XDR投资指南:CISO如何选择扩展检测与响应解决方案

本文深入探讨了扩展检测与响应(XDR)技术如何帮助企业应对日益复杂的网络威胁,分析了XDR与EDR的区别、实施考量因素以及托管XDR服务的价值,为CISO提供投资决策参考。

CISO的顶级XDR投资决策

了解扩展检测与响应(XDR)如何用于检测和响应解决方案系列

市场中的CISO

黑客变得越来越聪明,网络攻击频率持续增长,迫使组织在攻击成功时面临巨大成本。新冠疫情推动了混合和远程工作的大规模采用,并导致自带设备(BYOD)政策的兴起。随着威胁行为者变得更加复杂,这些因素使得网络攻击风险增加。

BlackBerry® 2022年威胁报告显示,中小型企业(SMB)每台设备每天收到11到13个威胁。各种规模的公司都面临着在越来越多的设备上安装策略和保护数据的挑战,这导致需要管理的警报量增加,同时还要平衡IT和网络安全方面的技能和资源差距。

CISO和安全负责人,特别是那些运营中小型企业的负责人,面临着若干挑战,包括预算紧张、内部资源缺乏、安全解决方案配置错误以及现有传统解决方案无法跟上当今威胁形势的步伐。他们必须能够优化现有的安全投资,以应对不断发展的安全威胁和警报疲劳。

检测与响应系列

扩展检测与响应(XDR)是检测和响应解决方案系列的最新成员,在网络安全中心最近的报告《CISO主动威胁预防策略》中有所概述。更广泛的检测和响应系列包括端点保护平台(EPP)、端点检测和响应(EDR)以及额外的遥测技术。

XDR是一个统一的安全事件检测和响应平台,可自动收集并关联跨网络、云、端点和应用程序的数据。该技术整合并发展了EPP和EDR安全能力,提供跨第一方和第三方企业的可见性,并在端点及更远范围提供保护。

XDR越来越受欢迎,并为提高网络安全效率开辟了道路。根据Gartner 2021年11月发布的《扩展检测和响应市场指南》,“到2027年底,多达40%的最终用户组织将使用XDR”。

托管XDR提供了一个配备专业分析师和威胁预防专家的解决方案,增强了组织自身安全和IT团队的能力。此外,通过托管服务提供的人力要素使公司能够访问可以分类网络安全警报并修复攻击的专家。

中小型企业需要确保他们拥有正确的软件和专业知识来管理当今存在的大量漏洞。如果操作正确,网络安全投资最终可以节省时间、金钱和声誉。

在本独家报告中,网络安全中心探讨了许多组织转向XDR的原因、CISO在投资XDR之前的主要考虑因素,以及托管XDR即服务的价值。

XDR如何扩展您的检测和响应能力

XDR通过搜索和处理组织整个数字环境中的网络威胁来扩展EDR。XDR还超越端点,涵盖组织的整个网络,包括云存储、应用程序及其端点。

XDR解决方案能够统一检测和分析组织面临的网络威胁。它不限于端点,因此是一个更全面的解决方案。

通过统一端点、网络和基于云的资产的可见性和管理,XDR可以比单独的EDR更有效地抵御网络攻击。人工智能(AI)也可以是XDR解决方案中的一个重要特性,以帮助识别和阻止不断发展的网络威胁。

XDR的附加遥测对于描绘威胁行为者活动的更全面图景非常重要。从多个传感器解析、规范化和关联数据提供端到端的可见性。虽然从EDR转向XDR是防御能力的正确进步,但额外的遥测可能会增加网络防御者的工作量,BlackBerry全球服务技术运营副总裁Tony Lee指出。

XDR还与当前的安全信息和事件管理(SIEM)实践相关,这些实践为安全运营中心(SOC)提供用于威胁监控和响应的事件数据。

进行转换

一些CISO决定投资XDR以增强其SIEM平台。网络安全中心与资产管理服务企业Sanne集团的集团信息安全负责人Ash Hunt就该司最近采用XDR的情况进行了交谈。

Hunt表示,他对XDR有非常直接的经验,因为他的组织最近通过升级到XDR解决方案更改了其SIEM平台。

“XDR部分确实从威胁角度成熟了能力,这是传统EDR所不具备的。” Ash Hunt Sanne集团集团信息安全负责人

“我当然希望我的SIEM具备SOAR[安全编排、自动化和响应]和UEBA[用户和实体行为分析]能力,因此添加它们实现了自动化编排和响应,”他解释道。

“XDR部分确实从威胁角度成熟了能力,这是传统EDR所不具备的。而EDR是一种很棒的能力,但它有点二元化;它会做它需要做的事情,”Hunt继续说道。“但XDR,特别是对于我的SIEM平台,将日志记录和监控提升到了一个新的水平。它使我能够以传统EDR单独无法做到的方式管理我的威胁形势。”

虽然XDR并不打算取代EDR,但它可以明显添加到CISO的工具包中,以便他们能够跟上当今不断发展的威胁形势。

CISO的下一个考虑是构建内部XDR解决方案,还是投资于可以增强内部知识并特别为中小型企业提供24×7×365监控的托管服务提供商。

那些缺乏实施EDR和XDR的人员或技能的组织应该寻求托管XDR解决方案,该解决方案可以以构建此能力内部成本的一小部分来增强现有员工。

有效使用托管XDR解决方案

许多中小型企业正面临安全威胁的涌入,同时缺乏安全资源和知识。

组织今天面临的最突出问题之一是处理他们面临的数据量,过滤警报噪音并专注于正确的信号。警报疲劳是一个大问题。

“随着我们通过XDR收集更多遥测数据并获得更大的可见性,这可能会用新警报压垮防御者。所有这些都是在威胁行为者继续适应和改进作为不断发展的勒索软件即服务(RaaS)模型的一部分时发生的,”BlackBerry的Lee指出。

网络安全行业众所周知的人员短缺加剧了这种情况,这使得雇佣和留住优秀人才变得困难。

Lee指出,仅靠增加人员规模无法解决这些主要问题——一个高效的、即插即用的、可扩展的托管XDR解决方案是解决这些问题最快、最具成本效益的选择。

对许多人来说,实施企业级检测和响应能力是一项重大任务,从头开始构建SOC不仅耗时,而且对许多人来说代表着一项重大成本。

即使是传统工具,如统一威胁管理系统(UTM)和入侵检测/预防系统(IDS/IPS),也需要24×7×365监控。

深入战略

对于豪华汽车制造商Aston Martin Lagonda的CISO Robin Smith来说,托管服务是他团队的未来,也是他正在制定的战略的一部分。

拥有25年管理员工经验的Smith强调了在运营内部网络安全团队时,行为、容量管理、可见性和交付都可能出现问题。

相比之下,Smith表示他会选择“一个敏捷、弹性的服务,可以根据资源需求进行扩展和收缩”。

由于需要24×7×365的威胁检测,外包服务通常还可以提供内部团队没有能力工作的时间。

“当然,对于Aston Martin来说,委托安全服务是我们正在转向的模型,因为敏捷性、资源管理和创新将被融入该服务中,”他说。

仔细考虑

在寻找提供托管XDR解决方案的合作伙伴时,组织应考虑他们对供应商的总体愿景和重点。

XDR不能100%防止网络攻击,但可以指导行动并使证据在取证上可用于分析。BlackBerry解决方案和战略副总裁Brian Robison表示,选择一个能够尽力防止客户成为受害者,同时在需要时拥有足够技术来收集取证证据的供应商非常重要。

多层服务能力也很重要,应侧重于攻击的预防,而不仅仅是检测和修复。

为此,能力应包括24×7×365 AI驱动的端点保护、持续威胁狩猎、威胁情报覆盖和快速响应,以提供防止攻击的最佳机会。

将XDR嵌入您的数字资产

显然,XDR和托管服务作为独立实体都有好处。托管XDR解决方案可以增强组织的检测和响应能力。然而,在任何公司的情况下,CISO必须考虑对其现有数字资产的最佳投资,对于中小型企业可能更是如此。

仅投资XDR技术是不够的。组织必须拥有能够提供能力并管理技术的资源。组织可能能够通过XDR将其检测和响应推向积极方向,但最终,要在解决方案中取得成功,责任始终在于工具背后的人员。

“我们很难找到一个不会从XDR中受益的组织。” Tony Lee BlackBerry全球服务技术运营副总裁

考虑到这一点,中小型企业可能倾向于选择托管XDR解决方案,该解决方案附带一个供应商,提供实施该工具以充分发挥其潜力的专业知识和知识。

“我们很难找到一个不会从XDR中受益的组织。大多数组织应该问的问题是,他们自己构建这个能力是否比购买即插即用解决方案更快、更便宜?专用的托管XDR提供商受益于规模经济,这通常是一个试图构建自己解决方案的单个组织无法获得的,”Lee说。

XDR辅助批判性思维

XDR确实是检测和响应组合的最新成员。然而,根据Aston Martin的Smith,CISO应仔细考虑他们对XDR的投资。

“你应该对新兴解决方案持开放态度,但你也应该批判性地思考这个新版本端点检测和响应的价值、好处、成本和影响,”Smith断言。

“你应该问自己,我们是否已经足够好地应用了EDR,以至于我们应该迁移到XDR?” BlackBerry的Robison指出,XDR只有在组织能够投资并为其提供足够资源以取得成功时才有价值——这就是托管XDR的用武之地。

“最终,技术只是一个工具,如果它没有被专业使用和适当资源支持,它就会变成无用的搁置软件,无法带来任何好处,”Robison说。

投资回报的影响和收益

简单来说,投资回报(ROI)计算通常侧重于在不响应警报时节省的小时数。

然而,BlackBerry的Lee认为,还有更重要的因素需要考虑,包括受保护数据的价值以及制造业中生产的部件的价值。

“每个组织都有价值或保护一些有价值的东西——即使‘仅仅’是他们的声誉,”Lee说。“这些因素和价值可能难以计算,除非该组织(或类似组织)经历过事件,但它们不应被低估。”

与任何投资一样,考虑组织做出资源承诺时的影响和收益方面的ROI。

对于CISO来说,在投资之前评估自己的数字资产,结合可用的资源和预算,至关重要。添加最新技术可能是朝着正确方向迈出的一步,但如果不仔细考虑,组织可能会投资于一个工具和服务,却没有充分发挥其潜力。

托管XDR的顶级投资结论

您在托管XDR上的投资

很明显,许多组织都有一个商业案例,表明托管XDR应成为他们未来网络安全投资计划的一部分。

XDR提供的不仅仅是单独的EDR,包括减少误报数量、更准确的事件响应、全面的修复背景和简化操作。

此外,那些希望在其威胁检测和响应能力中包含UEBA能力的人应考虑XDR如何发挥作用。

XDR解决方案最终是许多组织应该采取的下一步,但与所有投资一样,我们可以看到批判性思维对于确保这是在正确的时间将正确的技术添加到组织的防御堆栈中是多么关键。

XDR的托管服务提供商

由于需要24×7×365的威胁检测和响应,拥有一个敏捷的XDR托管服务提供商是有优势的。

对于中小型企业,应考虑托管服务能提供什么,但也应在组织和服务提供商之间建立清晰的沟通和工作关系。

托管XDR解决方案和正确操作该技术所需的技能可以协同工作,为组织提供最大价值。

托管XDR解决方案可以使组织专注于对其成功和增长至关重要的核心活动,而不是花时间担心不断发展的威胁形势。

额外资源

通过观看这些视频访谈,了解更多关于托管XDR以及如何采用预防优先的安全策略的信息。

如何成功从反应性安全转向预防性安全

观看这场网络安全中心的独家对话,了解如何成功将您的业务从反应性网络安全态势转变为预防性态势。

观看视频:如何成功从反应性安全转向预防性安全

企业常常急于对上一次网络攻击做出反应,却无所作为防止下一次攻击。在当今日益增长的网络安全威胁中,从企业级到中小型企业的组织必须采取措施预防攻击,而不是简单地做出反应。

两位BlackBerry安全专家加入了网络安全中心前编辑Beth Maundrill,讨论:

  • 安全负责人今天面临的主要问题
  • EPP、EDR、MDR和托管XDR如何融入预防优先策略
  • 安全负责人在转向预防优先安全态势时应采取什么方法

如何实时优化威胁检测、调查、响应和威胁狩猎

观看这场与BlackBerry网络安全领导者的网络安全中心独家对话,了解如何实时优化威胁检测、调查、响应和威胁狩猎。

观看视频:如何实时优化威胁检测、调查、响应和威胁狩猎

随着数字化转型、数字独立性的扩展和远程员工的增加,组织今天开展业务的方式发生了巨大变化。寻找关键网络安全资源以对抗日益增长的网络犯罪组织也很困难。由于这些挑战,网络犯罪分子的机会和攻击风险呈指数级增长。

在与全球服务技术运营副总裁Tony Lee和BlackBerry解决方案战略副总裁Brian Robison的对话中,我们将讨论通过利用AI驱动的端点安全产品和复杂的网络安全托管服务进行实时活动的最佳防线。观看对话以了解:

  • SOC和IT团队需要实施什么来对抗今天的威胁行为者
  • 中小型企业如何实施企业级检测
  • BlackBerry在实施AI驱动的端点安全解决方案、优化检测、调查、响应和实时威胁狩猎方面取得了哪些成功

[在此处阅读报告的PDF版本]

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次