当前,中小企业由于没有专业能力来管理和运营一套有效的安全体系,越来越多地求助托管安全服务(MSS)提供商以保护其业务系统安全。然而对于MSSP(Managed Security Service Provider,安全托管服务提供商)来说,搭建一套有效且易于管理的安全技术架构来为客户提供可靠的安全服务也并非易事,其实现过程同样困难重重。
XDR(扩展威胁检测和响应)技术的成熟让我们看到了希望,与MSSP目前采用的大多数传统安全架构相比,XDR技术有望以更低的成本实现更高的安全级别。它可以帮助MSSP提升服务能力,并改善服务收益,特别是在面对中小企业客户时,效果更加明显。未来,MSSP势必会因为XDR技术而改变服务策略,并从这项技术中获得运营收益。
XDR赋能MSS价值提升
通常,XDR为MSSP提供的基本功能包括:扩展威胁检测能力,以增强威胁可见性;关联安全数据,以提高准确性,并将警报整合到事件中;在企业整个网络环境中扩展、协调和自动化开展安全事件的响应。相比于购买和集成一套传统的安全技术,XDR技术提供了更高的安全级别。由于XDR技术旨在改进威胁检测、调查和响应,并实现自动化,因此它理论上可以准确地预防更广泛的威胁。
除了安全能力方面的改进外,XDR解决方案还可以为MSSP降低成本——有些XDR解决方案包括多个威胁情报来源和基础安全功能,可以让MSSP以较小成本替换现有技术,同时,还有一些XDR解决方案提供增强自动化,可以让MSSP大幅减少人工调查和响应时间和需求,减轻对专业安全人员的依赖,从而降低成本。
三种XDR实现方法
XDR技术的应用,与XDR提供商所依赖的不同技术方法有关。目前,主要有三种实现方法:原生XDR、开放XDR和混合XDR。
•原生XDR
由单一供应商提供所有组件的XDR解决方案被视为原生XDR。这意味着,买家无需购买额外技术解决方案就可以享受原生XDR平台带来的好处。一般来说,原生XDR平台由拥有强大EDR产品的供应商提供。由于原生XDR平台包含客户需要的所有组件,理论上讲可以顺畅地工作,无需集成。在原生XDR平台中,MSSP可以消除冗余工具,而不用担心多供应商技术架构带来的长期集成和升级问题。它的一个缺点是,原生XDR没法定制,因此需要确保解决方案提供用户需要的一切功能。
•开放XDR
需要与多家第三方提供商产品或技术集成(尤其是遥测方面)的XDR解决方案被视为开放XDR。开放XDR平台集成并关联来自第三方工具的信号,以检测威胁,还依赖第三方工具来实施建议的响应操作。一般来说,开放XDR平台由没有EDR产品的供应商,比如SIEM和SOAR提供商以及较新技术的供应商提供。
开放XDR平台可以让MSSP继续使用当前的大部分工具,或者可以将任何组件集成到开放XDR平台中。开放XDR平台很灵活,MSSP可以换入换出同类中较佳的工具组件。然而,由于大多数现有技术仍然需要为开放XDR引擎馈送数据,这就会使开放XDR平台增加成本。至于第三方工具可以多顺畅地集成到开放XDR平台并与之协调,这也还是个未知数。同时,买家也需要谨慎选择和对待SIEM。
•混合XDR
一家供应商为XDR解决方案提供几乎所有的组件,同时允许集成第三方工具,被视为混合XDR。这意味着买家不一定需要购买额外的技术解决方案并将其集成到XDR平台中,就可以实现相应的功能,但也可以集成第三方工具,以扩展或替换平台原有的技术。混合XDR平台通常由拥有EDR解决方案的供应商提供,尤其是希望把一套广泛的解决方案整合到平台中的大型供应商。
混合XDR平台理论上可以提供原生XDR平台和开放XDR平台的好处。不过这有两个前提:一是混合XDR提供商有一套强大的原生工具,二是混合XDR平台可以无缝集成众多第三方工具。然而,一些混合XDR提供商实际上是把一堆集成度很差、几乎没法协同使用的工具拼凑起来,仅此而已。
结 语
MSSP从XDR平台获得益处在很大程度上取决于提供商的方法和其实际实施。尽管XDR前景广阔,但MSSP必须谨慎投资XDR解决方案,原因是有不少安全厂商都开始进入XDR领域,但其实际交付能力还有待市场的进一步验证。