.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
數據可以說是互聯網時代的黃金和鑽石。黑客一直在虎視眈眈的盯著這塊肥肉,他們不斷地計劃、準備和執行複雜的有針對性的攻擊,剝奪企業有價值的數據。
擴展檢測和響應(XDR) 提供了一種保護業務數據免受高級威脅的方法。 XDR 安全解決方案旨在簡化事件響應,為安全團隊配備創新的威脅檢測技術,以改進和加速響應工作流程。然而,大多數現成的XDR 平台僅涵蓋常見任務,迫使具有獨特安全需求的組織尋找可定制的選項。
在本文中,我們將仔細研究XDR 平台的本質,討論XDR 的優勢,比較不同類型的平台,並分析常見架構和功能集。我們還概述瞭如果您決定構建或定制這樣的平台需要注意的事項。本文將有助於技術領導者評估各種實施選項並考慮創建自定義XDR 解決方案。
如何利用XDR 增強業務數據安全業務數據駐留在多個端點並通過無盡的渠道流動,形成了一個如此龐大和復雜的安全環境,傳統工具無法再對其進行保護。
由於沒有集中的地方來監控、分析和管理數據的安全性,企業在面對高級威脅和復雜的網絡安全攻擊時常常感到茫然不知所措。最近迫切需要轉向遠程工作,這凸顯了擁有這樣一個集中的數據可見性和管理點的重要性和價值。
針對這一需求,安全專業人士提出了一個新概念:擴展檢測和響應。
什麼是XDR 平台?
雖然XDR 平台還沒有統一的定義,但該概念的創建者Nir Zuk和Microsoft提出的流行定義可以總結如下:
XDR 平台是一種解決方案,它提供了一個統一點,用於從各種來源收集安全數據,從而實現上下文數據分析、高級威脅檢測和有效響應。
XDR 安全平台的概念可以被視為其前身演變的下一步:
端點檢測和響應(EDR)
安全信息和事件管理(SIEM)
安全編排、自動化和響應(SOAR)
XDR 系統應該與其前身有效集成,不僅包括先進的EDR、SIEM和SOAR 系統,還包括防火牆和防病毒軟件等更常見的工具。利用所有這些工具和系統作為數據和功能源,XDR 使安全團隊最終能夠克服他們過去處理的限制和網絡安全問題,我們將在下一節中介紹這些問題。
您的企業如何從使用XDR 平台中受益?儘管XDR 解決方案的功能集可能有所不同,但它們的目標保持不變- 幫助安全專家解決傳統網絡安全工具的常見局限性:
來自不同安全工具和服務的孤立數據。此類數據降低了威脅檢測和事件響應的效率,因為安全專家必須手動關聯不同來源的數據才能了解事件的全貌。 XDR 平台可以通過將來自不同系統、服務和工具的數據聚合到一個地方來幫助簡化數據管理。
缺乏跨多個安全層的可見性。大量安全數據來自不同的IT 環境:端點、網絡和雲。使用傳統的網絡安全工具,很難從所有數據中構建出一個大的、統一的圖片。例如,通過EDR,您可能會看到攻擊者使用的入口點,但有關攻擊的進一步分佈以及受其影響的用戶和系統的信息有限。 XDR 解決方案擴展了整個IT 基礎設施的可見性,使安全專家能夠關聯來自不同來源的威脅指標並獲取每個事件的完整背景。
大量誤報導致警報疲勞。這給安全團隊帶來了不必要的開銷,並增加了低效處理造成真正危險的事件和威脅的風險。 XDR 平台可以通過統一從不同來源收集的數據、應用高級警報規則以及提高整體工作流程自動化來減少發送給安全團隊的警報數量。
來自多種攻擊媒介的高級威脅以及使用機器學習(ML) 和人工智能(AI) 等先進技術執行的攻擊。傳統安全解決方案很難檢測到此類威脅。通過應用先進的分析技術、機器學習和人工智能機制來關聯和處理收集的數據,XDR 工具可以更輕鬆地檢測和響應此類威脅。
主要基於手動操作的不良事件響應很容易出現人為錯誤,並通過增加平均響應時間來升級威脅。借助XDR,您可以訪問改進的威脅分析和響應操作的精細自動化,從而提高安全團隊的效率。
借助XDR 平台檢測威脅並緩解威脅的通常工作流程包括三個主要階段:
1. 攝取— 從不同來源收集數據:端點、雲環境、網絡流量等。
2. 檢測— 使用先進的機器學習算法和人工智能模型關聯和分析收集的數據。
3. 響應— 根據檢測到的威脅的優先級安排自動響應,並收集手動調查所需的上下文數據。
雖然XDR 安全概念相對較新,但企業已經面臨多個XDR 平台可供選擇。在以下部分中,我們將討論在尋找適合您業務需求的XDR 平台時應注意的事項,以及如何確定構建自定義平台是否對您有利。
選擇正確的XDR 解決方案時應遵循的標准在決定將哪種現成XDR 產品用於組織的網絡安全時,請注意以下三個主要標準:
所需功能— 在完成相同的高級任務的同時,現成的XDR 安全工具提供不同的功能集。有些可能擁有更強大的人工智能模塊,而另一些則提供複雜的數據保護機制。做出最終選擇時請考慮您的個人要求。
配置靈活性— 您希望XDR 系統的靈活性越高,找到合適的系統就越困難。然而,在配置數據聚合、事件響應場景或報告時,靈活性至關重要。提前確定您想要高度可定制的功能。
易於管理——作為一個複雜的解決方案,XDR 平台可能很難編排和管理。根據平台的類型(稍後詳細介紹),您可能需要付出額外的努力來配置和維護它。
了解這些標準將幫助您確定XDR 系統的核心要求,從而找到適合您的系統。
評估現成的XDR 解決方案時需要考慮的另一個重要細節是平台類型。目前,您可能會遇到兩種常見的XDR解決方案:
1. 原生XDR 平台集成了來自單一供應商的安全工具和解決方案。此類平台的主要優點之一是最大限度地減少兼容性和集成問題。與此同時,這些平台最容易受到供應商鎖定,因此靈活性最差。使用第三方工具擴展平台功能的選項並不多。
本機XDR 的常見示例包括Microsoft 365 Defender、Cisco XDR 和Palo Alto Networks Cortex XDR。
2. 開放XDR平台不限於單一供應商的產品和服務。雖然仍然提供集中式平台管理功能,但它們依賴於不同供應商的第三方工具和服務。與原生平台相比,此類平台往往更加靈活,但仍然存在供應商鎖定的風險,因為您很少能夠選擇核心功能的提供商。
據Gartner 稱,開放XDR 包括Splunk、LogRhythm 和QRadar。
一些XDR 供應商以託管服務的形式提供解決方案。與雲服務提供商類似,託管檢測和響應(MDR)供應商自行幫助企業配置和編排其網絡安全資源。然而,就像常規雲服務一樣,默認的MDR 服務是基於訂閱的,這對於某些企業來說可能不是最佳的財務解決方案。它們還提供有限的可擴展性和靈活性,並且並不總能滿足醫療保健或金融等受到嚴格監管的行業的獨特要求。
據Gartner 稱,提供MDR 服務的供應商包括Sophos、ReliaQuest 和Arctic Wolf。
如果現有解決方案沒有完全滿足您的要求,您可以考慮可能的自定義選項- 下一節將詳細介紹。