Текущая модель для информационной безопасности сломан. Он состоит из приобретения и развертывания множества автономных инструментов, каждый со своей собственной консолью, для анализа журналов или трафика и обнаружения аномалий, которые могут быть угрозами. В этой модели каждый аналитик безопасности должен общаться с другими аналитиками, чтобы определить, может ли индивидуальное обнаружение каждого инструмента (каждое из которых само по себе может выглядеть безвредным) коррелировать с другими обнаружениями других инструментов, чтобы выявить сложную атаку.
Эта модель вынуждает предприятия создавать сложные стеки безопасности, состоящие из SIEM, SOAR, EDR, NDR и многое другое, с целью инструментирования предприятия, выявления угроз, реагирования на угрозы и управления рисками. Приобретение всех этих инструментов и управление их лицензиями сложно и дорого, а ручная корреляция, необходимая для сравнения обнаружений каждого инструмента, оставляет много пробелов в общей инфраструктуре безопасности.
Эти системы также часто забрасывают аналитиков ложными срабатываниями, вызывая «бдительную усталость» и неудовлетворенность работой. Даже предприятия, заявляющие, что довольны существующим SIEM и другие инструменты признают, что количество времени и энергии, которые они потратили на создание мультиинструментальной инфраструктуры безопасности, не дает требуемых результатов.
Дело для XDR
XDR или Расширенное обнаружение и реагированиеАббревиатура X стала универсальным определением для любой технологии, выполняющей обнаружение и реагирование, поскольку в ней X на самом деле является переменной. Хотя X может означать «Endpoint+» или «Network+», это не учитывает существующие проблемы, связанные с разрозненными инструментами, некоррелированными данными и усталостью от оповещений. Вся цель XDR Цель состоит в том, чтобы устранить эту проблему, и поэтому X должно означать «Всё». «Всё», следовательно, подразумевает платформенный подход к охвату всей поверхности атаки посредством обнаружения и реагирования.
Этот платформенный подход может исправить сегодняшнюю неработающую модель, преобразовав разрозненные инструменты в единый набор, преобразовав некоррелированные данные в постоянно обновляемое коррелированное представление поверхности атаки и превратив усталость от оповещений в душевное спокойствие. Ключевой архитектурный вопрос заключается в том, как технология реализует эту цель. Существует два типа XDR Сегодня: Открытые и нативные технологии.
Открытые против нативных XDR
- Open XDR доставляется через открытую архитектуру, способную использовать телеметрию существующих средств безопасности и возможности реагирования на поверхности атаки
- Родной XDR поставляется из набора инструментов безопасности от одного поставщика, который обеспечивает телеметрию и реагирование на поверхность атаки
Независимо от архитектурного подхода XDR Для того чтобы платформа была рассмотрена, она должна соответствовать следующим техническим требованиям. XDR:
- возможность развертывания – Облачная архитектура микросервисов для масштабируемости, доступности и гибкости развертывания
- Слияние данных – Нормализованные и обогащенные данные по всей поверхности атаки, включая сеть, облако, конечные точки, приложения и идентификационные данные
- Корреляция – Высокоточное коррелированное обнаружение с помощью нескольких инструментов безопасности
- Интеллектуальный ответ - Один щелчок или автоматический ответ с той же платформы
Распространенное заблуждение о Открытые против нативных XDR дело в том, что они являются взаимоисключающими типами XDRОни таковыми не являются. XDR Платформа может быть полностью открытой и частично нативной. Например, XDR Платформа может иметь несколько встроенных инструментов от своего поставщика при открытой интеграции с существующими инструментами других поставщиков. Это обеспечивает стратегию составной безопасности, способность использовать существующие инструменты, позволяя заказчику отказаться от некоторых из них, когда и где они сочтут нужным.
Состав открытых и нативных приложений XDR Подход, который использует платформа, является средством достижения цели: в частности, то, как платформа осуществляет обнаружение и реагирование на всю поверхность атаки. Покупатели XDR Необходимо рассматривать архитектурный подход как средство достижения цели и принимать наилучшее решение для своего предприятия.
Идеал XDR открыт
На некоторых предприятиях не возникнет проблем с передачей всего стека безопасности одному поставщику и внедрением закрытого, Родной XDR Платформа. Также будут некоторые предприятия, которые меньше заботятся о покрытии всей поверхности атаки и, например, хотят обнаруживать и реагировать только на свои конечные точки. В этом случае им следует заняться Нативный на основе EDR XDR Платформа.
Однако для большинства предприятий Open XDR Платформа Это следует рассматривать как первоочередную задачу. Почему? Потому что ни один поставщик никогда не сможет создать или приобрести лучшие инструменты для облачных вычислений, защиты конечных точек, сетей, управления идентификацией и т. д., поэтому разработка решений, ориентированных исключительно на собственные потребности, должна быть приоритетной задачей. Почему? Потому что ни один поставщик никогда не сможет создать или приобрести лучшие инструменты для облачных вычислений, защиты конечных точек, сетей, управления идентификацией и т. д., поэтому разработка решений, ориентированных исключительно на собственные потребности, должна быть приоритетной. XDR Платформа не будет лучшей в своем классе. Кроме того, крайне вероятно, что у предприятия есть уже вложил значительный капитал и усилия в развертывание существующих инструментов безопасности - он не захочет отказываться от этих инвестиций, поэтому закрытый, Родной XDR решение не будет взаимодействовать с этими инструментами и не сможет охватить всю поверхность атаки на этом предприятии. Если Open XDR Платформа имеет некоторые атрибуты Native, чтобы покрыть определенные области поверхности атаки для растущих предприятий, отлично. Но сначала он должен быть открыт.
В конечном итоге, если предприятие хочет определить и реализовать компонуемую стратегию безопасности и получить все преимущества... XDRТехнические требования, реализуемые через платформу, представляют собой полностью автоматизированную систему. Open XDR Платформа - единственный реальный способ сделать это.
