任何XDR都可能成為一個時間和資金俱增的龐大咨詢項目
責編:gltian |2022-05-20 17:31:44作為網絡安全從業者的我們已經習慣了“變化”,特別是當新的攻擊路徑、新的攻擊方式出現時更是如此——根據需要我們很快就能對應增加一種新的安全工具或處置流程。但如此多年之后,隨著數字化進程的加快,遠程辦公與遷移到云端已經迫使安全從業者們需要采用一種更為全面的方法應對“檢測”與“響應”。
安全從業者對“檢測”進行了再思考:從信息基礎設施各個獨立的系統與源中獲取的信息如何兼具廣度與深度,從而能更好的識別、抵御威脅。同樣地,我們對“響應”能力也提出了新的要求:如何對一次攻擊所影響的所有信息基礎設施都能做出及時響應。為了支持這些新的檢測與響應需求,我們需要重點針對系統和工具如何協同工作排列優先級,完善改進。在這樣的背景下,XDR呼之欲出,并得到了眾多從業者的關注。
改變似乎觸手可及,但要想全球超過300萬的安全專家做出改變,首先要做的是,如何考慮他們原有的安全運營工作。只有基于現有各基礎設施的數據流進行整合,XDR才能發揮出防護、檢測與響應的效果。然而實際情況是,許多機構用戶都在XDR解決方案的實施與管理中苦苦掙扎。即使XDR解決方案提供商已經給出了易于編寫的API接口,但如何將本地軟件、老舊應用中的數據遷移到云平臺上依然是個艱巨的任務。任何XDR解決方案,都可能快速演變為一個時間成本、資金預算俱增的龐大咨詢項目。
因此,有些機構用戶選擇將部分或整個需求交給托管檢測與響應(MDR)服務提供商來做,即采購XDR即服務。作為傳統MSSP市場發展出的一個分支,MDR是一個迅速增長的網絡安全服務類別,其市場規模2020年為9.75億美元,據預測2028年將增長至73億美元。Gartner對MDR服務商的定義為,通過將技術工具與人工服務相結合,為用戶提供7×24小時的威脅監測、檢測與響應服務。這么聽起來,XDR這個概念就像是為MDR服務商量身打造的不是嗎?如果你正在考慮將XDR外包給一家MDR服務商來做,要確保他們已經解決了以下三個問題:
- 如何覆蓋更多的攻擊暴露面?XDR解決方案中,一般首先關注的是終端檢測與響應(EDR),許多MDR服務商也是這么做的。但,問題就來了。沒錯,EDR是非常重要,但是跨網絡、跨云端、跨公司幾十種原有的安全工具、本地軟件、老舊應用等等場景下的檢測與響應也同樣重要。對XDR來說,企業所使用的每個工具中的數據都是基礎且必要的。
- 是否引入并利用了正確的外部數據源?作為各類檢測與響應方案的必備組成部分,第三方數據與情報源對于構建一幅完整的態勢圖景、跟蹤內部威脅與事件數據的實時變化都十分重要。第三方數據的來源包括商業數據、開源數據、政府、行業、安全供應商等 —— 具體可以參考MITRE ATT&CK 框架。利用攻擊者畫像、攻擊方式、攻擊活動等信息,MDR服務商可以從企業所使用的其他工具中尋找相關蛛絲馬跡,確認惡意行為的攻擊范圍,標識出所有受影響的系統。
- 是否能夠使所有工具、團隊協同工作?無論是部分亦或全部將XDR服務外包,外包的部分與內部SecOps團隊原有用例與工作流的協調整合都是至關重要的。此外,對所有系統的雙向集成可以確保跨系統操作的有效性、防御網絡強化的及時性,以及獲取數據進行不斷學習改進的可持續性。如果短時間內無法在所有實例中達到這個效果,最低限度的,也應當在MDR服務商與內部SOC(反之亦然)之間建立相關流程,以確保全面、協同的響應能力。
如果你的團隊組織規模正在快速擴大,或是正在尋找一家MDR服務商提供具備XDR的安全運營能力,一定要確保注意到了上述三個問題。對MDR服務商來說,只有在深刻理解檢測、響應以及服務的內涵基礎上,才能夠真正交付有效果的XDR。
來源:數世咨詢