威胁检测和响应一直是企业安全建设的重点。据调查,83%的组织计划在未来12至18个月内增加威胁检测和响应支出。相比之下,虽然企业在安全技术上花费了数百万美元,但仍无法在合理的时间内检测或有效应对 *** 攻击。即使由于攻击的加剧,企业也面临着更糟糕的安全环境。
为了寻求出路,行业把希望放在了XDR(eXtended Detection and Response,上述扩展检测与响应技术)。需要明确的是,XDR作为一种新兴技术,而不是万能药。在这种观点下,我们可以看到XDR随着行业的许多创新和投资,随着XDR通过紧密集成的安全操作和分析平台架构,可以帮助企业提高安全分析效率,简化安全操作(SOAPA)巩固和优化SOC。
在XDR的潜力下,CISO为企业制定五个步骤XDR落地计划。
1. 广撒网:做大量前期调查
根据调查,只有24%的安全专家说他们“非常熟悉”XDR。鉴于新技术的知识差距,企业应首先了解所有类型XDR:基于平台的XDR(有多个控件,如分析和控制台)XDR、开放式XDR,随后再让SOC团队制定XDR如何补充或替代现有工具和流程的策略。
目前,基于XDR许多供应商很可能会整合系统结构的特点XDR作为其EDR、NDR因此,CISO应邀请战略安全技术合作伙伴介绍安全团队XDR,并总结其产品路线图,以加快安全团队的速度,更好地制定XDR战略。
2. 发现组织的弱点和盲点
在使用另一种威胁检测和响应技术之前,有必要深入研究现有的工具和流程,以了解什么是有效的,什么是无效的。
- SOC团队是否得到充分利用EDR,NDR和SIEM?
- 是否存在技能或资源缺口?
- 平均检测时间和响应时间是否存在过程瓶颈?
若有上述情况,则SOAR(安全安排自动化和响应)和专业服务可能比其他分析工具更有价值。由于现代 *** 威胁将在整个 *** 中横向移动,也需要了解组织在安全监控方面是否存在弱点或盲点。ESG该研究指出了与公共云基础设施相关的安全监测弱点。XDR首先要提高云安全的可视化,然后对现有云安全进行分析EDR、NDR、集成威胁情报等。
3. 选择项目规划“起点”
XDR它是一种系统结构,而不是产品。企业完全部署和配置XDR可能需要几年的时间,这意味着CISO想想从哪里开始。
在ESG的《XDR在现代SOC在调查中,43%的受访者表示,他们将实施云计算工作负荷和SaaS威胁检测和响应功能XDR开始项目的解决方案。事实上,XDR技术可以从战术性覆盖发展到战略性覆盖,无论从哪里开始部署XDR,安全团队必须有全球视野,即确定集成点、规划项目,并定义一组用于测量XDR以及项目有效性的测量标准。
4. 使用XDR建立安全运行更佳实践
在许多企业中,安全操作混乱,充满了许多手动操作和持续灭火过程。SOC团队使用SOAR试图摆脱这种混乱,但是SOAR该平台需要人力资源和技能来创建具有一定门槛的剧本和代码编排例程。XDR很可能会充当”低成本“的SOAR。例如,删除一些对企业无害的常见安全流程,帮助企业实施MITRE ATT&CK框架等。
在选择XDR解决方案时,CISO评估各供应商如何支持和促进安全运营的更佳实践,以及企业如何适应这些变化。
5. 让IT团队参与
事件响应需要安全团队和安全团队IT团队合作与合作。支持和改进团队工作,XDR平台应适应现有的流程切换,并与现有的安全操作工具(如ServiceNow、Jira、Microsoft OMS等)集成。换句话说,XDR项目是改进而不是中断现有的数据分析、案例管理、事件优先级和缓解。
最后, *** 安全行业往往蜂拥而至,但不幸的是,许多企业在使用新技术时不会花时间充分学习新技术,也无法更大化新技术的利益。XDR例如,作为一个需要几个月或几年才能完全部署的架构,XDR组织可以有时间把事情做好XDR真正建立在正式项目和未来战略中,而不仅仅是安全会议上的另一个谈话或话题。
参考来源:csoonline