?XDR 在威脅檢測、調(diào)查和響應(yīng)方面的全部價值只有當(dāng)它被視為一種架構(gòu)時才能實現(xiàn)

451 Research研究在2021對英國高級網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行的調(diào)查結(jié)果的基礎(chǔ)上進(jìn)行的。這項研究隊列擴(kuò)大到了英國、美國和澳大利亞的750名高級管理人員，該研究考察了當(dāng)今分布式企業(yè)實施網(wǎng)絡(luò)安全自動化的驅(qū)動因素，探討了常見的用例、面臨的典型挑戰(zhàn)以及自動化采用的障礙。2022年報告還確定了企業(yè)網(wǎng)絡(luò)安全自動化成熟度的水平。它著眼于擴(kuò)展檢測和響應(yīng)（XDR）的興起如何影響組織對自動化的需求，以及董事會對網(wǎng)絡(luò)安全報告的興趣程度。

根據(jù)451Research 的并購知識庫，2021年的網(wǎng)絡(luò)安全并購活動總交易額達(dá)到 741 億美元，創(chuàng)歷史新高。促成這一增長的是，擴(kuò)展檢測和響應(yīng) (XDR) 在 19 個月內(nèi)從零交易增加到28筆交易，預(yù)計將推動持續(xù)的并購活動，這是有充分理由的。451 Research將其研究擴(kuò)展到 XDR，最近發(fā)現(xiàn) XDR 現(xiàn)在是報告最頻繁的 SIEM/安全分析增強(qiáng)領(lǐng)域，43% 的受訪者認(rèn)為它是與這些核心安全運(yùn)營技術(shù)相結(jié)合的頂級技術(shù)。

威脅檢測和響應(yīng)達(dá)到拐點

2022 年安全運(yùn)營調(diào)查著眼于安全運(yùn)營 (SecOps) 技術(shù)和服務(wù)的趨勢。它擴(kuò)展了我們之前對這些產(chǎn)品的重要性、它們的屬性以及它們?yōu)榻M織提供的應(yīng)對威脅形勢的能力的研究。

威脅檢測和響應(yīng)繼續(xù)重塑安全運(yùn)營的現(xiàn)狀。擴(kuò)展檢測和響應(yīng) (XDR) 首次成為被引用次數(shù)最多的技術(shù)類別，它與安全信息和事件管理/安全分析相結(jié)合，將威脅情報排除在外，盡管幅度很小。雖然 SIEM 仍然是 SecOps 的支柱，但威脅檢測和響應(yīng)已成為技術(shù)和托管服務(wù)的首選。有些人可能會爭辯說，威脅檢測和響應(yīng)始終是 SIEM/安全分析的一個方面。雖然這可能是真的，但采用的證據(jù)表明這些新進(jìn)入者對該領(lǐng)域產(chǎn)生了影響。專注于該領(lǐng)域多種功能的產(chǎn)品是 SecOps 市場的一個方面，它將繼續(xù)存在。

調(diào)查結(jié)果摘要

XDR 已成為最常報告的 SIEM/安全分析增強(qiáng)。在我們之前的信息安全研究中，威脅情報經(jīng)常被認(rèn)為是與 SIEM/安全分析相結(jié)合的頂級技術(shù)——而且通常有很大的差距。在我們的 2021 年信息安全、供應(yīng)商評估研究中，威脅情報被 49% 引用，事件響應(yīng)工作流程以 36% 位居第二。在我們 2022 年的調(diào)查中，XDR 位居榜首，但排名靠后。在 43% 的受訪者中，XDR 以一個百分點的優(yōu)勢領(lǐng)先威脅情報工具或源，但無論如何它都是一個轉(zhuǎn)折點，標(biāo)志著威脅檢測和響應(yīng)對安全操作的影響增加的里程碑。

對于集中式安全分析，SIEM 仍然是支柱，而端點檢測和響應(yīng) (EDR) 在檢測和響應(yīng)方面處于領(lǐng)先地位——托管服務(wù)表現(xiàn)強(qiáng)勁。當(dāng)被問及組織使用哪些技術(shù)作為其安全運(yùn)營集中分析平臺的一部分時，SIEM 繼續(xù)領(lǐng)先，占 44% 的受訪者。然而，EDR 以 41% 緊隨其后。然而，下一個最頻繁的響應(yīng)指出了服務(wù)選項的優(yōu)先級，33% 的人表示托管檢測和響應(yīng)服務(wù)是他們集中安全分析的一部分。

對于 SIEM/安全分析供應(yīng)商，輸出質(zhì)量仍然非常出色，威脅情報的集成是重中之重。2022 年，報告和警報的質(zhì)量、威脅情報的集成和關(guān)聯(lián)以及設(shè)置、實施和調(diào)整的簡便性仍然是 SIEM/安全分析供應(yīng)商的三大屬性。與上述 2021 年研究相比，受訪者非常重要。與此同時，包括機(jī)器學(xué)習(xí)和行為分析在內(nèi)的高級分析方法的整合在 2022 年取得了進(jìn)展，51% 的受訪者認(rèn)為這非常重要，而 2021 年這一比例為 41%。

大多數(shù)人認(rèn)為云資產(chǎn)警報非常重要。58% 的受訪者表示，SIEM/安全分析供應(yīng)商支持對本地以外的架構(gòu)（例如，云、IaaS 和 SaaS 環(huán)境）發(fā)出警報非常重要，另有 36% 的受訪者稱此屬性有些重要。這表明，不僅有機(jī)會在安全運(yùn)營中實現(xiàn) IT 可觀察性，而且還需要安全運(yùn)營團(tuán)隊在云原生環(huán)境方面的專業(yè)知識。

盡管取得了進(jìn)展，但 SecOps 團(tuán)隊仍在與警報過載作斗爭。受訪者表示他們無法在典型的一天進(jìn)行調(diào)查的安全分析生成的警報的平均百分比為 48%。這個數(shù)字比之前引用的 2021 年研究中的 41% 有所增加。雖然偵探和分析技術(shù)正在優(yōu)化安全運(yùn)營方面取得進(jìn)展，但技術(shù)不斷擴(kuò)大的范圍和復(fù)雜性繼續(xù)給 SecOps 團(tuán)隊帶來壓力。然而，這也可能會進(jìn)一步激發(fā)人們對托管檢測和響應(yīng)服務(wù)的興趣。

增強(qiáng)是關(guān)鍵詞。SIEM 已經(jīng)在聚合來自不同工具的日志和事件，并創(chuàng)建自己的警報。使用 XDR 進(jìn)行增強(qiáng)以在整個企業(yè)中獲得更廣泛的可見性是一件好事，因為壞人會利用漏洞來獲取優(yōu)勢。但意想不到的后果是警報的數(shù)量增加了一個數(shù)量級。因此，這些調(diào)查受訪者還表示他們?nèi)栽跒榫瘓筮^載而苦苦掙扎也就不足為奇了；在通常的一天，48% 的警報未經(jīng)調(diào)查，高于去年調(diào)查中的 41%。多年來，警報疲勞一直困擾著安全分析師。在更多區(qū)域添加更多檢測會加劇該問題。 

要扭轉(zhuǎn)這種趨勢，我們需要將 XDR 視為一種架構(gòu)方法，而不是一種解決方案。當(dāng) XDR 被定義為專注于集成和自動化的開放平臺時，分析師可以快速連接點，了解整個環(huán)境中發(fā)生的事情，并確定是否應(yīng)將警報升級為事件響應(yīng)。 

要事第一：整合。 

XDR 架構(gòu)必須支持與企業(yè)擁有的任何工具的集成，包括所有內(nèi)部數(shù)據(jù)源——SIEM 系統(tǒng)、日志管理存儲庫、案例管理系統(tǒng)和安全基礎(chǔ)設(shè)施——在本地和云端。它還必須與組織訂閱的多個外部數(shù)據(jù)源集成——商業(yè)、開源、政府、行業(yè)和現(xiàn)有安全供應(yīng)商，以及 MITRE ATT&CK 等框架。與 RSS 提要、研究博客、新聞網(wǎng)站和 GitHub 存儲庫的集成可幫助分析師跟上新信息，這些信息提供額外的上下文以進(jìn)一步通知警報分類。

除了支持?jǐn)?shù)據(jù)流動和豐富上下文之外，集成還打破了團(tuán)隊在其中運(yùn)作的孤島，這樣他們就可以看到整個環(huán)境中真正發(fā)生的事情的大局，并進(jìn)一步調(diào)查。與現(xiàn)有工具集成并跨現(xiàn)有工具實現(xiàn)可見性、協(xié)作和更深入的理解。團(tuán)隊可以使用他們已經(jīng)熟悉的工具一起工作，以更快地做出更好的決策。

接下來是自動化。

集成是 XDR 架構(gòu)的核心屬性。但是，將數(shù)據(jù)整合在一起并打破孤島的能力還不夠。自動化也是必需的，因為分析師自己根本無法理解所有這些數(shù)據(jù)。然而，盡管一項全球調(diào)查 發(fā)現(xiàn)人們對安全自動化的信心正在上升，但只有 18% 的受訪者將自動化應(yīng)用于警報分類。這是一個錯失的機(jī)會，因為警報分類的重復(fù)性、低風(fēng)險、耗時的任務(wù)——如內(nèi)部和外部數(shù)據(jù)規(guī)范化、關(guān)聯(lián)、上下文化和優(yōu)先級——是自動化的主要候選對象。 

自動化通過減少噪音和誤報并使團(tuán)隊能夠快速利用所有可用數(shù)據(jù)的豐富性來全面了解正在發(fā)生的事情，從而簡化了警報分類的工作。根據(jù)他們設(shè)置的參數(shù)，團(tuán)隊可以更快地獲得重要的警報，并且由于集成，相關(guān)數(shù)據(jù)可以顯示在一個屏幕上，因此分析師可以更輕松、更快速地進(jìn)行調(diào)查、檢測整個企業(yè)的惡意活動并加快解決速度.

在可預(yù)見的未來，XDR 似乎注定要成為安全基礎(chǔ)設(shè)施的核心。但只有當(dāng)它被視為一種架構(gòu)時，它對威脅檢測、調(diào)查和響應(yīng)的全部價值才會實現(xiàn)。否則，它只是增加了我們以前無法處理的警報量的又一個工具，它不會打破孤島，也無法在整個組織內(nèi)實現(xiàn)協(xié)作、決策制定和響應(yīng)。這當(dāng)然不是任何人為 XDR 打算的結(jié)果，而且讓這種情況發(fā)生的風(fēng)險太大。