《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > XDR正在成為威脅檢測(cè)的演進(jìn)方向

XDR正在成為威脅檢測(cè)的演進(jìn)方向

2021-11-11
來(lái)源:安全牛
關(guān)鍵詞: XDR

  Gartner分析師Mark Harris日前表示,網(wǎng)絡(luò)攻擊者已經(jīng)將攻擊重點(diǎn)轉(zhuǎn)移到實(shí)現(xiàn)其目標(biāo)上——從專注于感染文件到感染系統(tǒng),,再到感染整個(gè)企業(yè),。作為網(wǎng)絡(luò)安全防御者,,及企業(yè)安全專業(yè)人士,需相應(yīng)地改進(jìn)檢測(cè)方法,,從跟蹤文件和哈希值并依靠簽名來(lái)阻止早期威脅,,轉(zhuǎn)向跟蹤其他指標(biāo)以防止更復(fù)雜的攻擊。

  現(xiàn)在,,攻擊者正在滲透企業(yè)組織并橫向移動(dòng)以完成其任務(wù),。無(wú)論是通過(guò)暗中偵察發(fā)動(dòng)攻擊,還是鎖定端點(diǎn)和服務(wù)器以索取贖金,,亦或是將一個(gè)企業(yè)作為進(jìn)入另一個(gè)企業(yè)的入口點(diǎn)展開攻擊,,無(wú)不顯示出網(wǎng)絡(luò)攻擊者的這一趨勢(shì)特點(diǎn)。因此,,我們必須持續(xù)改進(jìn)檢測(cè)方法,,并意識(shí)到其不再只是找到觸發(fā)攻擊的一個(gè)控制點(diǎn)或系統(tǒng),而是涉及整個(gè)企業(yè)的多個(gè)點(diǎn),。企業(yè)安全團(tuán)隊(duì)需要能夠?qū)⑦@些點(diǎn)聯(lián)系起來(lái),,檢測(cè)來(lái)自不同系統(tǒng)和來(lái)源的信息,,將數(shù)據(jù)和操作整合到一個(gè)視圖中,這樣就可以較全面地了解企業(yè)組織面臨的威脅并知道如何防御,。

  作為在企業(yè)全局啟用檢測(cè)和響應(yīng)的一種新模式,,擴(kuò)展檢測(cè)和響應(yīng)(XDR)已經(jīng)引起了企業(yè)安全團(tuán)隊(duì)的極大興趣。XDR的擴(kuò)展檢測(cè)目標(biāo)是將來(lái)自內(nèi)部和外部的不同來(lái)源數(shù)據(jù)結(jié)合起來(lái),,并將來(lái)自各個(gè)系統(tǒng)的原子事件連接到單個(gè)事件中,。正如咨詢公司Frost & Sullivan指出的那樣,“由于企業(yè)組織通常遵循同類最佳的原則,,因此集成對(duì)于實(shí)現(xiàn)XDR愿景來(lái)說(shuō)確實(shí)必不可少,。” 企業(yè)組織的所有系統(tǒng)和來(lái)源必須能夠協(xié)同工作,,從正確的工具中提取正確的數(shù)據(jù)來(lái)驗(yàn)證檢測(cè),,并最終做出有效響應(yīng)。

  這聽起來(lái)很簡(jiǎn)單,,但實(shí)際上是企業(yè)組織安全檢測(cè)能力的巨大轉(zhuǎn)變,。就其本身而言,來(lái)自企業(yè)組織所有內(nèi)部數(shù)據(jù)源的事件,,包括企業(yè)SIEM系統(tǒng),、日志管理存儲(chǔ)庫(kù)、案例管理系統(tǒng)和安全基礎(chǔ)設(shè)施,、內(nèi)部和云端系統(tǒng)等表面看似乎都是獨(dú)立的,。但是,如果企業(yè)安全團(tuán)隊(duì)可以匯總這些數(shù)據(jù),,并使用多個(gè)來(lái)源(商業(yè),、開源、政府,、行業(yè)和現(xiàn)有安全供應(yīng)商)的威脅數(shù)據(jù)自動(dòng)對(duì)其進(jìn)行擴(kuò)充和豐富,,就會(huì)看到完全不同的圖景。

  當(dāng)所有這些數(shù)據(jù)相互關(guān)聯(lián)并顯示在一個(gè)屏幕上,,并將不同系統(tǒng)看似孤立的事件聚集在一起,,共同完成攻擊事件拼圖時(shí),安全團(tuán)隊(duì)就可以識(shí)別整個(gè)企業(yè)的關(guān)系并檢測(cè)惡意活動(dòng),。這種企業(yè)全局范圍內(nèi)的檢測(cè)活動(dòng),,自然會(huì)推動(dòng)企業(yè)安全團(tuán)隊(duì)深入了解并觸發(fā)進(jìn)一步調(diào)查。因此,,我們對(duì)檢測(cè)的現(xiàn)代定義,,還必須包括在該共享視圖中將相關(guān)數(shù)據(jù)與內(nèi)部資源(例如受影響用戶身份)關(guān)聯(lián)起來(lái)的能力。例如,如果網(wǎng)絡(luò)犯罪分子的攻擊目標(biāo)包括財(cái)務(wù)部門,、人力資源或最高管理層,,這可能表明企業(yè)組織存在更嚴(yán)重的威脅。

  一些外部工具,,例如MITRE ATT&CK等框架以及用于DNS查找,、URL和惡意軟件分析的第三方工具,會(huì)顯示事件中的數(shù)據(jù)點(diǎn)是否具有共同指標(biāo),。利用這些工具,,安全團(tuán)隊(duì)可以了解企業(yè)組織是否面臨更大規(guī)模的攻擊活動(dòng),以及需要尋找哪些指標(biāo),、策略和技術(shù),。通過(guò)內(nèi)外部數(shù)據(jù)聚合、相關(guān)性調(diào)查等,,不斷更新對(duì)檢測(cè)的定義,,以涵蓋更廣度和更深入的理解,為企業(yè)安全團(tuán)隊(duì)提供所需信息,,以便其更快地執(zhí)行安全措施,,就是我們持續(xù)改進(jìn)檢測(cè)方法的意義所在,這反過(guò)來(lái)又會(huì)影響我們對(duì)響應(yīng)的定義,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。