结论
XDR是SOC的扩展,是现代SOC的重要组成部分。
背景
现代SOC的核心组成部分:威胁检测、响应。
现在,组织相信整合各类告警的价值;但组织缺乏专业知识和工具,导致其不了解攻击、被动应对威胁。很多组织没有SIEM、不懂SIEM、不会用SIEM。
本文将说明:
- 检验安全团队的人员、流程和技术的有效性。
- 买家对XDR的看法。
- 买家对XDR的偏好和顾虑。
- XDR的关键价值。
1.组织认为XDR能提高安全效率
- 组织需要威胁检测
调查显示,SOC团队需要更好的威胁检测和响应效率。安全团队认为TDR最关注的点是:改进高级威胁检测(34%)、自动化任务(33%)威胁平均响应时间(MTTR)(29%)。
- XDR的首要任务是检测复杂攻击
组织认为XDR是检测、识别、理解整个杀伤链中的复杂攻击的有效方案。XDR 解决方案可以跨端点、网络、服务器和云阻止攻击非常重要。
- 不同组织对XDR的期望差异很大
组织认为XDR能帮助解析问题,但数据显示,安全专家们不很清楚XDR到底是什么。
2.XDR的数据集成是一项重大挑战
- 大多数组织都面临数据集成问题。
组织在安全数据管理方面遇到许多问题,如过滤掉无效的警报(38%)、扩展处理平台(37%)、收集处理威胁情报(36%)、为处理构建有效的数据管道(34%)
- XDR 必须解决数据通道问题
为了克服数据管理问题和潜在的数据瓶颈、适应安全数据的数量、速度和多样性,XDR需要提供一个现代化的数据通道。组织认为XDR要优先解决的问题:改进数据管道(40%)、跨设备关联(39%)、集成更多数据(32%)。
3.XDR必须在短期内扩展 SIEM 能力
- 58% 的受访者认为 SIEM是最有效的威胁检测和响应工具
- SIEM是当今的核心SOC平台
最具有价值的SIEM功能:告警检测、安全操作、集成、可视化等
- SIEM面临很多问题
组织承认SIEM 成本高、维护复杂。34% 的人表示 SIEM 成本高, 32% 的人认为维护和运营 SIEM 成本高。30% 认为高级分析师可以发挥 SIEM 价值,初级分析师学习 SIEM 很困难。CISO们认为XDR能提高安全效率、降低操作成本、解决复杂性。
- XDR可以在SOC现代化中发挥核心作用
超过一半的人认为 XDR 能改善当前安全分析师的能力。XDR 可以改进威胁检测和响应,使SOC实现流程的现代化、集成和自动化。
4.XDR必须包括MDR 服务
- MDR正成为现代安全平台的重要组成部分
托管检测和响应服务 (MDR) 正在成为大多数现代安全平台的重要组成部分。
超过一半的组织认为 MDR 提供商的威胁检测做得更好。
73%的组织已经使用MDR提供商,43%的组织将MDR添加到现有MSSP合同中,42%的人开始购买MDR,38%的人将MDR视为技能提升的手段,35%的人需要MDR服务来提升员工技能。
数据似乎表明,单靠XDR技术是不够的、安全专业人员需要实际帮助。
- 一半组织对托管XDR感兴趣
数据显示,XDR 仅靠技术是不够的,需要与人结合起来产生价值。
组织对MDR感兴趣,鉴于这类广泛的服务要求,XDR 提供商必须与企业级MSSP合作或提供全套服务。
5.云检测响应较薄弱,是 XDR的好起点
- XDR可以从云安全可视或SIEM补充开始
43% 的受访者表示他们的组织将重点关注云、SaaS程序。这表明组织在云安全方面存在盲点。
三分之一的人表示,他们将通过补充或替代SIEM来启动XDR项目。
SIEM是一项基础SOC技术,大多数组织可能会将XDR添加到SIEM中,帮助初级分析师对事件进行分类、使用先进的威胁检测分析补充SIEM关联规则。
- 48%的组织在实施XDR后,会替换单点安全产品
6.XDR对大多数组织有吸引力
- XDR采用将快速发展
超过 80%的组织预计在未来 6-12 个月内进行 XDR 投资。XDR 资金可以来自 SOC 技术预算、EDR 预算、 甚至 SIEM 预算。
超过三分之一的人愿意投入新的 XDR 资金, XDR 解决方案提供商应该会在 2021 年蓬勃发展。
结论
XDR是SOC的扩展,是现代SOC的重要组成部分。
背景
现代SOC的核心组成部分:威胁检测、响应。
现在,组织相信整合各类告警的价值;但组织缺乏专业知识和工具,导致其不了解攻击、被动应对威胁。很多组织没有SIEM、不懂SIEM、不会用SIEM。
本文将说明:
- 检验安全团队的人员、流程和技术的有效性。
- 买家对XDR的看法。
- 买家对XDR的偏好和顾虑。
- XDR的关键价值。
1.组织认为XDR能提高安全效率
- 组织需要威胁检测
调查显示,SOC团队需要更好的威胁检测和响应效率。安全团队认为TDR最关注的点是:改进高级威胁检测(34%)、自动化任务(33%)威胁平均响应时间(MTTR)(29%)。
- XDR的首要任务是检测复杂攻击
组织认为XDR是检测、识别、理解整个杀伤链中的复杂攻击的有效方案。XDR 解决方案可以跨端点、网络、服务器和云阻止攻击非常重要。
- 不同组织对XDR的期望差异很大
组织认为XDR能帮助解析问题,但数据显示,安全专家们不很清楚XDR到底是什么。
2.XDR的数据集成是一项重大挑战
- 大多数组织都面临数据集成问题。
组织在安全数据管理方面遇到许多问题,如过滤掉无效的警报(38%)、扩展处理平台(37%)、收集处理威胁情报(36%)、为处理构建有效的数据管道(34%)
- XDR 必须解决数据通道问题
为了克服数据管理问题和潜在的数据瓶颈、适应安全数据的数量、速度和多样性,XDR需要提供一个现代化的数据通道。组织认为XDR要优先解决的问题:改进数据管道(40%)、跨设备关联(39%)、集成更多数据(32%)。
3.XDR必须在短期内扩展 SIEM 能力
- 58% 的受访者认为 SIEM是最有效的威胁检测和响应工具
- SIEM是当今的核心SOC平台
最具有价值的SIEM功能:告警检测、安全操作、集成、可视化等
- SIEM面临很多问题
组织承认SIEM 成本高、维护复杂。34% 的人表示 SIEM 成本高, 32% 的人认为维护和运营 SIEM 成本高。30% 认为高级分析师可以发挥 SIEM 价值,初级分析师学习 SIEM 很困难。CISO们认为XDR能提高安全效率、降低操作成本、解决复杂性。
- XDR可以在SOC现代化中发挥核心作用
超过一半的人认为 XDR 能改善当前安全分析师的能力。XDR 可以改进威胁检测和响应,使SOC实现流程的现代化、集成和自动化。
4.XDR必须包括MDR 服务
- MDR正成为现代安全平台的重要组成部分
托管检测和响应服务 (MDR) 正在成为大多数现代安全平台的重要组成部分。
超过一半的组织认为 MDR 提供商的威胁检测做得更好。
73%的组织已经使用MDR提供商,43%的组织将MDR添加到现有MSSP合同中,42%的人开始购买MDR,38%的人将MDR视为技能提升的手段,35%的人需要MDR服务来提升员工技能。
数据似乎表明,单靠XDR技术是不够的、安全专业人员需要实际帮助。
- 一半组织对托管XDR感兴趣
数据显示,XDR 仅靠技术是不够的,需要与人结合起来产生价值。
组织对MDR感兴趣,鉴于这类广泛的服务要求,XDR 提供商必须与企业级MSSP合作或提供全套服务。
5.云检测响应较薄弱,是 XDR的好起点
- XDR可以从云安全可视或SIEM补充开始
43% 的受访者表示他们的组织将重点关注云、SaaS程序。这表明组织在云安全方面存在盲点。
三分之一的人表示,他们将通过补充或替代SIEM来启动XDR项目。
SIEM是一项基础SOC技术,大多数组织可能会将XDR添加到SIEM中,帮助初级分析师对事件进行分类、使用先进的威胁检测分析补充SIEM关联规则。
- 48%的组织在实施XDR后,会替换单点安全产品
6.XDR对大多数组织有吸引力
- XDR采用将快速发展
超过 80%的组织预计在未来 6-12 个月内进行 XDR 投资。XDR 资金可以来自 SOC 技术预算、EDR 预算、 甚至 SIEM 预算。
超过三分之一的人愿意投入新的 XDR 资金, XDR 解决方案提供商应该会在 2021 年蓬勃发展。