freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

XDR即将到来:CISO应该采取的5个步骤
2021-03-08 14:07:14

除了威胁检测和响应,CISO还可以把XDR视为一种现代的“即插即用”的SOC、一种提升员工效率的自动化流程。

威胁检测与响应始终是企业安全建设的重点,据调查,83%的组织计划在未来12到18个月内增加威胁检测和响应支出。与之相对的是,尽管企业在安全技术上花费了数百万美元,但仍然无法在合理的时间内检测或是有效应对网络攻击,甚至因为攻击的加剧,企业面临的安全环境更为糟糕。

cso_nw_mobile_security_threat_detection_traffic_analysis_by_thinkstock_488641023-100826770-large.jpg

为了寻求出路,行业内将希望放在了XDR(eXtended Detection and Response,扩展检测与响应技术)上面。需要明确的是,XDR作为一种新兴技术而非万能药。在这一观点下,我们可以看到XDR行业的很多创新和投资正在上演,随着XDR的发展,它可以帮助企业提高安全分析效率,简化安全操作,并且通过紧密集成的安全操作和分析平台架构(SOAPA)来巩固和优化SOC。

在XDR的潜力下,CISO可以采取5个步骤,为企业制定XDR落地计划。

1. 广撒网:做大量前期调研

根据调查,只有24%的安全专家表示自己“非常熟悉”XDR。鉴于对新技术的知识鸿沟,企业首先应该了解所有类型的XDR:基于平台的XDR(具备分析及控制台等多个控件)、软件式XDR、开放式XDR,随后再让SOC团队制定XDR如何补充或替代现有工具和流程的策略。

目前,基于XDR整合体系结构的特性,很多供应商很可能会将XDR作为其EDR、NDR或安全分析技术的外延,因此,CISO应该邀请战略安全技术合作伙伴加入,向安全团队介绍XDR,并概述其产品路线图,从而让安全团队加快速度、更好地制定XDR战略。

2. 找到组织的弱点与盲点

在使用另一种威胁检测和响应技术之前,有必要深入研究现有工具和流程,这样才能了解对企业安全来说什么是有效,什么是无效的。

SOC团队是否充分利用了EDR,NDR和SIEM

是否存在技能或资源缺口?

是否存在进程瓶颈,导致威胁的平均检测时间和响应时间变长?

如果存在以上情况,那么SOAR(安全编排自动化与响应)和专业服务可能比起其他分析工具更有价值。由于现代网络威胁会在整个网络中横向移动,因此在安全监控方面,该组织是否存在任何弱点或盲点也需要了解。例如,ESG研究就指出了与公共云基础架构相关的安全监控弱点。在这种情况下,XDR应该首先改善云安全可视化,然后将云安全分析与现有的EDR、NDR、威胁情报等集成在一起。

3. 为项目规划选择一个“起点”

XDR是一种体系结构,而非产品。企业完全部署和配置XDR可能需要花费几年的时间,这意味着CISO需要思考从哪里开始着手。

在ESG的《XDR在现代SOC中的影响》调查中,有43%的受访者表示,他们会从实施具有云计算工作负载和SaaS的威胁检测和响应功能的XDR解决方案来启动项目。事实上,XDR技术可以从战术性覆盖发展到战略性覆盖,无论从哪里开始部署XDR,安全团队都必须具备全局眼光,也就是确定集成点、规划项目、并定义一组用于度量XDR和项目有效性的度量标准。

4.  使用XDR建立安全运营最佳实践

在很多企业里,安全操作是杂乱无章的,并且充斥着许多手动操作和不断灭火过程。 一些SOC团队使用SOAR试图摆脱这种混乱,但SOAR平台需要人力资源和技能来创建剧本和代码编排例程,具有一定门槛。这一背景下,XDR很可能会充当”低成本“的SOAR。比如删去对企业来说无伤大雅的一些常见安全流程,帮助企业实施MITRE ATT&CK框架等。

在选择XDR解决方案时,CISO应该评估每个供应商如何支持和推进安全运营最佳实践,以及企业如何适应这些变化。

5. 让IT团队参与进来

事件响应需要安全团队和IT团队之间协作与合作。为了支持和改进团队工作,XDR平台应适应现有的流程切换,并与现有的安全操作工具(如ServiceNow、Jira、Microsoft OMS等)集成。换句话说,XDR项目是要改进而不是中断现有的数据分析、案例管理、事件优先级和缓解工作。

最后,网络安全行业往往会陷入对新技术的趋之若鹜,但不幸的是,很多企业在使用新技术的同时不会花费时间充分学习新技术,也不能实现新技术的利益最大化。以 XDR为例,作为一个需要数月或数年才能完全部署的架构,XDR可以让组织有时间把事情做好,把XDR真正构建到正式项目和未来战略中,而不仅仅是安全会议上又一个谈资或话题。

参考来源

csoonline

# xdr
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录