XDR 是一项不断发展的技术,可以为安全运营团队提供统一的威胁预防、检测和响应能力。这项研究为 SRM 领导者了解和评估 XDR 平台对其需求的适用性提供了战略指导。
主要发现
-
安全和风险管理 (SRM) 领导者继续寻求安全供应商和产品整合,以管理风险并提高安全运营生产力。扩展检测和响应 (XDR) 供应商正在这种整合中发挥作用。
-
最初采用 XDR 的组织主要是安全团队规模较小的组织,这些组织可能尚未充分利用安全信息和事件管理 (SIEM)/安全编排自动化和响应 (SOAR) 产品。
-
XDR 将成为买家在为其安全运营计划寻求战略架构决策时需要评估的越来越重要的功能。XDR 围绕多种产品构建,旨在为工作空间安全、网络安全或工作负载安全领域提供更全面的产品。
建议
希望提高威胁检测和事件响应能力的 SRM 领导者应该:
-
当可以证明安全功效和安全运营生产力得到改善时,评估利用 XDR 的供应商整合策略。
-
首先评估现有 SIEM/SOAR 中任何未使用的功能,以确保 XDR 能够弥补威胁检测和响应计划中的任何特定差距。XDR 不应取代已经部署并有效运行的 SIEM/SOAR。
-
评估 XDR 的整体效用,而不仅仅是组件,需要考虑的功能包括功能编排和自动化;快速、即时的反应;和高级安全分析。
战略规划假设
到 2028年底,XDR 将部署在 30% 的最终用户组织中,以减少他们现有的安全供应商数量,而目前这一比例还不到 5% 。
市场定义
扩展检测和响应 (XDR) 为安全基础设施提供安全事件检测和自动响应功能。XDR 将来自多个来源的威胁情报和监控数据与安全分析相集成,以提供安全告警的情境化和关联性。XDR 必须包含本机传感器,并且可以在本地交付或作为 SaaS 产品交付。通常,它由安全团队较小的组织部署。
市场描述
XDR 是一项不断发展的技术,有望提供更统一、更高效的方法来检测和响应威胁。它旨在以最少的定制来提高运营效率。XDR 市场由提供紧密集成的安全产品的供应商组成,这些产品在整个普遍部署的安全基础设施阵列中提供常见的威胁预防、检测和事件响应功能。
XDR 市场正在不断增长,各种供应商、方法和背景的产品不断涌现。XDR 产品将吸引务实的安全领导者,他们没有资源来增加大量不同的安全产品和/或难以从 SIEM 和 SOAR 工具中获得全部价值。XDR 部署的缺点是它们通常不太开放,并且通常提供的用例少于SIEM。此外,SOAR 产品通常用于自动化以及事件响应任务。
XDR可以通过以下方式提高安全运营能力:
-
在组件之间立即共享威胁情报,以有效阻止所有组件之间的威胁。
-
将来自多个组件的弱信号组合成更强的信号。
-
通过自动关联和确认告警来减少错过的告警。
-
整合所需的相关数据以进行准确、快速的告警分类。
-
提供带有加权指导的集中配置,以帮助确定活动的优先级。
XDR 可以通过以下方式提高安全运营人员的工作效率:
-
将大量告警转换为可有效手动调查的浓缩事件。
-
提供集成的事件响应选项,这些选项具有来自所有安全组件的必要上下文,以快速解决告警。
-
提供超越基础设施控制点的响应选项。
-
为重复性任务提供编排和自动化功能。
-
通过提供跨安全产品的通用管理和工作流程体验,减少完成操作任务所需的培训和技能。
-
提供可用且高质量的检测内容,几乎不需要调整。
o 这应该超出安全领导者对纳入 XDR 的单点产品的现有预期。
o 示例包括使用MITRE ATT&CK框架进行威胁分类/可视化,以及产品自动响应已知事件的能力。
图1:核心 XDR组件和功能。
XDR 是需要安全领导者识别和评估的多个层的组合。这些层可以被识别为仪表板、传感器/响应和分析/自动化。
传感器/响应
XDR 产品必须提供至少两个本机安全传感器,其中一个是终端。日志提取也是强制性的。终端之外的安全传感器可能包括但不限于:防火墙、入侵检测系统 ( IDS)、网络检测和响应 (NDR ) 、身份、电子邮件安全、移动威胁检测和云工作负载保护。其任务是这些是针对威胁和响应的传感器,可以比单个项目本身提供的更大的整体。
分析和自动化层
该层应包括:
-
所有组件的统一策略引擎。
-
集中式数据存储,可跨多个地理位置使用,用于存储和处理来自XDR 组件产品的监控数据以及其他数据源的相关生态系统。
-
通常通过 API 与第三方产品集成,以获取额外信号或采取补救措施。此功能是 SOAR 产品的完整功能或子集。
-
对来自 XDR 组件的监控数据进行高级分析,以预处理和关联告警,以提供更少数量的高价值告警并减少误报。
-
通过安全运营和事件响应流程的本地编排和自动化,为分析师执行自动化、编排和工作流功能。
-
检测和处理内容以关联事件并改进多个信号的工作流程,这些信号与传统的单点解决方案威胁内容相互独立且互补。
XDR 提供的总体成果,一般来说,XDR 应:
-
拥有集成良好的功能,组织只需进行最少的集成工作即可使所有组件充分发挥作用。这必须明显优于使用离散点产品时的要求,因为 XDR 应提供相当大的运营效率优势。
-
主要(但并非唯一)利用供应商自己的生态系统来进行预防、检测和响应用例。
-
拥有支持预防、检测和响应用例的内容和工作流程,通过减少停留时间和遏制威胁的时间来减轻操作工具的负担。
-
使用高级分析来利用多个监控来源来实现更有意义的威胁检测用例。
-
使用来自供应商本地研究小组的威胁情报,并支持一系列第三方情报源,使该工具能够更有效地发挥作用。
-
拥有足够广泛的传感器覆盖范围,并有能力对安全运营计划进行可靠的改进,并增加现有投资的价值。XDR 必须能够显着提高特定组织的威胁检测和响应能力。
-
提供对内容的支持,包括配置建议的评估,并帮助用户进行指导性的最佳实践策略配置和对检测到的事件执行的运营。
-
提供与 IT 运营工具的集成,例如用于票务工作流程的 ITSM 工具。
-
显着缩短事件检测时间和补救时间。
市场方向
维持性创新与颠覆性创新
与一般安全运营、事件响应和威胁搜寻功能等用例有重叠。从产品的角度来看,XDR是从 EDR 发展而来,现在与 SIEM/SOAR 竞争。XDR产品将对现有SIEM/SOAR供应商带来竞争压力。虽然 XDR 无法取代所有用例中对 SIEM 的需求,但 XDR 可以替换或增强特定安全域的 SIEM 威胁检测和响应用例。我们预计 SIEM 供应商将扩展 XDR,为其产品提供半自动响应,以涵盖威胁检测和响应用例。
与 SIEM 产品不同,XDR 致力于仅满足安全基础设施中的事件响应用例。它们的目的并不是解决合规性、全栈应用程序安全性或SIEM 目前支持的大量运营用例。此外,XDR并非旨在成为主要的长期日志存储设施。成功的 XDR 可以跨异构日志存储工作,使用威胁检测分析实时整合相关日志数据,并且通常专注于较短的保留期。
安全团队规模较小,风险并未降低
威胁很少关注最终用户组织的规模和成熟度。XDR 正在进一步完善技术,使其在供应商的融合平台产品中更加集成和全面。这意味着较小的团队可以使用更少的工具来完成更多的事情。
如今,XDR 对于缺乏资源来构建具有 SIEM/SOAR 覆盖的点产品的复杂矩阵,但正在寻找能够以较低运营开销提供即时价值的选项的组织来说是理想的选择。虽然大型组织的例子明显存在,而且这种情况也将继续增长,但更多的 XDR 部署是针对小型组织的。
封闭与开放
大量供应商声称提供不符合 XDR 功能的XDR 产品。他们以符合自己的世界观的方式采纳了我们对 XDR 的定义,并使用了OpenXDR 等术语。在这一点上,重要的是要利用上下文来充分理解 OpenXDR 的含义。一方面,我们发现当供应商的产品没有提供足够的本机传感器但提供与第三方传感器的广泛集成时,通常会使用 OpenXDR。另一方面,XDR 产品的基础是原生支持“开放”、记录完善的 API,从而提供与系统集成的能力。
相反,我们看到供应商表示他们的 XDR 只能在其生态系统内运行。一家声称拥有 XDR 产品但无法从第三方获取信号的供应商提供的 ClosedXDR 违反了 XDR 的前提,并将客户锁定在其产品中。
在考虑 XDR 产品时,应少关注术语(例如 OpenXDR),而更多关注所需的结果。开发您的用例并根据这些用例评估产品功能,以做出有意义的业务决策。确保包含您的组织所需的预定义内容和集成。
与托管检测和响应服务的关系
虽然 XDR 是预防、检测和响应产品集,但托管检测和响应 (MDR)可以是XDR 产品的消费者,这些产品提供以结果为中心和更多的“服务”。工艺和技术灵活。在 MDR 提供商使用的技术中,MDR 和 XDR 的目标存在一定的相似性。MDR 提供商可能会选择使用 XDR 产品作为其核心服务交付平台,尤其是那些已经提供类似自己的XDR产品并为其提供托管服务的供应商。
XDR 是 MDR 服务营销中越来越常用的术语,但这可能会产生误导。在选择安全产品时,他们可能决定通过供应商交付服务包装器 (VDSW) 服务层来补充 XDR 来运营该技术,从而产生更像MDR 的交付模型。
XDR 等技术的预期结果是由加农要求、产品之间的集成以及对通用接口的需求驱动的。服务成果将由 24/7 覆盖等项目的需求驱动,将上下文应用于 XDR 等平台提供的事件告警。其他好处包括根据业务风险理解确定安全事件的优先级以及在采取行动时补充人类专业知识。
市场分析
由于其快速发展的性质,XDR 市场规模难以计算。虽然一些 XDR 提供商对其 XDR 收费,但常见的模型是 XDR 功能是多功能产品的组件。因此,我们预计 XDR 收入不会成为受到广泛关注的市场指标。相反,对 XDR 供应商进行标准化并围绕 XDR 框架积极整合安全工具的公司比例将更有意义。如今,我们估计5%的目标组织已围绕 XDR产品进行整合。Gartner 调查显示了对评估 XDR 改进的架构优势、更好的预防/检测/响应以及更高效的技术运营的浓厚兴趣,尽管许多询问来自供应商。此外,多次致电都是由 EDR 分析师领导的 EDR 调查的一部分。
XDR 将继续推动安全市场的整合,较大的供应商收购较小的公司,以填补其产品组合的空白,从而满足 XDR 的要求。
用例
组织正在寻找能够提高安全运营效率的产品。XDR 可以通过多种方式提供价值,其中最突出的用例如下所述。
用例 1 :通过预构建集成将安全产品融合到单个供应商
XDR 可以帮助推动多个安全组件的整合,例如 EDR、SEG 和 NDR,以集成、关联数据和告警并使其情境化。安全整合的主要目标是改善组织的风险状况,同时降低运营复杂性。
在 Gartner 2022 年安全供应商整合 XDR 和 SASE 趋势调查中:
-
43% 的受访者正在追求/计划追求 XDR,专门用于安全供应商整合目的。
-
XDR 通过减少平均检测时间和平均修复时间来提供价值。
调查显示,超过一半的组织已经或计划集成专注于入侵和威胁检测的网络安全产品,例如网络检测和响应 (NDR) (57%) 或云访问安全代理 (CASB) (49%) (见图2 )。在许多关于 XDR 的 Gartner 调查中,客户提到终端检测和响应 (EDR) 和电子邮件安全产品是初始传感器类型。由此,我们可以看到,XDR 为特定安全域(即工作区安全)提供集成的事件响应,同时向其他安全域(即物联网、应用程序安全)的主要 SIEM 报告。
图 2:已集成或计划集成到 XDR 的主要组件
用例 2:实施威胁情报
小型组织通过使用威胁情报来提高数字业务弹性的能力在各种技术和服务中不断成熟。XDR 正在成为提供更多对可操作且及时的威胁情报的访问的主要方法之一。实际效益将通过以下方式呈现:
-
拥有云交付的控制台,允许搜索、响应和仪表板,以加快围绕威胁检测和事件响应活动的安全运营。
-
能够支持和改进威胁预防用例。
-
能够一次性获取威胁情报并在一系列曾经是单独的产品中利用它。
-
能够存储和处理大量机器可读的威胁情报,以提高 XDR 的预防、检测和响应效率。
-
能够通过 API 进行双向集成,以允许以下用例:
o TI 消息人士将推向 XDR。
o 从其他外部源获取的 XDR。
o 从 XDR 中提取用于其他用例的其他工具,例如服务提供商使用的威胁检测(例如,MDR/VDSW)。
-
不仅能够利用 MRTI,还能够本地使用人类可读的关于历史和新兴威胁的分析报告。
XDR 提供的可用且可运营的威胁情报量将比现在高出一个数量级。
用例 3:最大限度地提高检测和响应平台的内置自动化功能
自动化和编排在安全领域已经发展了至少七年,最突出的例子是安全编排以及自动化和响应(SOAR)市场。然而,SOAR 并不局限于仅在单点产品中可用。相反,它同时在包括 XDR 在内的许多其他市场激增。事实上,许多供应商多年来一直在收购 SOAR 供应商,自 2019 年首次定义以来,Gartner 表示编排和自动化是可信 XDR 的必备功能。此用例的示例包括:
-
XDR 供应商提供“安全流程”内容,以补充几十年来一直是网络安全主要内容的威胁内容。这种“流程”内容可以采用简化安全操作的指导工作流程的形式。
-
最终用户还可以创建自己的编排/自动化内容。例如:
o 如果设备上检测到恶意软件,XDR 可以自动继续执行以下操作:
§ 向身份基础设施发出信号以暂时锁定该帐户。
§ XDR 内发出信号,对 XDR 仪表板内与该设备和用户相关的所有事件执行取证审查。
§ 从 XDR 内部向 XDR 前端终端产品外部向其他控件(例如 SIEM、防火墙、云安全)发出信号,表明已发生感兴趣的事件并且需要采取操作/告警。
§ 向SSE 产品发出信号,阻止受调查的用户和/或设备从任何云服务下载到任何设备。
o 此外,一旦进行了必要的补救活动,就可以返回 XDR 的控制并重新启用该用户设备,同时向其他技术发送信号以重新启用该用户的访问权限。
-
威胁发起者 APT<n> 并未利用新漏洞、新恶意软件以及新的命令和控制基础设施,并且 XDR 将能够将自动化应用于:
o 执行自动威胁狩猎,查找这些 IoC 和/或 TTP 的任何示例。然后提醒分析师注意此活动,然后启动更多编排/自动化来对发现的结果采取行动。
o 部署这种新的智能,以确保在 XDR 的控制范围内主动预防/检测到这种情况。
使用案例 4 :更高的检测效率与增强的响应协调相结合
跨不同监控和告警运行的紧密集成的安全分析提供了从单一来源或类型的信息根本无法获得的见解。至关重要的是,它能够以更少的干扰实现更有效的功能。
许多攻击会生成多个标志和妥协指标,这些标志和指标由安全产品识别,并根据准确性和风险进行排名。就风险水平而言,特定指标可以被认为高于特定阈值。如果是这样,那么这将立即触发缓解措施或向安全分析师发送告警以进行进一步调查。攻击者很清楚这一点,并且更复杂的攻击者通常会进行“低速且缓慢的攻击”。这些指的是攻击者故意缓慢移动,因此任何告警都会在一般遥测中丢失。也可能出现这样的情况:告警之间的时间足够长,以至于没有建立关联,从而无法生成告警。在这种情况下,可以将多个低级别警告链接在一起,以计算出正在发生更严重的情况并向适当的人员发出告警。
如果没有 XDR,这也是可能的,但需要将风险阈值降低到误报率极高的程度。通过将产品集成在一起并寻找它们之间的联系,我们可以更接近安全涅槃,即保持高敏感度阈值,同时仍能捕获攻击。
代表厂商
希望改进预防、检测和响应计划的 SRM 领导者应考虑 XDR 提供云交付且集成度更高的解决方案的能力。XDR 还可以通过减少组织现有的安全运营提供商的数量来协助供应商整合。
表1 :提供 XDR 的代表性供应商
供应商 | 产品名称 |
CrowdStrike | Falcon Insight XDR |
Cisco | XDR |
Fortinet | FortiXDR |
Trellix | XDR |
365Defender | |
Palo Alto Networks | Cortex XDR |
SentinelOne | Singularity |
Stellar Cyber | OPEN XDR |
Sophos | XDR |
TrendMicro | Trend Vision One |
提供各种 XDR 功能(也可以满足组织的要求)的供应商包括 |
资料来源:Gartner(2023 年 8 月)
市场建议
Gartner 预测 XDR 将成为未来几年的颠覆性趋势。以下是安全领导者在使用该技术时应考虑的一些实用指南。
首先使用你所拥有的
探索现有单点产品集成中的功能,例如 SIEM/SOAR/EDR/EPP。此外,确保任何拟议的 XDR 至少涵盖现有功能,以及整体威胁检测和响应计划中无法通过更有效地集成现有产品来解决的任何其他相关差距。
以最低限度实现成本中性为目标,同时考虑运营成本节约
许可模式多种多样,因为XDR 可以作为更大产品组合的免费组件或收费升级提供,也可以作为单个 XDR 解决方案单独出售。定价通常与终端数量相关,但也可能包含数据量组成部分,这对于确定确保您获得改进的功能与价格结果至关重要。
与您现有的单点产品相比,迫使供应商至少保持成本中性:
-
请求有竞争力的排量折扣(尤其是在第一年),以抵消临时并行运行多个产品的过渡成本。
-
从其他产品过渡到此新 XDR 时,您未使用的 XDR 组件需要减免价格。
-
不仅要评估产品成本,还要评估项目工作的全部成本,其中包括迁移等项目以及与安全操作和事件响应相关的其他相关流程更新和培训。
-
评估威胁检测功效。这很重要,但它必须明显更容易日常操作,并且节省的时间应该成为您整体投资回报率评估的一部分。
评估集成和自动化,而不仅仅是单点产品的数量
XDR 的一个关键区别在于它作为平台与单点产品组合的性能表现如何:
-
子组件的集成程度与它整合的产品数量同样重要。
-
确保XDR 附带并支持创建直接针对自动化和工作流程的附加“面向流程”内容。
-
确保 XDR 支持多通道响应和遏制功能,例如:
o XDR 可以从终端、云、日志和网络等多个点检查环境的其他部分是否发现了妥协指标 ( IOC )。
o XDR 能够从一个通道进行检测,并在 XDR 支持的所有通道上应用自动响应运营。
o 识别 XDR 策略的错误配置,并在工具的配置与组织面临的威胁不一致时通知用户。
让XDR成为长期投资,评估生态系统整合的广度和深度
XDR 越容易集成到现有的环境中,投资就越好。评估两者的集成:
-
进入 XDR —允许 XDR 通过 SOAR/SIEM 和 ITSM 工具以及托管服务提供商以编程方式进行交互。
-
来自 XDR — XDR 可以推动与其他产品的集成,这些产品可用于以威胁为中心的用例,以提高效率。通过这种方式,XDR 可以成为其支持的其他产品的指挥中心,充当安全运营平台。
确保您可以根据需要获得更长的数据保留期
虽然 XDR 提供数据存储,但通常是短期的。虽然 30 到 90 天对于核心 XDR 用例来说通常就足够了,但能够通过合适的低成本存储选项和归档来增加这一时间可能是一些安全领导者所看重的功能。
受监管的行业很可能有外部和内部合规性要求,规定从各种服务中收集事件和安全日志。保留这些数据用于以后的检索、检查或取证访问——无论所存储的日志数据的实际价值如何。