威脅檢測(cè)與響應(yīng)始終是企業(yè)安全建設(shè)的重點(diǎn)，據(jù)調(diào)查，83%的組織計(jì)劃在未來(lái)12到18個(gè)月內(nèi)增加威脅檢測(cè)和響應(yīng)支出。與之相對(duì)的是，盡管企業(yè)在安全技術(shù)上花費(fèi)了數(shù)百萬(wàn)美元，但仍然無(wú)法在合理的時(shí)間內(nèi)檢測(cè)或是有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊，甚至因?yàn)楣舻募觿?，企業(yè)面臨的安全環(huán)境更為糟糕。

為了尋求出路，行業(yè)內(nèi)將希望放在了XDR(eXtended Detection and Response，擴(kuò)展檢測(cè)與響應(yīng)技術(shù))上面。需要明確的是，XDR作為一種新興技術(shù)而非萬(wàn)能藥。在這一觀點(diǎn)下，我們可以看到XDR行業(yè)的很多創(chuàng)新和投資正在上演，隨著XDR的發(fā)展，它可以幫助企業(yè)提高安全分析效率，簡(jiǎn)化安全操作，并且通過(guò)緊密集成的安全操作和分析平臺(tái)架構(gòu)(SOAPA)來(lái)鞏固和優(yōu)化SOC。

在XDR的潛力下，CISO可以采取5個(gè)步驟，為企業(yè)制定XDR落地計(jì)劃。

1. 廣撒網(wǎng)：做大量前期調(diào)研

根據(jù)調(diào)查，只有24%的安全專(zhuān)家表示自己“非常熟悉”XDR。鑒于對(duì)新技術(shù)的知識(shí)鴻溝，企業(yè)首先應(yīng)該了解所有類(lèi)型的XDR：基于平臺(tái)的XDR(具備分析及控制臺(tái)等多個(gè)控件)、軟件式XDR、開(kāi)放式XDR，隨后再讓SOC團(tuán)隊(duì)制定XDR如何補(bǔ)充或替代現(xiàn)有工具和流程的策略。

目前，基于XDR整合體系結(jié)構(gòu)的特性，很多供應(yīng)商很可能會(huì)將XDR作為其EDR、NDR或安全分析技術(shù)的外延，因此，CISO應(yīng)該邀請(qǐng)戰(zhàn)略安全技術(shù)合作伙伴加入，向安全團(tuán)隊(duì)介紹XDR，并概述其產(chǎn)品路線圖，從而讓安全團(tuán)隊(duì)加快速度、更好地制定XDR戰(zhàn)略。

2. 找到組織的弱點(diǎn)與盲點(diǎn)

在使用另一種威脅檢測(cè)和響應(yīng)技術(shù)之前，有必要深入研究現(xiàn)有工具和流程，這樣才能了解對(duì)企業(yè)安全來(lái)說(shuō)什么是有效，什么是無(wú)效的。

• SOC團(tuán)隊(duì)是否充分利用了EDR，NDR和SIEM?
• 是否存在技能或資源缺口?
• 是否存在進(jìn)程瓶頸，導(dǎo)致威脅的平均檢測(cè)時(shí)間和響應(yīng)時(shí)間變長(zhǎng)?

如果存在以上情況，那么SOAR(安全編排自動(dòng)化與響應(yīng))和專(zhuān)業(yè)服務(wù)可能比起其他分析工具更有價(jià)值。由于現(xiàn)代網(wǎng)絡(luò)威脅會(huì)在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)，因此在安全監(jiān)控方面，該組織是否存在任何弱點(diǎn)或盲點(diǎn)也需要了解。例如，ESG研究就指出了與公共云基礎(chǔ)架構(gòu)相關(guān)的安全監(jiān)控弱點(diǎn)。在這種情況下，XDR應(yīng)該首先改善云安全可視化，然后將云安全分析與現(xiàn)有的EDR、NDR、威脅情報(bào)等集成在一起。

3. 為項(xiàng)目規(guī)劃選擇一個(gè)“起點(diǎn)”

XDR是一種體系結(jié)構(gòu)，而非產(chǎn)品。企業(yè)完全部署和配置XDR可能需要花費(fèi)幾年的時(shí)間，這意味著CISO需要思考從哪里開(kāi)始著手。

在ESG的《XDR在現(xiàn)代SOC中的影響》調(diào)查中，有43%的受訪者表示，他們會(huì)從實(shí)施具有云計(jì)算工作負(fù)載和SaaS的威脅檢測(cè)和響應(yīng)功能的XDR解決方案來(lái)啟動(dòng)項(xiàng)目。事實(shí)上，XDR技術(shù)可以從戰(zhàn)術(shù)性覆蓋發(fā)展到戰(zhàn)略性覆蓋，無(wú)論從哪里開(kāi)始部署XDR，安全團(tuán)隊(duì)都必須具備全局眼光，也就是確定集成點(diǎn)、規(guī)劃項(xiàng)目、并定義一組用于度量XDR和項(xiàng)目有效性的度量標(biāo)準(zhǔn)。

4. 使用XDR建立安全運(yùn)營(yíng)最佳實(shí)踐

在很多企業(yè)里，安全操作是雜亂無(wú)章的，并且充斥著許多手動(dòng)操作和不斷滅火過(guò)程。 一些SOC團(tuán)隊(duì)使用SOAR試圖擺脫這種混亂，但SOAR平臺(tái)需要人力資源和技能來(lái)創(chuàng)建劇本和代碼編排例程，具有一定門(mén)檻。這一背景下，XDR很可能會(huì)充當(dāng)”低成本“的SOAR。比如刪去對(duì)企業(yè)來(lái)說(shuō)無(wú)傷大雅的一些常見(jiàn)安全流程，幫助企業(yè)實(shí)施MITRE ATT&CK框架等。

在選擇XDR解決方案時(shí)，CISO應(yīng)該評(píng)估每個(gè)供應(yīng)商如何支持和推進(jìn)安全運(yùn)營(yíng)最佳實(shí)踐，以及企業(yè)如何適應(yīng)這些變化。

5. 讓IT團(tuán)隊(duì)參與進(jìn)來(lái)

事件響應(yīng)需要安全團(tuán)隊(duì)和IT團(tuán)隊(duì)之間協(xié)作與合作。為了支持和改進(jìn)團(tuán)隊(duì)工作，XDR平臺(tái)應(yīng)適應(yīng)現(xiàn)有的流程切換，并與現(xiàn)有的安全操作工具(如ServiceNow、Jira、Microsoft OMS等)集成。換句話說(shuō)，XDR項(xiàng)目是要改進(jìn)而不是中斷現(xiàn)有的數(shù)據(jù)分析、案例管理、事件優(yōu)先級(jí)和緩解工作。

最后，網(wǎng)絡(luò)安全行業(yè)往往會(huì)陷入對(duì)新技術(shù)的趨之若鶩，但不幸的是，很多企業(yè)在使用新技術(shù)的同時(shí)不會(huì)花費(fèi)時(shí)間充分學(xué)習(xí)新技術(shù)，也不能實(shí)現(xiàn)新技術(shù)的利益最大化。以 XDR為例，作為一個(gè)需要數(shù)月或數(shù)年才能完全部署的架構(gòu)，XDR可以讓組織有時(shí)間把事情做好，把XDR真正構(gòu)建到正式項(xiàng)目和未來(lái)戰(zhàn)略中，而不僅僅是安全會(huì)議上又一個(gè)談資或話題。

參考來(lái)源：csoonline