了解当前XDR要素和选项

日期: 2023-01-03 作者:Josh Davies翻译:邹铮 来源:TechTarget中国 英文

网络安全工具和服务的首字母缩略词主要用于对功能和特性进行分类-用户在解决安全挑战时需要使用的功能和特性。

虽然首字母缩略词旨在简化选择过程,但在评估时可能会使潜在用户不知所措。目前XDR(或者说扩展检测和响应)是占主导地位的最新首字母缩略词。

企业知道XDR所包含的功能是否适合他们吗?

“扩展”突出XDR的意图,即在整个组织中扩展并通过响应控制整合检测源。这是每个企业都面临的挑战,这也是最初安全供应商都涌入XDR市场的原因。然而,这催生出各种功能不同的 XDR 产品,让客户感到困惑。

减少这种混乱的方法之一是首先关注网络安全结果。XDR的主要结果应包括以下内容:

  • 完全掌握IT环境和工具;
  • 通过对风险的洞察降低攻击的可能性;
  • 通过快速检测和响应威胁,减少攻击的影响。

这听起来似乎很熟悉?这是因为各种工具来来去去,但安全结果都是一样。

让我们看一下 XDR 的变化,然后根据所需的安全结果进行评估。

定义和交付 XDR

Gartner 将 XDR 定义为一个平台,这个平台“集成、关联和情境化来自多个安全预防、检测和响应组件的数据和警报”。XDR 还旨在减少产品蔓延、警报疲劳、集成挑战和运营费用。

XDR的三个基本要素如下:

  1. 覆盖面广。具有多个遥测源。
  2. 用于分析的中央存储库。可以查看数据收集、流程、警报和工作流。
  3. 自动化。工作流可以更快地做出决策,以协调多个工具之间的响应。

这种高级定义使得XDR的范围极其广泛,很多公司都可算是XDR供应商。成熟的 SIEM 产品也满足XDR标准,尽管最初旨在成为端点检测和响应(EDR)的演变。因此,很多供应商声称提供XDR。

让我们来看看当前XDR交付最常见的版本:

  1. EDR+ — 端点 + 遥测/数据 + 端点响应。这通常是 EDR 供应商的发展路径,这种类型的 XDR将另一个遥测或数据源带到现有端点。虽然这种方法可能很容易,因为它利用当前的EDR投资,但挑战在于确保覆盖整个 IT 环境。覆盖范围可能会因使用的其他数据源和遥测点而有很大差异。
  2. SIEM+ — SIEM + 日志+ 分析. 对于具有成熟安全态势的用户,这个以 SIEM 为中心的选项可提供灵活性和可扩展性。SIEM 可能包括响应集成或自动调查扩充,以满足自动化要求。这里的挑战可能来自冗长的部署、附加模块的大量流程(需要集成到现有流程中),以及内部团队需要不断调整数据模型以更新环境策略。
  3. Comprehensive – 端点 + 遥测/数据 + 日志 + 分析 + 入侵检测系统 + 文件完整性监控 + 响应(身份、端点和防火墙/Web 应用程序防火墙)。 此方法提供了对整个IT环境的可视性。它结合了预防和检测,试图解决已知和未知的挑战。所涉及的很多工具可能需要企业与专门的团队合作,该团队共同提供专业技能和知识来管理环境以产生最佳结果。

根据结果评估 XDR

让我们根据前面提到的关键 XDR 结果评估这些 XDR 选项。

结果1

EDR+ 无法提供 IT 环境和工具的完整可见性。它只提供一个狭隘的视图,几乎不符合Gartner的XDR定义。Comprehensive具有可视性,SIEM+ 紧随其后,但缺乏通过入侵检测系统对网络流量的真正洞察。

结果23

这些 XDR 结果与 IT 可见性和工具直接相关,这对 EDR+ 来说也不是好消息。

对很多数据源执行分析,对于确保对面临风险的所有区域的可见性至关重要。可以根据风险的严重程度和可用资源来部署缓解措施。例如,业务关键型资产需要最低的可接受风险级别。SIEM+ 和Comprehensive XDR 系统的性能更好,并且在这方面基本差不多,假设它们包括与暴露评估分析的集成,或本来就有暴露评估分析。

至于检测和响应威胁,EDR+ 是基于端点的威胁的不错选择,但忽略凭据攻击和云攻击等领域。SIEM+ 在识别更广泛的威胁方面做得很好,但过度依赖日志并且缺乏响应自动化。Comprehensive 对各种来源进行分析,并将其与响应机制连接,从而对威胁做出最快的中断或遏制响应。

虽然 XDR 可用于描述一系列不同的安全方法,但仅靠 XDR 产品并不能解决员工专业知识问题,或者管理的负担以及从安全堆栈中提取价值的挑战。

实现XDR的价值

在评估 XDR 等功能丰富的产品时,很容易陷入它们提供的潜在安全价值中。XDR 是朝着统一安全数据和控制的可见性和管理迈出的积极一步,但它不是灵丹妙药,仍然需要日常运营承诺。

企业应该务实地评估它们能够实现的价值,基于他们可以用于任何工具的资源、专业知识和管理。为了实现 XDR 提供的价值,还需要威胁研究和搜寻、24/7 全天候监控、高级和自定义分析和调优、警报调查、日志分析、误报减少和可操作的修复见解。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐