Das aktuelle Modell für Internet-Sicherheit ist kaputt. Es besteht aus dem Erwerb und der Bereitstellung vieler eigenständiger Tools mit jeweils eigener Konsole, um Protokolle oder Datenverkehr zu analysieren und Anomalien zu erkennen, die Bedrohungen darstellen könnten. In diesem Modell muss jeder Sicherheitsanalyst mit anderen Analysten kommunizieren, um festzustellen, ob die individuelle Erkennung jedes Tools (von denen jede für sich gutartig aussieht) mit anderen Erkennungen anderer Tools korrelieren kann, um einen komplexen Angriff aufzudecken.
Dieses Modell zwingt Unternehmen dazu, komplexe Sicherheitsstapel zu erstellen, die aus SIEM, STEIGEN, EDR, NDR und mehr, um das Unternehmen zu instrumentieren, Bedrohungen zu identifizieren, auf Bedrohungen zu reagieren und Risiken zu managen. Der Erwerb all dieser Tools und die Verwaltung ihrer Lizenzen ist komplex und teuer, und die manuelle Korrelation, die zum Vergleich der Erkennungen der einzelnen Tools erforderlich ist, lässt viele Lücken in der gesamten Sicherheitsinfrastruktur.
Analysten werden häufig auch von diesen Systemen mit Fehlalarmen bombardiert, was zu „Alarmmüdigkeit“ und Arbeitsunzufriedenheit führt. Auch Unternehmen, die sich mit ihrem Bestehen zufrieden geben SIEM und andere Tools werden zugeben, dass die Zeit und Energie, die sie in den Aufbau einer Sicherheitsinfrastruktur mit mehreren Tools gesteckt haben, nicht die erforderlichen Ergebnisse liefert.
Der Fall für XDR
XDRden Erweiterte Erkennung und Reaktion„Erkennung und Reaktion“ hat sich zu einer Sammelbezeichnung für jegliche Technologie entwickelt, die Erkennung und Reaktion durchführt, da X in dem Akronym eigentlich eine Variable ist. Obwohl X für „Endpoint+“ oder „Netzwerk+“ stehen kann, ignoriert dies die aktuellen Probleme von Unternehmen mit isolierten Tools, unkorrelierten Daten und der Flut an Warnmeldungen. Das gesamte Ziel von XDR Ziel ist es, dieses Problem zu lösen, und deshalb muss X „Alles“ bedeuten. Alles impliziert dann einen Plattformansatz, der die gesamte Angriffsfläche durch Erkennung und Reaktion abdeckt.
Dieser Plattformansatz kann das heutige, dysfunktionale Modell reparieren, indem er isolierte Tools in ein einheitliches Toolset überführt, unkorrelierte Daten in eine dynamische, korrelierte Darstellung der Angriffsfläche umwandelt und die Alarmmüdigkeit in Sicherheit verwandelt. Wie eine Technologie dieses Ziel erreicht, ist die zentrale architektonische Frage. Es gibt zwei Arten von XDR Heute: Offen und nativ.
Offene vs. native XDR
- Open XDR wird über eine offene Architektur bereitgestellt, die die Telemetrie- und Antwortfunktionen vorhandener Sicherheitstools auf der gesamten Angriffsfläche nutzen kann
- Ureinwohner XDR wird von der Sicherheitstool-Suite eines einzelnen Anbieters geliefert, die Telemetrie und Reaktion auf der gesamten Angriffsfläche bietet
Ungeachtet des architektonischen Ansatzes eines XDR Um als Plattform in Betracht gezogen zu werden, muss sie die folgenden technischen Anforderungen erfüllen. XDR:
- Bereitstellbarkeit - Cloud-native Microservice-Architektur für Skalierbarkeit, Verfügbarkeit und Bereitstellungsflexibilität
- Datenzusammenführung - Normalisierte und angereicherte Daten über die gesamte Angriffsfläche, einschließlich Netzwerk, Cloud, Endpunkte, Anwendungen und Identität
- Korrelation - Korrelierte Erkennungen mit hoher Wiedergabetreue über mehrere Sicherheitstools hinweg
- Intelligente Antwort - Ein-Klick oder automatisierte Antwort von derselben Plattform
Ein häufiges Missverständnis über Offen vs. nativ XDR ist, dass es sich um sich gegenseitig ausschließende Arten handelt XDRDas sind sie nicht. XDR Eine Plattform kann vollständig offen und teilweise nativ sein. Zum Beispiel eine XDR Lernumgebung kann einige integrierte Tools von seinem Anbieter haben, während sie offen in die vorhandenen Tools der anderen Anbieter integriert werden. Dies ermöglicht eine Composable Security-Strategie, die es ermöglicht, die vorhandenen Tools zu nutzen und dem Kunden zu ermöglichen, einige von ihnen zu beenden, wann und wo sie es für richtig halten.
Die Zusammensetzung von Open vs. Native XDR Der Ansatz einer Plattform ist ein Mittel zum Zweck: genauer gesagt, wie die Plattform die Erkennung und Reaktion auf der gesamten Angriffsfläche durchführt. Käufer von XDR Sie müssen den architektonischen Ansatz als Mittel zum Zweck betrachten und die beste Entscheidung für ihr Unternehmen treffen.
Das Ideal XDR ist offen
Es wird einige Unternehmen geben, die kein Problem damit haben, ihren gesamten Sicherheitsstapel auf einen einzigen Anbieter zu verlagern und einen geschlossenen Anbieter zu übernehmen. Ureinwohner XDR Lernumgebung. Es wird auch einige Unternehmen geben, denen es weniger wichtig ist, die gesamte Angriffsfläche abzudecken, und die beispielsweise nur Erkennung und Reaktion für ihre Endpunkte wünschen. In diesem Fall sollten sie eine verfolgen EDR-basierte Native XDR Lernumgebung.
Für die meisten Unternehmen ist jedoch eine Open XDR Lernumgebung Dies muss als oberste Priorität betrachtet werden. Warum? Weil kein einzelner Anbieter jemals in der Lage sein wird, die besten Tools für Cloud, Endpunkte, Netzwerk, Identität usw. zu entwickeln oder zu erwerben. Daher ist eine ausschließlich native Lösung unerlässlich. XDR Die Plattform wird nicht die beste ihrer Art sein. Darüber hinaus ist es äußerst wahrscheinlich, dass das Unternehmen über bereits investierte beträchtliches Kapital und Aufwand in die Bereitstellung vorhandener Sicherheitstools - es wird diese Investitionen nicht aufgeben wollen, also eine geschlossene, Ureinwohner XDR Die Lösung würde nicht mit diesen Tools interagieren und nicht die gesamte Angriffsfläche in diesem Unternehmen erfassen. Wenn ein Open XDR Lernumgebung hat einige native Attribute, um bestimmte Bereiche der Angriffsfläche für wachsende Unternehmen abzudecken, großartig. Aber es muss zuerst offen sein.
Letztendlich gilt: Wenn ein Unternehmen eine Strategie für zusammensetzbare Sicherheit definieren und umsetzen und alle Funktionen nutzen möchte, XDRdie technischen Anforderungen von werden über eine Plattform bereitgestellt, eine vollständig Open XDR Lernumgebung ist der einzig realistische Weg, dies zu tun.
