L'ancora di Enterprise Security è popolarmente conosciuta come a "Difesa in profondità" architettura. La difesa in profondità (DID) è un classico concetto difensivo utilizzato nell'esercito che ha trovato accettazione nella comunità di Infosec all'inizio degli anni 2000. L'implementazione/versione di Infosec di DID si è evoluta per affrontare le minacce man mano che il panorama delle minacce progrediva nel tempo.
Prima dell'avvento di Internet, i computer avevano solo la protezione AV perché la minaccia principale erano i virus. I virus sono stati trasferiti su supporti (floppy disk, ecc.). Con Internet, tutti i computer erano connessi e le minacce come i worm si diffondevano sulle reti, quindi dovevamo proteggere le reti e controllare innanzitutto chi entrava nelle reti, e così via.
Nella sua forma attuale, l'architettura DID è cresciuta per ospitare molti livelli ed è ancora in evoluzione. Quindi, l'architettura DID si è tradotta in sicurezza a più livelli: perimetro, rete, endpoint, applicazione, utente, dati, criteri, ecc. Per ogni livello è stato sviluppato un controllo separato e distinto per proteggere dalle minacce a quel livello. Ad esempio, i controlli di sicurezza tecnici includevano soluzioni come Firewall, gateway Web sicuri, IDS/IPS, EDR, DLP, WAFe anti-malware quando creo i miei prodotti.
Oltre a implementare la soluzione di sicurezza a più livelli nel panorama delle minacce in evoluzione nel tempo, le soluzioni erano di proprietà, gestite e gestite da diversi gruppi all'interno dell'azienda. Ad esempio, il Soluzione firewall era di proprietà del team dell'infrastruttura in IT. Un altro gruppo possedeva la soluzione di posta elettronica e un altro gruppo possedeva la soluzione di sicurezza degli endpoint. Ciò ha creato una soluzione a più livelli che esisteva indipendentemente da tutte le altre soluzioni. Quindi, il concetto di una soluzione autonoma con tutti gli insegnamenti è rimasto all'interno del team responsabile, in un silo.
Un altro attributo unico, le soluzioni migliori della razza, caratterizzava anche la soluzione a strati. Poiché le soluzioni si sono evolute, l'innovazione proveniva da fonti e discipline diverse e un diverso insieme di fornitori ha fornito ogni nuovo livello di soluzione.
L'approccio DID o stratificato alla sicurezza ha funzionato bene per le minacce a vettore singolo, ovvero quando la minaccia è entrata ed è uscita nello stesso vettore. Un classico esempio di queste prime minacce sono gli attacchi basati su reti rilevati da IDS / IPS, minacce e-mail come Spam tramite gateway e-mail, ecc.
Tuttavia, poiché le minacce diventano più complesse e l'avvento di strumenti di generazione di malware automatizzati, botnet e programmazione remota, il modello di sicurezza a più livelli sta andando in pezzi. Questo perché il presupposto inerente alla sicurezza a più livelli – che tutte le protezioni e i controlli siano perfettamente allineati per rilevare tutte le minacce e non ci siano punti ciechi – si sta rivelando falso. Ci sono punti ciechi in cui nessuno dei controlli ha visibilità. Di conseguenza, gli aggressori utilizzano i punti ciechi a proprio vantaggio, rendendo difficile il rilevamento di queste attività dannose.
Dalla nostra esperienza nell'affrontare una minaccia multi-vettore, è chiaro che tutti i controlli coinvolti in una minaccia multi-vettore hanno visibilità solo sui loro silos e nient'altro. Ricorda che questo è dovuto alla progettazione e al modo in cui la soluzione attuale si è combinata.
Inoltre, tutta la configurazione sottostante di infrastrutture separate, silos di dati e meccanismo di risposta significa che la gestione diretta del controllo è un problema del secondo ordine (n**2 – n). Tuttavia, avere uno strato sopra tutto per funzionare è un problema del primo ordine (2n) da risolvere.
Le opzioni per affrontare i punti ciechi sono le seguenti:
- Avere ogni copertura di controllo per il proprio vicino che non hanno interesse a fare.
- Assumi più analisti per estendere manualmente la visibilità oltre i silos
- Ottieni uno strumento in grado di fornire visibilità sui controlli e sui relativi dati nei silos e rilevare queste minacce multi-vettoriali utilizzando la raccolta, la correlazione, il rilevamento e la risposta automatizzati dei dati.
Se hai scelto l'opzione #3, hai ragione!
Indipendentemente dal nome, la soluzione in #3 è una busta che esamina tutti i controlli per rilevare, correlare, coordinare e fornire azioni di risposta alle minacce attraverso i silos.
E questo è il modo più efficiente per ottimizzare i sistemi di sicurezza a più livelli e multicontrollo.
Si chiama Open XDR.
Open XDR è il tessuto connettivo tra i controlli di sicurezza progettato per consentire ai team di sicurezza di dare un senso alla grande quantità di dati generati dai loro controlli di sicurezza. Il motivo per cui si chiama “Aperto” non è banale; è una caratteristica distintiva della soluzione. Open XDRs può importare dati da qualsiasi controllo di sicurezza, incluso qualsiasi EDR un'organizzazione si è schierata. Quindi, l'utilizzo di funzionalità di rilevamento appositamente progettate può sradicare quelle minacce multi-vettore che possono portare la tua organizzazione in prima pagina sul giornale (o sul sito Web di notizie) se non vengono rilevate.
Anche se non esiste un proiettile d'argento nella difesa informatica, Open XDR è un nuovo approccio promettente alla sicurezza che riduce al minimo i punti ciechi e rende più efficace un team di sicurezza.
