統(tǒng)安全架構(gòu)相比，XDR技術(shù)有望以更低的成本實(shí)現(xiàn)更高的安全級(jí)別。它可以幫助MSSP提升服務(wù)能力，并改善服務(wù)收益，特別是在面對(duì)中小企業(yè)客戶時(shí)，效果更加明顯。未來，MSSP勢(shì)必會(huì)因?yàn)閄DR技術(shù)而改變服務(wù)策略，并從這項(xiàng)技術(shù)中獲得運(yùn)營(yíng)收益。

XDR賦能MSS價(jià)值提升

通常，XDR為MSSP提供的基本功能包括：擴(kuò)展威脅檢測(cè)能力，以增強(qiáng)威脅可見性;關(guān)聯(lián)安全數(shù)據(jù)，以提高準(zhǔn)確性，并將警報(bào)整合到事件中;在企業(yè)整個(gè)網(wǎng)絡(luò)環(huán)境中擴(kuò)展、協(xié)調(diào)和自動(dòng)化開展安全事件的響應(yīng)。相比于購(gòu)買和集成一套傳統(tǒng)的安全技術(shù)，XDR技術(shù)提供了更高的安全級(jí)別。由于XDR技術(shù)旨在改進(jìn)威脅檢測(cè)、調(diào)查和響應(yīng)，并實(shí)現(xiàn)自動(dòng)化，因此它理論上可以準(zhǔn)確地預(yù)防更廣泛的威脅。

除了安全能力方面的改進(jìn)外，XDR解決方案還可以為MSSP降低成本——有些XDR解決方案包括多個(gè)威脅情報(bào)來源和基礎(chǔ)安全功能，可以讓MSSP以較小成本替換現(xiàn)有技術(shù)，同時(shí)，還有一些XDR解決方案提供增強(qiáng)自動(dòng)化，可以讓MSSP大幅減少人工調(diào)查和響應(yīng)時(shí)間和需求，減輕對(duì)專業(yè)安全人員的依賴，從而降低成本。

三種XDR實(shí)現(xiàn)方法

XDR技術(shù)的應(yīng)用，與XDR提供商所依賴的不同技術(shù)方法有關(guān)。目前，主要有三種實(shí)現(xiàn)方法：原生XDR、開放XDR和混合XDR。

原生XDR

由單一供應(yīng)商提供所有組件的XDR解決方案被視為原生XDR。這意味著，買家無(wú)需購(gòu)買額外技術(shù)解決方案就可以享受原生XDR平臺(tái)帶來的好處。一般來說，原生XDR平臺(tái)由擁有強(qiáng)大EDR產(chǎn)品的供應(yīng)商提供。由于原生XDR平臺(tái)包含客戶需要的所有組件，理論上講可以順暢地工作，無(wú)需集成。在原生XDR平臺(tái)中，MSSP可以消除冗余工具，而不用擔(dān)心多供應(yīng)商技術(shù)架構(gòu)帶來的長(zhǎng)期集成和升級(jí)問題。它的一個(gè)缺點(diǎn)是，原生XDR沒法定制，因此需要確保解決方案提供用戶需要的一切功能。

開放XDR

需要與多家第三方提供商產(chǎn)品或技術(shù)集成(尤其是遙測(cè)方面)的XDR解決方案被視為開放XDR。開放XDR平臺(tái)集成并關(guān)聯(lián)來自第三方工具的信號(hào)，以檢測(cè)威脅，還依賴第三方工具來實(shí)施建議的響應(yīng)操作。一般來說，開放XDR平臺(tái)由沒有EDR產(chǎn)品的供應(yīng)商，比如SIEM和SOAR提供商以及較新技術(shù)的供應(yīng)商提供。

開放XDR平臺(tái)可以讓MSSP繼續(xù)使用當(dāng)前的大部分工具，或者可以將任何組件集成到開放XDR平臺(tái)中。開放XDR平臺(tái)很靈活，MSSP可以換入換出同類中較佳的工具組件。然而，由于大多數(shù)現(xiàn)有技術(shù)仍然需要為開放XDR引擎饋送數(shù)據(jù)，這就會(huì)使開放XDR平臺(tái)增加成本。至于第三方工具可以多順暢地集成到開放XDR平臺(tái)并與之協(xié)調(diào)，這也還是個(gè)未知數(shù)。同時(shí)，買家也需要謹(jǐn)慎選擇和對(duì)待SIEM。

混合XDR

一家供應(yīng)商為XDR解決方案提供幾乎所有的組件，同時(shí)允許集成第三方工具，被視為混合XDR。這意味著買家不一定需要購(gòu)買額外的技術(shù)解決方案并將其集成到XDR平臺(tái)中，就可以實(shí)現(xiàn)相應(yīng)的功能，但也可以集成第三方工具，以擴(kuò)展或替換平臺(tái)原有的技術(shù)。混合XDR平臺(tái)通常由擁有EDR解決方案的供應(yīng)商提供，尤其是希望把一套廣泛的解決方案整合到平臺(tái)中的大型供應(yīng)商。

混合XDR平臺(tái)理論上可以提供原生XDR平臺(tái)和開放XDR平臺(tái)的好處。不過這有兩個(gè)前提：一是混合XDR提供商有一套強(qiáng)大的原生工具，二是混合XDR平臺(tái)可以無(wú)縫集成眾多第三方工具。然而，一些混合XDR提供商實(shí)際上是把一堆集成度很差、幾乎沒法協(xié)同使用的工具拼湊起來，僅此而已。

結(jié) 語(yǔ)

MSSP從XDR平臺(tái)獲得益處在很大程度上取決于提供商的方法和其實(shí)際實(shí)施。盡管XDR前景廣闊，但MSSP必須謹(jǐn)慎投資XDR解決方案，原因是有不少安全廠商都開始進(jìn)入XDR領(lǐng)域，但其實(shí)際交付能力還有待市場(chǎng)的進(jìn)一步驗(yàn)證。

參考鏈接——面向MSSP的XDR應(yīng)用指南白皮書下載鏈接：

https://go.cynet.com/xdr-redefining-the-game-for-mssps/?utm_source=thn

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文