压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網(wǎng)絡(luò)安全永遠(yuǎn)是“道高一尺魔高一丈”的軍備競賽，但現(xiàn)實(shí)往往很骨感，網(wǎng)絡(luò)安全的“道”，經(jīng)常會(huì)跟不上網(wǎng)絡(luò)攻擊“魔”的腳步。而面對日新月異的攻擊技術(shù)，XDR（跨層檢測與響應(yīng)）被看作是下一個(gè)能夠御魔的高級“道”。在 EDR（端點(diǎn)檢測與響應(yīng)）、NTA（網(wǎng)絡(luò)流量分析）和SIEM（安全信息與事件管理）等主流安全方案之外，我們?yōu)槭裁催€需要XDR？XDR如何提升企業(yè)安全性？以下，我們嘗試解答。

從被動(dòng)到主動(dòng)

隨著人工智能技術(shù)的快速融入，新一代高級網(wǎng)絡(luò)攻擊技術(shù)變得更加隱蔽、狡猾和復(fù)雜，對傳統(tǒng)安全方案更是建立起“降維打擊”的優(yōu)勢。例如，對抗性機(jī)器學(xué)習(xí)的攻擊威脅已成為安全社區(qū)的心腹大患。這種攻擊現(xiàn)有主流安全方案幾乎無法檢測到，因?yàn)樗槍Φ氖菣C(jī)器學(xué)習(xí)算法，削弱其檢測入侵的能力，更糟糕的是，攻擊者可欺騙操縱系統(tǒng)對攻擊者敞開大門。

為了應(yīng)對類似于對抗性機(jī)器學(xué)習(xí)的高級復(fù)雜威脅，企業(yè)需要采用更高級的解決方案，因?yàn)閭鹘y(tǒng)的入侵檢測系統(tǒng)（IDS）無法抵御此類威脅。而諸如端點(diǎn)檢測和響應(yīng)（EDR）和網(wǎng)絡(luò)流量分析（NTA）之類的被動(dòng)的，反應(yīng)式安全方法也無法檢測隱蔽攻擊。上述主流安全方案能夠提供對威脅的分層可見性，但對于隱蔽的網(wǎng)絡(luò)攻擊則是“睜眼瞎”。

企業(yè)需要更主動(dòng)的安全方案，能夠快速識別隱藏的復(fù)雜威脅，并實(shí)現(xiàn)對特定威脅實(shí)例的可見性。此外，這種主動(dòng)方案還需要能跨網(wǎng)絡(luò)、端點(diǎn)以及云基礎(chǔ)架構(gòu)提供數(shù)據(jù)的可見性。而能夠兌現(xiàn)這種愿景的熱門解決方案之一，就是XDR（跨層檢測和響應(yīng)）。

XDR是什么？

XDR是一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測的方法。它可以監(jiān)視企業(yè)網(wǎng)絡(luò)中不同來源或位置的威脅。

由于傳統(tǒng)安全工具和解決方案之間缺乏聯(lián)系，事件分類和調(diào)查過程存在孤島問題，導(dǎo)致大多數(shù)安全分析人員的事件關(guān)聯(lián)和攻擊觀點(diǎn)存在局限性，這給攻擊者隱藏自己提供了很好的機(jī)會(huì)。

XDR通過全面的整體檢測和響應(yīng)策略消除了安全孤島。它收集信息并匹配許多安全層（包括為端點(diǎn)、服務(wù)器、電子郵件、云和工作負(fù)載配置的安全層）上的深度活動(dòng)數(shù)據(jù)的關(guān)系。可以對各種數(shù)據(jù)進(jìn)行自動(dòng)分析，以更快地檢測到威脅，并使安全分析人員有足夠的時(shí)間進(jìn)行徹底的調(diào)查。

傳統(tǒng)反應(yīng)式（被動(dòng)式）方法的缺點(diǎn)

EDR、NTA和安全信息與事件管理（SIEM）絕對不是弱安全解決方案，但是，這些解決方案的工作方式為頑強(qiáng)而狡猾的攻擊者留下了可乘之機(jī)。

傳統(tǒng)安全系統(tǒng)的最大問題之一是警報(bào)過載（疲勞）。EDR等主流方案和策略會(huì)生成大量缺少有上下文信息的警報(bào)。這些不完整的，缺乏有效信息的安全警告對安全運(yùn)營人員來說意義不大，“全選+刪除”是這些警告的常見歸宿。

根據(jù)IDC InfoBrief的數(shù)據(jù)，只有21％的企業(yè)收集了足以付諸行動(dòng)的信息。大多數(shù)組企業(yè)（56％）表示，他們通過安全系統(tǒng)收集的信息只能使他們對問題的根源有個(gè)大略的了解，依靠這些信息無法鎖定具體問題并實(shí)施適當(dāng)?shù)慕鉀Q方案。

根據(jù)Solarwinds的白皮書調(diào)查數(shù)據(jù)。擁有約一千名員工的公司的SIEM系統(tǒng)每秒鐘記錄的安全事件多達(dá)20億個(gè)，這意味著每天的安全事件高達(dá)200萬個(gè)。即使是最牛的安全運(yùn)營中心（SOC）分析師也難以處理如此規(guī)模事件所產(chǎn)生的海量警報(bào)。

困擾傳統(tǒng)安全系統(tǒng)的其他問題是需要專業(yè)知識和耗時(shí)的事件調(diào)查，有時(shí)可能需要幾個(gè)月的時(shí)間。例如，使用EDR，據(jù)報(bào)道，入侵識別時(shí)間最多長達(dá)197天，而遏制攻擊時(shí)間可長達(dá)69天。

同樣，傳統(tǒng)安全系統(tǒng)的本質(zhì)是以工具和技術(shù)為中心，這使得人們忽視了更為重要的運(yùn)營需求。正如IDC InfoBrief中所述，有23％的公司表示其安全團(tuán)隊(duì)將更多時(shí)間用于維護(hù)和管理安全工具，而不是進(jìn)行實(shí)際的安全調(diào)查。同時(shí)，有19％的公司報(bào)告其安全產(chǎn)品組合中存在碎片或缺乏集成的情況。

XDR通過其收集深度活動(dòng)數(shù)據(jù)以及跨層掃描，搜尋和調(diào)查路徑的綜合方法來解決傳統(tǒng)安全方案的缺點(diǎn)。借助人工智能和高級分析，XDR可以在安全警報(bào)過載中發(fā)現(xiàn)真正的威脅。

“魔”高于“道”的時(shí)代

本文無意貶低EDR的價(jià)值，大量公司有充分的理由繼續(xù)依賴EDR。但是，由于其先天設(shè)計(jì)（將重點(diǎn)放在托管端點(diǎn)上）而存在功能上的局限性。同樣，EDR在可以識別和阻止的威脅種類、范圍，以及對被攻擊實(shí)體的識別和對攻擊的最佳響應(yīng)方面也存在局限性。

同樣，我們也不能說NTA是個(gè)擺設(shè)。網(wǎng)絡(luò)流量分析仍然很重要，但是NTA需要跳出網(wǎng)絡(luò)監(jiān)控這個(gè)狹窄領(lǐng)域。NTA系統(tǒng)也會(huì)生成海量日志，這使得將網(wǎng)絡(luò)警報(bào)與其他相關(guān)安全事件數(shù)據(jù)之間的關(guān)聯(lián)變得非常困難。

業(yè)界已經(jīng)在嘗試改進(jìn)EDR和NTA，但是這些改進(jìn)往往最為單獨(dú)的解決方案或額外的安全層來實(shí)現(xiàn)。這意味著數(shù)據(jù)孤島問題依然存在。而XDR目前來看，是企業(yè)升級檢測和響應(yīng)系統(tǒng)的首選整體方法。XDR能夠縮短SOC檢測告警的時(shí)間，并評估哪些警報(bào)值得關(guān)注和采取行動(dòng)。XDR不會(huì)替代SIEM，但會(huì)對其進(jìn)行增強(qiáng)，以充分利用SIEM產(chǎn)生的安全日志和通知。

換句話說，XDR是傳統(tǒng)安全系統(tǒng)進(jìn)化的一個(gè)新路徑，以跟上網(wǎng)絡(luò)犯罪分子攻擊技術(shù)和方法的進(jìn)化速度。

擴(kuò)展的檢測和響應(yīng)

XDR可以查明各種來源和位置的隱藏威脅并對其進(jìn)行跟蹤。這種先進(jìn)的系統(tǒng)可提高企業(yè)IT團(tuán)隊(duì)的工作效率，并提高安全調(diào)查的速度。XDR提供了超出端點(diǎn)的多個(gè)安全層，從而擴(kuò)大了檢測和響應(yīng)范圍。此外，XDR創(chuàng)建了一個(gè)集成的自動(dòng)化平臺，可實(shí)現(xiàn)跨安全層的完全可見性。

因此，業(yè)界也有廠商將XDR（跨層檢測與響應(yīng)）稱為“擴(kuò)展檢測和響應(yīng)”，也有人將“X”解讀為“廣泛的”，因?yàn)閄DR不僅可以識別和處理威脅，還是一種全面的安全解決方案。XDR能夠確定用戶是如何被感染的、切入點(diǎn)在哪里、攻擊如何橫向移動(dòng)以及有多少其他用戶受到了威脅。此外，XDR與SIEM以及安全協(xié)調(diào)、自動(dòng)化和響應(yīng)（SOAR）系統(tǒng)的集成能夠使分析人員可以在更廣泛的安全生態(tài)系統(tǒng)中使用XDR。