[调研]安全人员想从XDR平台获得什么?
企业战略集团(ESG)和美国信息系统安全协会(ISSA)近期发布的研究显示,58%的组织正在整合或考虑整合其合作安全供应商。毕竟,管理大堆相互割裂的安全工具实在是太难了,每个工具都要单独培训、实现、管理和持续支持。
整合供应商意味着组织将从更少的供应商那里购买更多的产品,而Check Point、思科、Crowdstrike、Fortinet、Palo Alto Networks、Trellix和趋势科技等大型网络安全技术巨头也明白这一点。因此,他们将网络安全技术“平台”交织在一起,形成针对安全技术产品需求的一站式服务。但是,供应商的计划符合客户的预期吗?
ESG和ISSA针对安全专业人士做了调研,询问他们对网络安全技术平台的定义:
29%的受访者认为这种平台是由单一供应商提供的专有安全产品套件;
67%的受访者觉得是开放异构安全产品套件,套件中的异构安全产品采用基于开放标准的API集成。
4%的受访安全专业人员选择了“其他”。
三分之二的安全专家都属意行业合作和开放标准真是令人欣喜。虽然略有点乐观,但平台方法的形成奠定了某种有意思的趋势。
考虑到这一点,ESG和ISSA进行了更加深入的研究,要求安全专业人员确定扩展检测与响应(XDR)、零信任、云原生应用保护平台(CNAPP)和安全接入服务边缘(SASE)等不同类型平台最重要的特性。
受访安全专业人员表示想从XDR平台获得以下功能:
43%的安全专业人员希望XDR平台能够提供威胁预防、检测和响应功能,包括控制、分析,以及响应操作手册。
42%的安全专业人员希望XDR平台能够覆盖整个攻击面,也就是全部混合IT基础设施,包括端点、网络、数据中心、云工作负载、SaaS、身份、物联网设备等等。
35%的安全专业人员希望XDR平台能够提供集中管理功能,换句话说,不用再在不同工具之间来回切换。
30%的安全专业人员希望XDR平台能够提供高级分析,包括现代数据管道、流处理、简易检测规则工程和后端机器学习功能。
26%的安全专业人员希望XDR平台包含用于丰富警报的威胁情报管理功能和“由外而内”的视角。换句话说,他们希望内部网络行为更贴合网络对手使用的战术、技术和程序。(听起来像是支持MITRE ATT&CK框架。)
需要补充的一点是,许多组织都希望拥有所有这些功能和一家能够提供托管服务的合作伙伴,从而让自家环境中的一切都运转良好。正如之前的ESG/ISSA调研报告所呈现的,大多数组织都面临人员和技术短缺的状况,亟需托管服务来帮助弥合人才缺口。
没错,关于XDR的确切定义,以及安全技术平台应该是什么样子,业内仍然存在很多分歧和戏谑,但尽管供应商和专家们还在喋喋不休地争来争去,网络安全专业人员却对其面临的挑战、不足和要求有着透彻的了解。而数据表明他们更喜欢基于开放标准的解决方案。或许,我们应该听听他们怎么说。
ESG调研报告:
https://static.rainfocus.com/rsac/us22/sess/1639666240807001ZwyB/finalwebsite/2022_USA22_PART2-T01_01_A-Sanity-Check-on-Technology-Viewpoints-from-Security-Professionals_1654111191226001KA30.pdf
参考阅读