《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > XDR必備的五大能力

XDR必備的五大能力

2021-03-17
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: XDR

  在過去一年多時間里,大小安全廠商都逐漸投入到了XDR(eXtended Detection and Response)這個領(lǐng)域中:一些廠商從終端安全出發(fā),而有些廠商從網(wǎng)絡(luò)層面出發(fā),。無論那種方式都是不錯的切入手段,畢竟XDR的價值在于將安全從一系列端點產(chǎn)品轉(zhuǎn)移到一個獨立的平臺,,從而實現(xiàn)企業(yè)中威脅的可視化能力。數(shù)據(jù)會從不同的執(zhí)行點被獲取,,然后進行分析,,從而企業(yè)能夠更快速地發(fā)現(xiàn)威脅,并且基于威脅的輻射半徑進行響應(yīng),。

  像EDR這類傳統(tǒng)的安全工具,,往往只能發(fā)現(xiàn)威脅的存在,而難以真正理解到威脅——尤其是威脅源自于那些不會發(fā)生的“正確行為”中,。這也是大部分檢測和響應(yīng)工具往往在檢測能力上比在響應(yīng)能力上做得更好的原因——而XDR則能改變這一現(xiàn)狀,。

  XDR貫穿各個安全層面,這也是許多廠商加入這個圈子的原因,。因此,,XDR中存在著大量“服務(wù)商”,,有一些提供真正的XDR解決方案,而有一些只是頂著XDR的名字罷了,。這里給選擇XDR解決方案的企業(yè)五條篩選建議:

  1.跨安全圖譜的可視化能力,。XDR中的“X”意為“擴展”,因此XDR工具需要有廣泛的可視化能力,,但是指望一家安全廠商能針對所有威脅都有相關(guān)的安全產(chǎn)品,,顯然不現(xiàn)實。那么,,XDR廠商應(yīng)該至少提供終端、云,、和網(wǎng)絡(luò)的可視化能力,,然后在電子郵件、應(yīng)用相關(guān)數(shù)據(jù)等其他領(lǐng)域能整合第三方數(shù)據(jù),。理論上,,XDR廠商應(yīng)該有三個支柱能力,然后通過合作伙伴模式輸出其他能力,。在不同系統(tǒng)中將相應(yīng)能力聯(lián)系到一起是一項挑戰(zhàn),,但是依然可行。

  2.基于機器學(xué)習(xí)的分析能力,。安全系統(tǒng)會生成海量的數(shù)據(jù),,多到甚至最頂尖的犯罪專家都無法手動分析。機器學(xué)習(xí)算法可以發(fā)現(xiàn)能表明攻擊的最小的異常點,。盡管說一些安全專家不愿意將可視化權(quán)限讓渡給機器,,但是這是唯一能大規(guī)模部署XDR的途徑。醫(yī)療行業(yè)早在幾年前就遇到過同樣的問題:醫(yī)生不愿意讓機器學(xué)習(xí)系統(tǒng)閱讀核磁共振圖,,但是他們很快發(fā)現(xiàn),,如果讓機器學(xué)習(xí)去處理這些問題,那么醫(yī)生自己就有了更多時間治療病人,,而不是浪費在看數(shù)據(jù)上,。在這一點上,安全和XDR也一樣,。

  3.自動化響應(yīng),。和基于機器學(xué)習(xí)的分析能力類似,對安全事件進行自動化響應(yīng)也需要一定的信任,。有些人認(rèn)為自動化威脅響應(yīng)有風(fēng)險,,但是手動處理反而會降低響應(yīng)速度,從而一旦真有泄露事件發(fā)生就會導(dǎo)致企業(yè)數(shù)百萬元的損失,。一個好的折中方案,,可以讓XDR系統(tǒng)進行響應(yīng)方案推薦,而由安全團隊驗證這個方案并實施。這就跟特斯拉的自動駕駛類似:駕駛員依然需要把手放在方向盤上,,但是車卻是控制駕駛的一方,。

  4.協(xié)同響應(yīng)。自從網(wǎng)絡(luò)安全誕生以來,,無法讓網(wǎng)絡(luò),、終端、和云協(xié)同響應(yīng)的問題始終困擾著安全團隊,。網(wǎng)絡(luò)方面團隊可能注意到了威脅并及時阻斷,,但是沒有告訴終端負(fù)責(zé)團隊,導(dǎo)致一些惡意軟件在企業(yè)內(nèi)部悄悄運行,。XDR需要有一個集成的響應(yīng)系統(tǒng),,讓安全團隊從一個顯示表消除網(wǎng)絡(luò)、終端,、和云的威脅,。這樣就能形成快速響應(yīng),并且將威脅半徑保持在可控范圍內(nèi),。

  5.簡化工作流,。安全當(dāng)中有句話,叫做“復(fù)雜即敵人”,,這對XDR同樣適用,。如今,細(xì)分化的安全工具會造成一條幾乎看不到邊的告警流,,充滿了各種誤報噪音,。結(jié)果上來看,在過去幾年的重大安全事件中,,安全廠商都宣稱自己檢測到了事件,,但是安全團隊并未采取任何措施。太多的告警和無告警并沒本質(zhì)區(qū)別,。XDR系統(tǒng)需要提供一個基于簡化調(diào)查的完整視圖,,從而能夠輕松發(fā)現(xiàn)問題根源、事件的發(fā)生順序,、以及從多個來源獲取的威脅情報詳細(xì)信息,。

  XDR部署還有一點需要考慮的:雖然有許多優(yōu)秀的解決方案,但是只有在人員使用它們的時候才能顯現(xiàn)效果,。XDR的最佳實踐需要不同安全分組之間打破隔閡,,由CISO自上而下讓不同的安全團隊相互協(xié)作。XDR的概念已經(jīng)提出了兩年之久了,,而人員和流程也應(yīng)該演化,。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]