【原】XDR和警报疲劳由来已久的问题

祺印说信安 2023-01-15 发布于河南

展开全文

XDR 在威胁检测、调查和响应方面的全部价值只有当它被视为一种架构时才能实现

451 Research研究在2021对英国高级网络安全专业人员进行的调查结果的基础上进行的。这项研究队列扩大到了英国、美国和澳大利亚的750名高级管理人员，该研究考察了当今分布式企业实施网络安全自动化的驱动因素，探讨了常见的用例、面临的典型挑战以及自动化采用的障碍。2022年报告还确定了企业网络安全自动化成熟度的水平。它着眼于扩展检测和响应（XDR）的兴起如何影响组织对自动化的需求，以及董事会对网络安全报告的兴趣程度。

根据451Research 的并购知识库，2021年的网络安全并购活动总交易额达到 741 亿美元，创历史新高。促成这一增长的是，扩展检测和响应 (XDR) 在 19 个月内从零交易增加到28笔交易，预计将推动持续的并购活动，这是有充分理由的。451 Research将其研究扩展到 XDR，最近发现 XDR 现在是报告最频繁的 SIEM/安全分析增强领域，43% 的受访者认为它是与这些核心安全运营技术相结合的顶级技术。

威胁检测和响应达到拐点

2022 年安全运营调查着眼于安全运营 (SecOps) 技术和服务的趋势。它扩展了我们之前对这些产品的重要性、它们的属性以及它们为组织提供的应对威胁形势的能力的研究。

威胁检测和响应继续重塑安全运营的现状。扩展检测和响应 (XDR) 首次成为被引用次数最多的技术类别，它与安全信息和事件管理/安全分析相结合，将威胁情报排除在外，尽管幅度很小。虽然 SIEM 仍然是 SecOps 的支柱，但威胁检测和响应已成为技术和托管服务的首选。有些人可能会争辩说，威胁检测和响应始终是 SIEM/安全分析的一个方面。虽然这可能是真的，但采用的证据表明这些新进入者对该领域产生了影响。专注于该领域多种功能的产品是 SecOps 市场的一个方面，它将继续存在。

调查结果摘要

XDR 已成为最常报告的 SIEM/安全分析增强。在我们之前的信息安全研究中，威胁情报经常被认为是与 SIEM/安全分析相结合的顶级技术——而且通常有很大的差距。在我们的 2021 年信息安全、供应商评估研究中，威胁情报被 49% 引用，事件响应工作流程以 36% 位居第二。在我们 2022 年的调查中，XDR 位居榜首，但排名靠后。在 43% 的受访者中，XDR 以一个百分点的优势领先威胁情报工具或源，但无论如何它都是一个转折点，标志着威胁检测和响应对安全操作的影响增加的里程碑。

对于集中式安全分析，SIEM 仍然是支柱，而端点检测和响应 (EDR) 在检测和响应方面处于领先地位——托管服务表现强劲。当被问及组织使用哪些技术作为其安全运营集中分析平台的一部分时，SIEM 继续领先，占 44% 的受访者。然而，EDR 以 41% 紧随其后。然而，下一个最频繁的响应指出了服务选项的优先级，33% 的人表示托管检测和响应服务是他们集中安全分析的一部分。

对于 SIEM/安全分析供应商，输出质量仍然非常出色，威胁情报的集成是重中之重。2022 年，报告和警报的质量、威胁情报的集成和关联以及设置、实施和调整的简便性仍然是 SIEM/安全分析供应商的三大属性。与上述 2021 年研究相比，受访者非常重要。与此同时，包括机器学习和行为分析在内的高级分析方法的整合在 2022 年取得了进展，51% 的受访者认为这非常重要，而 2021 年这一比例为 41%。

大多数人认为云资产警报非常重要。58% 的受访者表示，SIEM/安全分析供应商支持对本地以外的架构（例如，云、IaaS 和 SaaS 环境）发出警报非常重要，另有 36% 的受访者称此属性有些重要。这表明，不仅有机会在安全运营中实现 IT 可观察性，而且还需要安全运营团队在云原生环境方面的专业知识。

尽管取得了进展，但 SecOps 团队仍在与警报过载作斗争。受访者表示他们无法在典型的一天进行调查的安全分析生成的警报的平均百分比为 48%。这个数字比之前引用的 2021 年研究中的 41% 有所增加。虽然侦探和分析技术正在优化安全运营方面取得进展，但技术不断扩大的范围和复杂性继续给 SecOps 团队带来压力。然而，这也可能会进一步激发人们对托管检测和响应服务的兴趣。

增强是关键词。SIEM 已经在聚合来自不同工具的日志和事件，并创建自己的警报。使用 XDR 进行增强以在整个企业中获得更广泛的可见性是一件好事，因为坏人会利用漏洞来获取优势。但意想不到的后果是警报的数量增加了一个数量级。因此，这些调查受访者还表示他们仍在为警报过载而苦苦挣扎也就不足为奇了；在通常的一天，48% 的警报未经调查，高于去年调查中的 41%。多年来，警报疲劳一直困扰着安全分析师。在更多区域添加更多检测会加剧该问题。

要扭转这种趋势，我们需要将 XDR 视为一种架构方法，而不是一种解决方案。当 XDR 被定义为专注于集成和自动化的开放平台时，分析师可以快速连接点，了解整个环境中发生的事情，并确定是否应将警报升级为事件响应。

要事第一：整合。

XDR 架构必须支持与企业拥有的任何工具的集成，包括所有内部数据源——SIEM 系统、日志管理存储库、案例管理系统和安全基础设施——在本地和云端。它还必须与组织订阅的多个外部数据源集成——商业、开源、政府、行业和现有安全供应商，以及 MITRE ATT&CK 等框架。与 RSS 提要、研究博客、新闻网站和 GitHub 存储库的集成可帮助分析师跟上新信息，这些信息提供额外的上下文以进一步通知警报分类。

除了支持数据流动和丰富上下文之外，集成还打破了团队在其中运作的孤岛，这样他们就可以看到整个环境中真正发生的事情的大局，并进一步调查。与现有工具集成并跨现有工具实现可见性、协作和更深入的理解。团队可以使用他们已经熟悉的工具一起工作，以更快地做出更好的决策。

接下来是自动化。

集成是 XDR 架构的核心属性。但是，将数据整合在一起并打破孤岛的能力还不够。自动化也是必需的，因为分析师自己根本无法理解所有这些数据。然而，尽管一项全球调查发现人们对安全自动化的信心正在上升，但只有 18% 的受访者将自动化应用于警报分类。这是一个错失的机会，因为警报分类的重复性、低风险、耗时的任务——如内部和外部数据规范化、关联、上下文化和优先级——是自动化的主要候选对象。

自动化通过减少噪音和误报并使团队能够快速利用所有可用数据的丰富性来全面了解正在发生的事情，从而简化了警报分类的工作。根据他们设置的参数，团队可以更快地获得重要的警报，并且由于集成，相关数据可以显示在一个屏幕上，因此分析师可以更轻松、更快速地进行调查、检测整个企业的恶意活动并加快解决速度.

在可预见的未来，XDR 似乎注定要成为安全基础设施的核心。但只有当它被视为一种架构时，它对威胁检测、调查和响应的全部价值才会实现。否则，它只是增加了我们以前无法处理的警报量的又一个工具，它不会打破孤岛，也无法在整个组织内实现协作、决策制定和响应。这当然不是任何人为 XDR 打算的结果，而且让这种情况发生的风险太大。