IBM Security QRadar XDR 简介

当被问及未来 12 个月内推动 IT 支出的业务重点时，ESG 的 2021 年技术支出意向调查中超过一半 (47%) 的受访者提到了网络安全。1 这是一个重大的认识。在云计算、数字化转型和远程工作者支持的时代，组织需要坚实的网络安全程序和控制作为企业健康和盈利的基础。

鉴于业务、信息技术和安全之间密不可分的联系，我们有理由推测，各公司已经更新了其安全运营中心 (SOC)，以便实时识别和应对网络威胁。然而，这种假设是不正确的——许多 SOC 团队未能跟上新威胁的步伐。威胁检测和响应的现状如何？在不久的将来，是否有任何可喜的进步？本白皮书最后写道：

• 组织有各种威胁检测和响应目标。SOC 团队的威胁检测和响应目标包括改进对高级威胁的检测、提高补救活动周围的流程自动化以及缩短事件响应 (IR) 时间。这些目标表明当前的策略是无效的。
• 有多种威胁需要识别和应对。威胁检测和响应专业人员承认存在一系列障碍，包括安全操作复杂性增加、资源限制、攻击面不断增加/变化、对不相连的点解决方案产品的依赖以及数据分析和决策困难。这些挑战影响了安全运营分析师的效力、效率和生产力。
• DR 可能有助于识别和应对威胁。与 ESG 的安全运营和分析平台架构 (SOAPA) 一样，XDR（扩展检测和响应）已发展成为一种商业安全运营架构。即使 XDR 仍处于早期阶段，它也有潜力在更新 SOC 的同时提高威胁检测和响应能力。
• 最好的 XDR 系统应提供企业级功能。ESG 认为，XDR 系统应提供跨异构 IT 基础架构的事件响应覆盖、强大的分析功能和自动化剧本。XDR 应基于云，并利用行业标准、开放 API 和通用数据格式进行设计，以满足可扩展性和集成要求。领先的 XDR 供应商还将通过合作伙伴关系和开发人员支持服务来促进集成。

美国的威胁检测与响应

大多数公司将威胁检测和响应放在首位，因为勒索软件和供应链漏洞等网络攻击可能会破坏甚至停止商业运营。因此，83% 的公司预计在未来 12 到 18 个月内将增加对威胁检测和响应技术、服务和人员的支出。组织有各种威胁检测和响应目标来对抗网络威胁，包括：

• 增强对复杂威胁的检测。组织旨在改进检测规则和分析，以加快对已知和未发现威胁的检测。增强检测的方法包括增强异常检测、提高安全警告的保真度、在整个杀伤链中提供更详细的攻击“时间线”，以及支持更高级威胁搜寻的复杂查询。
• 提高补救任务的自动化程度。威胁缓解和事件响应的安全操作职责通常依赖于手动程序和 SOC 团队的“部落知识”。这种做法在 2010 年可能很合适，但手动方法无法满足跨异构 IT 基础架构的安全警报或分析要求的数量。SOC 团队认识到需要自动化重复操作并协调警报分类、安全调查和威胁预防的反应行动。自动化可能有助于简化操作、提高分析师的工作效率，并使 SOC 团队专注于持续改进。
• 缩短应对威胁的平均时间。一旦发现威胁，必须迅速开始事件响应，以减少对手的停留时间并限制损害。这包括阻止主动网络攻击、确定攻击的爆炸半径，以及最终修复任何残留漏洞或攻击残余。CISO 了解加快这一过程的必要性。

来救援吗，XDR？

ESG 认识到紧密集成安全运营技术的需求，于 2016 年首次提出了“安全运营和分析平台架构”理念。这种集成形式正逐渐获得发展势头。在最近的 ESG 研究项目中，安全专业人员被问及他们的公司是否优先考虑安全分析和运营技术的集成。37% 的受访者将集成安全分析和运营技术列为首要任务，而 56% 的受访者表示这是他们的五大目标之一。

下载 ESG 的白皮书，了解有关仅在线白皮书上介绍 IBM Security QRadar XDR 的更多信息。