XDR是SOC现代化的清流还是主流?
如今,越来越多的安全厂商宣称能够提供XDR解决方案,数量远远超过了端点检测和响应(EDR)供应商。XDR现在能从更多的数据源收集、处理和分析遥测数据,例如来自云访问安全代理(CASB)、SaaS应用程序和IAM系统的数据。
XDR市场不仅厂商众多,而且抱团竞争和对标准的争夺也愈加激烈。网络安全业界如今已经成立了至少3个XDR“联盟”,一个由CrowdStrike领导,另一个由Exabeam、Extrahop、Mimecast、Netskope和SentinelOne等供应商发起,而第三个则基于开放网络安全联盟的标准,参与者包括IBM和McAfee。
随着XDR扩展性和功能迭代不断取得进展,一些安全厂商不再满足于XDR填补中型企业SOC空白市场的最初定位,认为随着组织越来越依赖智能化、自动化工作流和对分析师流程的决策支持来实现其SOC的现代化,XDR完全能够覆盖整个安全运营中心(SOC)技术环境,取代现有的主流SOC技术方案,包括安全信息和事件管理 (SIEM)、安全编排、自动化和响应(SOAR)以及威胁情报平台(TIP)。
由于XDR的概念和定位不断演化,虽然每个人都在谈论XDR,但每个人讲的故事却又不尽相同。再深入讨论XDR与SOC现代化的演进关系之前,我们不妨回顾一下ESG给出的XDR定义:
XDR作为跨混合IT架构的集成安全产品套件,旨在对威胁预防、检测和响应方面进行互操作和协调。XDR将控制点、安全遥测、分析和操作统一到单一的企业系统中。
XDR与SOC现代化
XDR在SOC现代化中到底可以发挥什么作用?在最近的一个研究项目中,ESG调查了339位企业安全专业人员,以下是亮点数据:
- 58%的安全专业人士表示,XDR可以通过增强/改进/聚合当前的安全分析功能来实现SOC的现代化。这当然是XDR的主要任务,通过跨网络杀伤链的数据分析提供高保真警报。这可以通过自动执行一级分析师任务(如警报分类)来实现SOC现代化,从而大幅提高SOC效率和分析师生产力。
- 55%的安全专业人士表示,XDR可以通过与SOAR集成来实现安全流程自动化,从而使SOC现代化。这个目标几乎没有那么明确。XDR系统编纂了简单的任务自动化(例如将文件哈希与VirusTotal匹配),而SOAR确实是为端到端自动化流程而构建的,甚至集成到ITSM系统中(例如SOAR和ITSM的ServiceNow)。换句话说,XDR和SOAR在今天充其量是松散耦合的,这种情况暂时不会改变。最好的XDR系统将继续执行基本任务自动化,而无需SOAR。
- 37%的安全专业人士表示,XDR可以通过充当查询和调查的数据湖来实现SOC的现代化。这是可能的,也是CrowdStrike收购Humio和 SentinelOne收购Scalyr的原因——两者都是基于云的大数据分析引擎。尽管如此,许多组织已经在使用SIEM作为数据湖,而且大多数SIEM供应商(即Elastic、Exabeam、IBM、Splunk、SumoLogic等)已经基于云。在这个领域还有大型的、可扩展的、基于云的平台,比如Chronicle和Devo,可以摄取其他数据进行调查和威胁追踪。鉴于此,XDR最终可能更像是一个数据流,而不是数据湖。
总结:因人而异,量力而行
目前来看,大型企业和机构正在同时做两件事:采用XDR技术和对SOC进行现代化改造。XDR用于在整合点工具的同时提高威胁检测效率,而SOC现代化的主题是关于检测即代码、与MITRE ATT&CK保持一致、固化分析师工作流程和端到端流程自动化,在这个进程中,XDR与基于SIEM的运营方案二者有重叠部分,也有冲突部分。
总的来说,XDR将成为SOC现代化的一股不可忽视的推动力量,当下XDR供应商正在忙于开发高级分析、整合新数据源、自动化任务,使用机器学习和威胁情报来关联数据,并将所有不同的数据维度相互关联并针对风险评分,以提供更快、更高保真度的检测,同时减少分析师。
正如Forrester所指出的那样,XDR已经开始与SIEM和SOAR发生正面冲突,对于不同安全态势的企业来说,企业需要考虑其长期业务目标侧重点(检测与响应还是合规与运营)和自身安全资源(预算、人才等)来选择这两种不同的技术路径。