在过去的一年里,大小安全制造商逐渐投资XDR(eXtended Detection and Response)在这一领域:一些制造商从终端安全开始,而另一些制造商则从 *** 层面开始。这是一个很好的切入点,毕竟,XDR价值在于将安全从一系列终端产品转移到一个独立的平台,从而实现企业威胁的可视化能力。数据将从不同的执行点获取,然后进行分析,使企业能够更快地发现威胁,并根据威胁的辐射半径进行响应。
像EDR这种传统的安全工具往往只能发现威胁,很难真正理解威胁——特别是威胁来自那些不会发生的人“正确行为”中间。这也是为什么大多数检测和响应工具在检测能力上往往比响应能力更好的原因——而XDR这种情况可以改变。
XDR贯穿各个安全层面,这也是很多厂商加入这个圈子的原因。XDR有很多“服务商”,有一些提供真正的XDR有些只是顶着解决方案XDR只是名字。在这里选择。XDR企业有五项筛选建议:
1. 跨安全图谱的可视化能力
XDR中的“X”意为“扩展”,因此XDR该工具需要广泛的可视化能力,但指望安全制造商对所有威胁都有相关的安全产品显然是不现实的。XDR制造商应至少提供终端、云和 *** 的可视化能力,然后将第三方数据整合到电子邮件、应用程序等领域。理论上,XDR制造商应该有三个支柱能力,然后通过合作伙伴模式输出其他能力。将相应的能力连接到不同的系统是一个挑战,但它仍然是可行的。
2. 基于机器学习的分析能力
安全系统会产生大量的数据,甚至顶级犯罪专家也无法手动分析。机器学习算法可以发现攻击的最小异常点。虽然一些安全专家不愿意将可视化权限 *** 给机器,但这是唯一能够大规模部署的XDR *** 。早在几年前,医疗行业就遇到了同样的问题:医生不愿意让机器学习系统阅读磁共振图,但他们很快发现,如果机器学习被允许处理这些问题,医生自己就有更多的时间来治疗病人,而不是浪费数据。此时,安全和XDR也一样。
3. 自动响应
与基于机器学习的分析能力类似,安全事件的自动响应也需要一定的信任。有些人认为自动威胁响应是有风险的,但手动处理会降低响应速度,一旦发生泄漏事件,就会导致数百万元的损失。一个好的妥协计划可以让XDR系统推荐响应方案,安全团队验证并实施。这类似于特斯拉的自动驾驶:司机仍然需要把手放在方向盘上,但汽车是控制器。
4. 协同响应
自 *** 安全诞生以来, *** 、终端和云协同响应的问题一直困扰着安全团队。 *** 团队可能注意到威胁并及时阻止,但没有告诉终端负责团队,导致一些恶意软件在企业内部悄然运行。XDR安全团队需要一个集成的响应系统来消除 *** 、终端和云的威胁。这样,就可以形成快速响应,并将威胁半径保持在可控范围内。
5. 简化工作流
安全中有句话叫安全“复杂即敌人”,这对XDR同样适用。如今,细分的安全工具会造成几乎看不见的报警流,充满各种误报噪音。因此,在过去几年的重大安全事件中,安全制造商声称他们已经检测到了事件,但安全团队没有采取任何措施。太多的报警和没有报警没有本质区别。XDR系统需要提供一个基于简化调查的完整视图,以便从多个来源轻松找到问题的根源、事件的顺序和威胁情报的详细信息。
XDR部署还有一点需要考虑:虽然有很多优秀的解决方案,但只有在人员使用时才能显示效果。XDR更好的做法是打破不同安全分组之间的隔阂CISO让不同的安全团队自上而下合作。XDR概念已经提出两年了,人员和流程也应该演变。