和當(dāng)今指數(shù)倍增長(zhǎng)的安全數(shù)據(jù)相比,安全人才的短缺帶來了潛在的風(fēng)險(xiǎn)。幾乎所有的公司,無論規(guī)模大小,在安全資源能力上都有限,需要過濾各種告警才能將分析量保持在可接受范圍。但這樣一來,潛在的威脅線索就可能被埋沒,而攻擊者就有機(jī)會(huì)潛伏更長(zhǎng)時(shí)間,從而增加安全事故的發(fā)生幾率。
在這個(gè)情況下,一種新的技術(shù)XDR(eXtended Detection and Response)出現(xiàn)了,為數(shù)據(jù)資源和安全運(yùn)維之間提供技術(shù)集成,從而加速檢測(cè)和響應(yīng)。XDR解決方案會(huì)集成一系列的統(tǒng)一管控點(diǎn)、安全數(shù)據(jù)、分析和運(yùn)維能力,成為一個(gè)單獨(dú)的企業(yè)解決方案。Gartner最近為XDR進(jìn)行了以下標(biāo)注:“安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者應(yīng)該基于風(fēng)險(xiǎn)考慮XDR解決方案的優(yōu)勢(shì)。”
自動(dòng)化監(jiān)控與分類軟件供應(yīng)商Respond Software的CTO兼聯(lián)合創(chuàng)始人Chris Calvert就五個(gè)問題對(duì)XDR解決方案的必要性發(fā)表了看法。
第一問:你SIEM的解決方案多有效?
現(xiàn)在SIEM解決方案非常火,但SIEM需要一系列的規(guī)則才能減少安全團(tuán)隊(duì)分析的安全事件數(shù)量。SIEM基于的邏輯過于單一,難以隔離和分析真正的攻擊。另外,SIEM的規(guī)則和編寫SIEM規(guī)則的人的能力都參差不齊,造成不準(zhǔn)確或者不完全的分析。最后,大部分組織都缺少時(shí)間和預(yù)算,來部署和維護(hù)自己的SIEM架構(gòu)。
第二問:你SOAR的效益最大化了嗎?
一些組織正在使用SOAR平臺(tái),可以讓工程師編寫代碼,對(duì)低危的安全事件自動(dòng)化進(jìn)行數(shù)據(jù)收集、關(guān)聯(lián)、填充、響應(yīng)等任務(wù)。但SOAR的問題在于,這些工具一旦遇到海量需要分析的數(shù)據(jù)的時(shí)候,就會(huì)極大降低自己的修復(fù)能力。所以,現(xiàn)在SOAR解決方案很多時(shí)候被調(diào)整用于降低告警數(shù)量,但這無異于花了大價(jià)錢,用一個(gè)強(qiáng)大的工具,卻刻意降低了它的效用。
第三問:能否剔除誤報(bào)?
EDR在獨(dú)立使用的時(shí)候,會(huì)產(chǎn)生大量的誤報(bào)。不得不說,EDR在收集數(shù)據(jù)方面很有效,但如果想實(shí)時(shí)判定某件東西是否是惡意的,那任務(wù)對(duì)它而言就過于繁重了。但是,當(dāng)EDR集成到了XDR引擎中時(shí),它就能快速處理大量傳感信息。這些信息不僅僅是來自終端的數(shù)據(jù),還包括了來自網(wǎng)絡(luò)遙測(cè)點(diǎn)和其他傳感器的數(shù)據(jù)、漏洞信息、威脅情報(bào)、以及一些關(guān)于賬戶和獨(dú)立系統(tǒng)的信息。
第四問:你是否在想要單獨(dú)完整的解決方案同時(shí),害怕被廠商綁定?
XDR是一個(gè)不錯(cuò)的附加工具,但它也有自己的局限性。舉個(gè)例子,大部分XDR解決方案受限于供應(yīng)商的技術(shù)結(jié)構(gòu),會(huì)減少能夠關(guān)聯(lián)的安全數(shù)據(jù)量,同時(shí)讓客戶不得不綁定一些昂貴的工具。另外,檢測(cè)能力也有局限性,或者需要專業(yè)人員進(jìn)行定制化服務(wù)。
第五問:你能選出最佳解決方案嗎?
另一種選擇,是選擇不綁定廠商的XDR引擎,可以給安全團(tuán)隊(duì)帶來雙重的好處:能夠?qū)崟r(shí)發(fā)現(xiàn)事故的同時(shí),還能用多種安全技術(shù)進(jìn)行工作。環(huán)境中的傳感器會(huì)生成不同的數(shù)據(jù)和證據(jù),并且都需要被大批量的關(guān)聯(lián)和分析。不綁定廠商的XDR引擎可以和多個(gè)廠商、遙測(cè)、威脅情報(bào)等協(xié)同,有效地只針對(duì)惡意,且需要采取行動(dòng)的事故進(jìn)行告警。
數(shù)世咨詢?cè)u(píng)
傳統(tǒng)基于規(guī)則的被動(dòng)防御技術(shù)已經(jīng)無法適應(yīng)新的威脅環(huán)境,網(wǎng)絡(luò)安全已經(jīng)進(jìn)入檢測(cè)與響應(yīng)時(shí)代。因此,EDR(端點(diǎn))、NDR(網(wǎng)絡(luò))、MDR(托管)、TDR(威脅)等檢測(cè)與響應(yīng)技術(shù)紛紛出現(xiàn),并且包括了威脅捕捉、行為分析、威脅情報(bào)等新興自動(dòng)化工具。XDR泛指一切基于檢測(cè)與響應(yīng)技術(shù)的工具和方案,關(guān)注的是威脅和風(fēng)險(xiǎn)控制。
來源:數(shù)世咨詢