Информационная безопасность Защита основывается на данных от датчиков и систем по всей инфраструктуре организации. Но данные без какого-либо фона или контекста только создают неуместный шум, который расстраивает и отвлекает аналитиков. Без интегрированной платформы для корреляции всех этих данных группы безопасности погрязнут в огромном количестве ложных предупреждений.
XDR специально разработан для включения нескольких механизмов безопасности, которые сопоставляют и оценивают нормализованные наборы данных, хранящиеся в легком озере данных. Со многими механизмами безопасности в работе (включая Угроза, Поведенческая аналитика пользователей, IDS, File Sandboxing и обнаружение аномалий на основе машинного обучения), становится возможным сопоставлять все данные телеметрии. Кроме того, вы можете точно оценить потенциальный инцидент в течение нескольких секунд, учитывая все, что известно о системе, активе или учетной записи.
XDR Проблемы реализации
Исходя из нашего опыта в CyFlare, есть несколько проблем при внедрении XDR системаНапример, в некоторых случаях заинтересованные стороны, такие как сетевые/системные администраторы/ИТ-команды, не уведомляются о переходе на новую технологию. XDRИли же они не приняли новую стратегию. Другая проблема заключается в том, что системы и источники данных не инвентаризируются и не обрабатываются должным образом, чтобы определить, следует ли использовать данные или интеграцию API для потенциальных ответных действий. XDR системанапример, запрос дополнительных данных или внесение изменений в политику. Третья проблема — отсутствие регулярных встреч между SOCКоманды по управлению ИТ, сетевому менеджменту и руководители собираются для обсуждения тенденций и мер по постоянному совершенствованию.
Рекомендации по реализации
Вот несколько действий, которые вы можете предпринять, чтобы подготовить почву для... XDR Внедрение и обеспечение бесперебойной работы.
- Убедитесь, что организация создала как минимум Политику информационной безопасности для определения основных требований и решений.
- Регулярно и заблаговременно информируйте ключевых заинтересованных сторон о преимуществах XDR и как это повлияет на все отделы и пользователей. Таким образом, заинтересованные стороны будут знать о преимуществах. XDR стратегия и взаимная поддержка.
- Проведите инвентаризацию всех потенциальных источников данных, включая приложения SaaS организации, сетевые устройства, инструменты безопасности и пользовательские приложения.
- Выберите XDR Поставщик, способный к бесшовной интеграции со всеми или большинством ваших источников данных, обеспечивающий получение и нормализацию критически важных данных. XDR .
- Определите, какие действия по реагированию возможны для каждой интеграции (коннектора), предлагаемой данной системой. XDR платформа. Это поможет определить, какие сценарии действий можно разработать для ускорения сдерживания и устранения выявленных угроз.
- Обсудите возможные автоматические ответные действия с заинтересованными сторонами. Без надлежащей коммуникации и планирования можно нанести серьезный ущерб бизнесу. Хорошо продуманные сценарии являются важным компонентом эффективного реагирования.
Требования к персоналу
Вы также должны убедиться, что у вас есть необходимый персонал для реализации вышеуказанных рекомендаций. Вам потребуется штатный директор по информационной безопасности (CISO) или виртуальный директор по информационной безопасности. XDR Эта стратегия ориентирована на организации, уделяющие первостепенное внимание безопасности и делающие ее неотъемлемой частью своего бизнеса, при этом руководитель службы информационной безопасности (CISO) будет определять общую стратегию. Далее вам понадобится архитектор безопасности для выявления источников угроз, потенциальных сценариев их обнаружения и координации соответствующих сценариев действий. Наконец, вам понадобится либо штатный специалист по безопасности. SOC с соответствующими ресурсами, включая руководство, инструменты эскалации и круглосуточное обслуживание первого уровня, или вам потребуется привлечь стороннего поставщика управляемых услуг безопасности (MSSP).
По нашему опыту, Open XDR Платформа, которая интегрирует существующие инструменты безопасности, одновременно предоставляя собственные возможности, — это наилучший путь к всесторонней видимости и защите в сфере безопасности. С помощью такой платформы, как Stellar Cyber, мы смогли создать необходимую видимость и контекст в масштабах всей инфраструктуры, позволяющие реагировать на инциденты безопасности за секунды или минуты, а не за дни или недели.
