1、SOC 现代化和 XDR 的作用1 2022 TechTarget,Inc.版权所有。返回目录SOC 现代化和 XDR 的作用 2022 年 6 月Jon Oltsik，ESG 高级首席分析师兼研究员Dave Gruber，首席分析师 2022 TechTarget,Inc.版权所有。Enterprise Strategy Group|Getting to the bigger truth.SOC 现代化和 XDR 的作用2 2022 TechTarget,Inc.版权所有。本研究旨在：分析支持安全运营现代化的人员、流程和技术。确定目前业界对作为安全运营现代化组成部分的 XDR 的看法和作用。

2、确定关键价值点、支持这些价值点所需的指标，以及对用于实现 XDR 和 SOC 现代化的产品和托管服务的预期要求。了解用于自动分类、加快调查并帮助组织发现未知威胁的策略。研究目标安全运营需要大规模地收集、处理、分析大量数据并采取相应行动。早期 XDR 主要依赖两种数据源：终端和网络。虽然这相对于独立式 EDR 和 NDR 工具而言有所改进，但跨企业组织的威胁检测和响应需要覆盖更广泛的范围，包括云工作负载、威胁情报源、SaaS 应用以及身份和访问管理可视性。同时，为了实现安全运营中心的现代化并及时处理大量安全警报，大型组织需要执行高级分析来帮助自动执行初级分析师任务，例如警报分类、警报与 IoC

3、的关联分析以及事件调查准备。为了深入了解这些趋势，ESG 对来自北美（美国和加拿大）多个组织的 376 名 IT 和网络安全专业人员进行了调查，这些专业人员直接负责评估、购买并使用威胁检测和响应安全产品及服务。SOC 现代化和 XDR 的作用3 2022 TechTarget,Inc.版权所有。返回目录由于受攻击面不断扩大、威胁形势日益严峻，以及云计算的使用日益广泛，安全运营变得越来越难。安全运营 仍然面临重重挑战。尽管使用了大量安全数据，但还需要更多安全数据，以及更高效的检测规则。安全专业人员希望获得更多的 数据和更高效的检测规则。虽然实施策略各不相同，但大多数情况下，自动化投资都会获得回报

4、。事实证明，安全运营(SecOps)流程自动化领域的投资物有所值。虽然人们对 XDR 是什么感到困惑，但在支持高级威胁检测方面的投资却是巨大的。XDR 势头 持续增强。虽然使用案例各不相同，但 MDR 服务在 各种规模和成熟度的组织中得到了广泛采用。MDR 已成为主流，并在不断扩展。但是，许多人仍在思考如何 以及在何处应用该框架来获得价值。事实证明，MITRE ATT&CK 框架对 大多数组织而言都很有价值。主要发现点击跳转到相应部分安全运营仍然 面临重重挑战。5返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。|由于以下原因，如今的安全运营比两年前更

5、加困难：的组织认为，与两年前相比，如今的安全运营更加困难。52%在过去几年中，大多数组织的安全运营越来越难。具体而言，超过一半(52%)的受访者认为，他们组织的安全运营环境在过去两年中变得更加难以管理。其原因在于威胁形势日益严峻，受攻击面不断扩大，安全警报数量越来越多而且越来越复杂，以及公共云的使用日益广泛。这些挑战在未来只会更加严峻，因此许多首席信息安全官(CISO)意识到当前的 SOC 战略还不够完善。为了应对不断增加的大量威胁以及 IT 规模庞大/杂乱无章的局面，很多组织制定了多项专注于实现 SOC 现代化的计划。41+59+S39+61+S37+63+S40+60+S37+63+S41

6、%39%34%40%37%威胁形势瞬息万变，受攻击面不断变化和演变，公共云服务的使用日益广泛，受攻击面已经扩大，安全警报的数量和复杂性日益增加，很多组织制定了多项专注于实现 SOC 现代化的计划。”“6返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。除了一般的安全运营挑战外，还需要注意的是，81%的组织同意安全运营受到全球网络安全技能短缺的影响。通常，这会导致现有员工的工作量增加以及员工流失和倦怠。安全专业人员指出了几个相关技能和人才尤为短缺的领域，包括安全架构师、安全工程师、3 级分析师和漏洞评估/优先级分析师。安全运营受到全球技能短缺的影响|以下

7、是安全运营方面技能人才最为短缺的领域。81%的组织同意，其安全运营受到网络安全技能短缺的影响。810+190=81%37+63+S34+66+S35+65+S33+67+S37%34%35%33%安全架构师，3 级分析师，*安全工程师，漏洞评估/优先级分析师，*即即即即即 2 即即即即即即即即即即即即即即即即即即即即即/即即即即即即7返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。组织计划如何应对日益艰难的安全运营环境（包括人员配备不足）？SOC 现代化是一项关键计划，今年有 88%的组织增加了安全运营支出。在短期内，SOC 团队计划将工作重点放在以

8、下方面：优化威胁情报的可操作性，改善资产管理数据与 SOC 的集成，改进风险和警报的优先级划分，完善 SOC KPI 的定义和管理，以及实现常规安全运营任务的自动化。展望未来，组织将采取很多进一步的措施来实现 SOC 现代化，例如购买安全流程自动化工具，开发/构建集成式安全运营和分析平台架构(SOAPA)，提高安全运营和 IT 运营的一致性，进一步将 MITRE ATT&CK 框架集成到安全运营中，以及购买用于威胁检测的高级分析工具。这些进步需要时间，并且可能需要安全服务支持。然而，它们应该被视作 SOC 现代化过程中的站点。目标是打造具备可扩展性、高性能、智能化、自动化和可管理性的 SOC，

9、以预防、检测和应对各种威胁，管理风险并支持组织践行自身使命。近期 SOC 现代化的优先事项|以下是受访者对于未来 12-18 个月内改进安全运营的预计措施。|以下是受访者对于未来 12 个月内以 SOC 为重点的预期目标。28%28%28%29%33%34%包括更多威胁知情防御流程和技术有效实现常见安全运营任务的自动化改进 SOC KPI 和指标的定义和管理提高警报和风险优先级，以便我们能够专注于最重要的风险领域增强资产管理数据整合到 SOC 的功能改善威胁情报的可操作性28%29%30%30%35%购买基于/嵌入人工智能/机器学习技术的威胁检测工具将 MITRE ATT&CK 框架进一步集成

10、到安全运营中改进安全运营和 IT 运营流程的一致性，提升事件响应能力积极开发/构建或购买用于安全运营工具的集成软件架构，整合孤岛式安全解决方案购买安全运营工具，旨在帮助实现安全运营流程自动化和协调安全专业人员希望 获得更大量的数据和 更高效的检测规则9返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。80%的组织从十多个数据源收集、处理和分析安全运营数据。安全专业人员认为，最重要的数据源是终端安全数据、威胁情报源、安全设备日志、云状态管理数据和网络流日志。虽然这些数据看起来数量庞大，但调查受访者实际上希望将更多数据用于安全运营，这就推动了对基于云的可扩

11、展高性能后端数据存储库的需求。尽管已迁移到 XDR，但终端数据仍然备受重视|以下是对于安全运营而言最重要的数据源。80%的组织在安全运营中使用 10 多个数据源。800+200=80%终端 安全数据24%威胁 情报源21%来自安全设备的 日志数据20%云安全状态 管理系统20%NetFlow 和/或 IPFIX 数据和/或 VPC 流日志18%受访者实际上希望将更多数据用于安全运营。”“SOC 现代化和 XDR 的作用10 2022 TechTarget,Inc.版权所有。返回目录虽然供应商为威胁检测提供了越来越多的现成规则，但 91%的组织会通过自己的检测工程团队来进行补充。事实上，SOC

12、团队会收集、处理和分析各种安全遥测数据，以帮助他们确定需要自定义规则的检测漏洞。安全团队自定义供应商规则集以满足自身需求，并开发自定义规则来检测针对其行业或组织的威胁。为了顺应这一趋势，供应商必须促进用户网络合作，同时采用具有成熟行业支持的 Sigma 和 YARA 等开放标准。大多数组织都制定了自定义检测规则48+52+U 43+57+U 9+91+U 1+99+U48%43%9%1%我的组织开发了大量 自定义规则来补充供应商 提供的检测规则我的组织制定了一些 自定义规则来补充供应商 提供的检测规则我的组织可能会开发少量 自定义检测规则，但主要依赖于供应商提供的规则我的组织没有制定 任何自定

13、义检测规则，完全依赖于供应商提供的规则|以下调查结果说明了自定义威胁检测规则的采用程度。事实证明，安全运营 (SecOps)流程自动化 领域的投资物有所值SOC 现代化和 XDR 的作用12 2022 TechTarget,Inc.版权所有。返回目录39%21%16%16%8%软件开发技能：我们的安全运营团队不具备开发操作手册/工作流程的编程技能流程不完善：我们的安全运营流程相对不完善，因此在继续流程自动化之前，我们必须进行重新设计时间：安全团队没有足够的时间处理流程自动化工具：我们的组织没有安全流程自动化所需的技术（如 SOAR）无障碍安全流程自动化很受欢迎，90%的组织目前已实现安全运营流

14、程自动化，其中 46%的组织表示他们在自动化方面做了大量的工作。采用安全流程自动化的组织表示，他们取得了一些成效，例如使用策略、MTTR 和事件优先级来改进威胁检测，以及能够更快地隔离受感染的资产。考虑到安全运营面临的挑战，例如不断扩大的受攻击面、日益激增的警报和严峻的威胁形势，安全流程自动化将继续发展并可能与 IT 流程自动化相结合，以提高 IT 和安全领域的效率。虽然安全流程自动化仍然很受欢迎且实现了切实效益，但它也确实带来了一些挑战。近五分之二(39%)的组织表示其安全运营团队不具备在 SOAR 工具中开发相应策略/工作流程的正确编程技能，而 21%的组织表示其安全运营流程不成熟，需要重

15、新设计才能实现自动化。在这些情况下，组织需要更多地评估工作流程，在转向自动化之前寻找瓶颈。编程技能有限的人员应研究低代码/无代码 SOAR 方案，或使用其他运营工具中内置的流程自动化功能。许多组织已经意识到安全流程自动化具有的各种优势，但挑战依然存在|安全运营流程自动化带来的常见优势。|安全运营流程自动化的最大障碍。51+49+S44+56+S49+51+S44+56+S51%44%49%44%使用相应策略改进威胁检测 划分事件 优先级减少平均响应时间更快地隔离受感染的资产SOC 现代化和 XDR 的作用13 2022 TechTarget,Inc.版权所有。返回目录超过四分之一(29%)的组

16、织使用某种类型的安全协调、自动化和响应(SOAR)工具实现流程自动化。使用 SOAR 可以带来效益：93%的安全专业人员认为，他们的 SOAR 可有效实现复杂的端到端安全运营流程的自动化以及基本安全运营任务的自动化/协调。然而，SOAR 并不是免费的。成功取决于一些前期规划、投资和适当的技能。例如，90%的安全专业人员表示 SOAR 需要前期投资来构建自动化工作流程和响应策略，92%的人同意 SOAR 需要编程/脚本技能，80%的人同意使用 SOAR 工具比预期的更复杂、更耗时。基于这些数据，组织应该认识到 SOAR 应该被视为一个方案，而不是万全之策。只有通过适当的规划、培训和项目管理，才能

17、实现 SOAR 的优势。通过进行正确的前期投资和建立合理的预期，SOAR 工具可以产生效果|关注安全协调、自动化和响应(SOAR)工具。使用 SOAR 可以带 来效益。”“36%39%45%49%50%44%53%45%44%43%使用 SOAR 工具比我们预期的更复杂、更耗时我们的 SOAR 要求具备编程/脚本技能我们的 SOAR 需要前期投资来构建自动化工作流程和响应手册我们的 SOAR 可有效实现基本安全运营任务的自动化/协调我们的 SOAR 可有效实现复杂的端到端安全运营流程的自动化/协调0%20%40%60%80%100%强烈同意同意事实证明，MITRE ATT&CK 框架对大多数人

18、都很有价值15返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。MITRE ATT&CK 框架越来越受欢迎，如今几乎有 90%的组织在一定程度上使用它。当 SOC 经理展望未来时，他们会看到更高的 MITRE 利用率。事实上，97%的安全专业人员认为 MITRE ATT&CK（及其衍生项目）对其组织的安全运营战略至关重要或非常重要。大多数组织都在使用 MITRE ATT&CK 安全运营框架，并了解其中的价值480+410+110=是，广泛使用是，在有限范围内使用48%48%组织是否使用 MITRE ATT&CK 框架进行安全运营？|MITRE ATT&

19、CK 框架对安全运营的重要性。|使用 MITRE ATT&CK 框架进行安全运营。97%的安全专业人员认为 MITRE ATT&CK（及其衍生项目）对其组织的安全运营战略至关重要或非常重要。97%16返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。|组织利用 MITRE ATT&CK 框架的各种方式。38+62+S35+65+S33+67+S37+63+S34+66+S38%35%33%37%34%帮助我们更好地将威胁情报应用于警报分类和/或调查过程，更好地了解网络攻击者的策略、技术和程序，确保我们从正确的数据源收集正确的数据，作为安全工程的指导原则

20、，帮助组织更快地了解攻击的全部范围，MITRE ATT&CK 在各种安全运营流程中 也发挥了重要作用。”“MITRE ATT&CK 在各种安全运营流程中也发挥了重要作用。在采用 MITRE ATT&CK 框架的组织中，38%的组织使用它来帮助他们将威胁情报应用于警报分类或调查过程，37%的组织将其用作安全工程的指导原则，35%的组织使用 MITRE 来更好地了解策略、技术和程序，34%的组织使用该框架来帮助他们更快地了解攻击的全部范围。通过这些方式，组织正在威胁预防、检测和响应方面实施 MITRE ATT&CK 框架。MITRE ATT&CK 使用案例富有成效XDR 势头持续增强 SOC 现代

21、化和 XDR 的作用18 2022 TechTarget,Inc.版权所有。返回目录61%37%1%1%55%28%16%1%非常熟悉有点熟悉不是很熟悉一点也不熟悉XDR 是终端检测和响应(EDR)技术的扩展XDR 是来自单一安全技术提供商的检测和响应产品套件XDR 是一种集成的异构安全产品架构，旨在实现威胁防御、检测和响应方面的互通和协调不确定虽然 XDR 已获得更多行业关注，但它仍然是一个具有不同组件和定义的无定形概念。61%的安全专业人员表示他们非常熟悉 XDR 技术，这一事实反映了这一点。虽然与 ESG 2020 年的研究相比有所改善（当时只有 24%的安全专业人员非常熟悉 XDR），

22、但仍有 39%的受访者对 XDR 略有了解或不太熟悉，或者根本不了解 XDR。用户还不清楚 XDR 是什么。虽然 55%的受访者表示 XDR 是 EDR 的扩展，但 44%的受访者认为 XDR 是来自单一安全技术供应商的检测和响应产品，或者是旨在实现威胁防御、检测和响应互通及协调的集成式异构安全产品架构。可以肯定地说，XDR 仍有待改进。对 XDR 的认识不断提高，但大多数人认为 XDR 是对 SOC 技术的补充或整合|熟悉 XDR 技术。XDR 技术的组织定义。19返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。52%44%2%2%XDR 将补充当

23、前的安全运营技术XDR 将有助于将当前的安全运营技术整合到一个通用平台中XDR 将取代我们当前的一项或多项安全运营技术不确定/说得太早因此，在这一点上，XDR 不被视为 SIEM、SOAR 和 TIP 等 SOC 技术的潜在替代品。相反，超过一半(52%)的安全专业人员认为 XDR 将补充现有的安全运营技术，而 44%的受访者认为 XDR 将当前的安全运营技术整合到一个通用平台中。只有 2%的受访者认为 XDR 将取代任何当前的安全运营技术。大多数人认为 XDR 是对 SOC 技术的补充或整合|XDR 对安全运营环境的预期影响。的安全专业人员认为 XDR 将补充现有的安全运营技术。50%以上2

24、0返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。|推动 XDR 关注的五个最常见的挑战。|五个优先级最高的 XDR 使用案例。无论如何定义 XDR，安全专业人员都希望使用 XDR 来帮助他们解决一些威胁检测和响应挑战。XDR 似乎是一个有吸引力的选择，因为当前的工具难以检测和调查高级威胁，需要专业技能，并且无法有效地关联警报。总而言之，CISO 需要能够提高安全效力的 XDR 工具，尤其是在高级威胁检测方面。此外，他们希望 XDR 能够简化安全运营并提高员工的工作效率。安全专业人员考虑到许多常见的 XDR 使用案例。例如，26%的安全专业人员希望

25、XDR 根据风险帮助发出警报，26%的人希望改进高级威胁的检测，25%的人希望对现有威胁检测工具进行分层补充，以及25%的受访者认为 XDR 可以改进威胁检测，以加强安全控制并防止未来发生类似的攻击。显然，用户希望 XDR 能够填补安全堆栈中的空白，同时提高威胁检测和响应的效力和效率。用户希望 XDR 解决常见威胁检测和响应挑战当前工具难以检测 和调查高级威胁51%可帮助根据风险确定警报优先级的 XDR 解决方案 26%当前工具需要太多 专业技能38%改进高级 威胁检测 26%当前工具 无法有效关联警报36%更高效的威胁/调查取证25%云检测和响应能力 方面的具体差距35%现有威胁检测工具的

26、分层补充，旨在识别 高级或更复杂的威胁25%当前的工具方法 成本太高 32%使用改进的威胁检测来加强安全控制并防止未来发生类似的攻击25%MDR 成为主流并不断扩展 22返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。无论技术定义或实施策略如何，ESG 的数据几乎都证明了一个事实：组织需要服务提供商的帮助来实现安全运营。如今，85%的组织将托管服务用于部分或大部分安全运营。在使用托管安全服务的组织中，88%的组织今后将在安全运营中增加对托管服务的使用。MDR 的使用是主流 而且在不断增加37+48+11+4U37%48%42+46+12U46%42%

27、我们将托管服务用于大多数安全运营我们将在安全运营中显著增加托管服务的使用我们将托管服务用于部分安全运营我们将在安全运营中略微增加托管服务的使用我们在有限的范围内将托管服务用于安全运营我们将保持目前对安全运营的托管服务的使用情况当前或计划 将托管服务用于 安全运营。未来 12-18 个月 内预期采用的 托管服务方法。11%12%23返回目录SOC 现代化和 XDR 的作用 2022 TechTarget,Inc.版权所有。为什么组织需要托管服务来实现安全运营？超过一半(55%)的受访者希望获得安全服务，以便他们可以将安全人员集中到战略性安全计划上。其他人则认为托管服务提供商可以实现其组织根本无法

28、做到的事情，其中 52%的受访者认为服务提供商可以提供比其组织更好的安全运营，49%的受访者表示托管服务提供商可以增强其 SOC 团队的实力，42%的受访者承认他们的组织没有足够的安全运营技能。MDR 帮助组织专注于安全工作并解决技能和人员短缺问题|为安全运营而使用或计划托管服务的主要原因。35%40%42%49%52%55%员工：我的组织没有足够规模的安全操作人员价格：我的组织进行了成本分析，使用服务提供商而不是自己做，成本会更低技能：我的组织没有足够的安全运营技能 增强：我的组织认为服务提供商可以通过安全运营增强我们的 SOC团队的实力服务：我的组织认为服务提供商在安全运营方面可以做得比我

29、们更好重点：我的组织希望其安全人员专注于更具战略性的安全计划，而不是将时间花在安全运营任务上SOC 现代化和 XDR 的作用24 2022 TechTarget,Inc.版权所有。返回目录有一点是明确的，XDR 将在 SOC 现代化方面发挥关键作用。确定它如何帮助您的安全团队，以及在您构建 XDR 方法时与哪些合作伙伴合作，将决定您的成功程度。不要只是收集更多数据，而是要寻找一种解决方案，可以帮助将数据转化为更有效、可操作的情景数据。自动化可以帮助解决技能缺口，减少检测、调查和解决事件所需的时间，从而将责任转移到经验不足的分析师身上。这使组织能够重新分配高级安全分析师的时间来完善其安全运营。永

30、远不要低估值得信赖的合作伙伴的重要性。从网络到终端安全，从邮件到云安全，思科安全产品组合通过每个控制点中集成的功能将检测结果与可靠响应联系起来，实现了业界最广泛的 XDR。我们的 XDR 方法可将您的基础设施从一系列脱节的解决方案转变为完全集成的生态系统，防止威胁绕过不堪重负的安全团队。全球超过 30 万客户可以证明，思科提供首席信息安全官可以信赖的专业知识。今天我们来聊聊。关于 ESGEnterprise Strategy Group 是一家综合性技术分析、研究和战略公司，为全球技术社区提供市场情报、切实可行的洞察力和上市内容服务。了解更多SOC 现代化和 XDR 的作用25 2022 Te

31、chTarget,Inc.版权所有。返回目录研究方法为了收集本报告数据，ESG 在 2022 年 4 月 4 日至 2022 年 4 月 15 日期间对北美私营和公共部门组织的 IT 和网络安全专业人员进行了全面的在线调查。要符合本次调查的要求，受访者必须是负责评估、购买和使用威胁检测和响应安全产品和服务的 IT 或网络安全专业人员。所有受访者都以现金奖励和/或现金等价物的形式完成调查。在过滤掉不符合条件的受访者、删除重复的回答并（根据多项标准）筛选其余已完成的回答后，我们最终得到了 376 名 IT 和网络安全专业人员的样本。受访者（按员工人数）受访者（按公司年龄）受访者（按行业）500 至

32、 999，11%1,000 至 2,499，22%20,000 或更多，3%5 至 10 年，24%11 至 20 年，43%50 年以上，7%零售/批发，10%技术，10%通信和传媒，4%政府，1%其他，18%10,000 至 19,999，5%2,500 至 4,999，39%21 至 50 年，25%不到 5 年，1%医疗，4%财务，20%制造业，16%企业服务，16%2,500 至 4,999，39%5,000 至 9,999，16%所有产品名称、徽标、品牌和商标都是其各自所有者的财产。本出版物所载信息由 TechTarget,Inc.认为是可靠的来源获得，但 TechTarget,I

33、nc.不作任何保证。本出版物可能包含 TechTarget,Inc.的意见，这些意见可能会更改。本出版物可能包括预测、推测和其他预测性陈述，代表 TechTarget,Inc.根据当前可用信息的假设和期望。这些预测基于行业趋势，涉及变量和不确定性。因此，TechTarget,Inc.对本出版物中特定预测、推测或预测性陈述的准确性不作任何保证。本出版物版权归 TechTarget,Inc.所有。未经 TechTarget,Inc.明确同意，对本出版物的任何全部或部分的复制或再分发，无论是以硬拷贝格式、电子格式，还是以其他方式向未经授权接收的人进行复制或再分发的，均违反了美国版权法，将面临民事损害赔偿诉讼，如适用，还将面临刑事起诉。如果您有任何问题，请联系客户关系部邮箱：cresg-。Enterprise Strategy Group 是一家综合性的技术分析、研究和战略公司，为全球技术社区提供市场情报、切实可行的洞察力和上市内容服务。2022 TechTarget,Inc.版权所有。