Якорь корпоративной безопасности широко известен как «Глубокая оборона» архитектура. Глубокоэшелонированная защита (DID) — это классическая концепция защиты, используемая в вооруженных силах, которая нашла признание в сообществе информационной безопасности в начале 2000-х годов. Реализация/версия DID Infosec эволюционировала для устранения угроз по мере развития ландшафта угроз с течением времени.
До появления Интернета компьютеры имели только антивирусную защиту, потому что основной угрозой были вирусы. Вирусы передавались через носители (дискеты и т.п.). С Интернетом все компьютеры были подключены, и такие угрозы, как черви, распространялись по сетям, поэтому нам нужно было защищать сети, и нам нужно было контролировать, кто в сети входит в первую очередь, и так далее.
В своем нынешнем виде архитектура DID расширилась, чтобы вместить множество уровней, и продолжает развиваться. Таким образом, архитектура DID трансформировалась в многоуровневую безопасность — периметр, сеть, конечная точка, приложение, пользователь, данные, политики и т. д. Для каждого уровня был разработан отдельный и отличный элемент управления для защиты от угроз для этого уровня. Например, технические меры безопасности включали такие решения, как Брандмауэры, защищенные веб-шлюзы, IDS/IPS, EDR, DLP, WAF и защиты от вредоносных программ продукции.
В дополнение к развертыванию многоуровневого решения безопасности для меняющегося с течением времени ландшафта угроз, решения принадлежали, управлялись и эксплуатировались различными группами внутри компании. Например, Брандмауэр принадлежал команде по инфраструктуре отдела ИТ. Другая группа владела решением для работы с электронной почтой, а другая группа владела решением для защиты конечных точек. Это создало многоуровневое решение, которое существовало независимо от всех других решений. Следовательно, концепция автономного решения со всеми полученными знаниями осталась внутри ответственной за него команды — в бункере.
Еще одно уникальное свойство, лучшие в своем классе решения, также характеризовало многоуровневое решение. Поскольку решения развивались, инновации исходили из разных источников и дисциплин, и каждый новый уровень решения предоставлялся разным набором поставщиков.
DID или многоуровневый подход к безопасности хорошо работает для угроз с одним вектором, т. е. когда угроза входит и выходит из одного и того же вектора. Классическим примером таких ранних угроз являются сетевые атаки, обнаруженные IDS / IPS, почтовые угрозы, такие как спам через почтовые шлюзы и т. д.
Однако по мере усложнения угроз и появления средств автоматизированного создания вредоносных программ, ботнетов и удаленного программирования многоуровневая модель безопасности разваливается. Это связано с тем, что предположение, присущее многоуровневой безопасности, о том, что все средства защиты и контроля идеально согласованы для обнаружения всех угроз и отсутствия слепых зон, оказывается ложным. Есть слепые зоны, которые ни один из элементов управления не видит. В результате злоумышленники используют слепые зоны в своих интересах, что затрудняет обнаружение этих вредоносных действий.
Из нашего опыта борьбы с многовекторной угрозой становится ясно, что все элементы управления, задействованные в многовекторной угрозе, имеют доступ только к своим хранилищам и ничего более. Помните, что это предусмотрено дизайном и тем, как сложилось текущее решение.
Кроме того, вся базовая настройка отдельных инфраструктур, хранилищ данных и механизма реагирования означает, что прямое управление контролем — это проблема второго порядка (n**2 — n). Однако работающий слой поверх всего — это проблема первого порядка (2n), которую необходимо решить.
Варианты устранения слепых зон следующие:
- Пусть каждый контролер прикрывает своего соседа тем, что ему неинтересно.
- Наймите больше аналитиков, чтобы расширить видимость за пределы разрозненных хранилищ вручную
- Получите инструмент, который может обеспечить видимость элементов управления и их данных в разрозненных хранилищах и обнаруживать эти многовекторные угрозы с помощью автоматизированного сбора данных, корреляции, обнаружения и реагирования.
Если вы выбрали вариант №3, вы правы!
Независимо от названия, решение в № 3 представляет собой пакет, который охватывает все элементы управления для обнаружения, сопоставления, координации и обеспечения ответных действий на угрозы в разрозненных хранилищах.
И это самый эффективный способ оптимизации многоуровневых многоуровневых систем безопасности.
Его имя Open XDR.
Open XDR является связующим звеном между элементами управления безопасностью, предназначенным для того, чтобы группы безопасности могли разобраться в огромном количестве данных, генерируемых их элементами управления безопасностью. Причина, по которой он называется «Открытый», нетривиальна; это определяющая характеристика решения. Open XDRs может принимать данные из любого элемента управления безопасностью, включая любой EDR развернута организация. Затем, используя специально созданные возможности обнаружения, можно искоренить те многовекторные угрозы, которые могут вывести вашу организацию на первую полосу газеты (или новостного веб-сайта), если они остались незамеченными.
Хотя в киберзащите нет серебряной пули, Open XDR — это многообещающий новый подход к безопасности, который сводит к минимуму слепые зоны и повышает эффективность команды безопасности.
