Cybersecurity la protezione si basa sui dati provenienti da sensori e sistemi in tutta l'infrastruttura dell'organizzazione. Ma i dati senza alcun background o contesto creano solo rumore irrilevante che frustra e distrae gli analisti. Senza una piattaforma integrata per correlare tutti quei dati, i team di sicurezza vengono sepolti in una quantità schiacciante di falsi allarmi.
XDR è specificamente progettato per incorporare più motori di sicurezza che correlano e valutano set di dati normalizzati archiviati in un data lake leggero. Con molti motori di sicurezza al lavoro (incluso Threat intelligence, Analisi del comportamento degli utenti, IDS, File Sandboxing e rilevamento di anomalie basato su Machine Learning), diventa possibile correlare tutta la telemetria. Inoltre, puoi valutare con precisione un potenziale incidente in pochi secondi considerando tutto ciò che è noto sul sistema, sulla risorsa o sull'account.
XDR Sfide di implementazione
Dalla nostra esperienza in CyFlare, ci sono diverse sfide nell'implementazione di un XDR sistemaAd esempio, in alcuni casi, le parti interessate rilevanti come i team di amministrazione di rete/sistemi/IT non vengono informate del passaggio a XDR, oppure non hanno aderito alla nuova strategia. Un altro problema è che i sistemi e le fonti di dati non vengono inventariati ed elaborati correttamente per determinare se i dati debbano essere reperiti o se l'integrazione API debba essere sfruttata per potenziali azioni di risposta da parte dell' XDR sistema, come la richiesta di ulteriori dati o l'attuazione di modifiche alle politiche. Una terza sfida è la mancanza di riunioni regolari tra SOC, gestione IT, gestione di rete e team di leadership per discutere tendenze e azioni di miglioramento continuo.
Raccomandazioni per l'implementazione
Ecco alcune azioni che puoi intraprendere per preparare il terreno per un XDR implementazione e garantire che tutto proceda senza intoppi.
- Assicurarsi che l'organizzazione abbia creato almeno una politica di sicurezza delle informazioni per identificare i requisiti e le decisioni fondamentali.
- Comunicare tempestivamente e spesso con le principali parti interessate sui vantaggi di XDR e come avrà un impatto su tutti i dipartimenti e gli utenti. In questo modo, le parti interessate conoscono i vantaggi del XDR strategia e di comune accordo.
- Esegui l'inventario di tutte le potenziali origini dati, comprese le app SaaS dell'organizzazione, i dispositivi di rete, gli strumenti di sicurezza e le applicazioni personalizzate.
- Scegli un XDR fornitore che può integrarsi in modo innato con tutte o la maggior parte delle tue fonti di dati per garantire che i dati critici possano essere reperiti e normalizzati all'interno XDR piattaforma.
- Identificare quali azioni di risposta sono possibili per ogni integrazione (connettore) offerta dal XDR piattaforma. Ciò contribuirà a determinare quali strategie possono essere elaborate per accelerare il contenimento e l'eliminazione delle minacce identificate.
- Discutere potenziali azioni di risposta automatizzata con gli stakeholder aziendali. Senza un'adeguata comunicazione e pianificazione è possibile causare interruzioni significative all'attività. Playbook ben congegnati sono una componente essenziale per sfruttare le azioni di risposta.
Requisiti del personale
È inoltre necessario assicurarsi di disporre del personale adeguato per implementare le raccomandazioni di cui sopra. Avrete bisogno di un CISO o di un CISO virtuale all'interno del vostro staff: XDR è specificamente pensato per le organizzazioni strategiche in materia di sicurezza che danno priorità alla sicurezza e la rendono una parte fondamentale del loro business, e il CISO guiderà la strategia complessiva. Successivamente, avrai bisogno di un architetto della sicurezza per identificare le fonti, i potenziali casi d'uso per il rilevamento e coordinare i relativi playbook. Infine, avrai bisogno di un SOC con risorse associate, tra cui leadership, strumenti di escalation e copertura di livello 1 24 ore su 24, 7 giorni su 7, oppure sarà necessario coinvolgere un MSSP esternalizzato.
Nella nostra esperienza, un Open XDR Una piattaforma che integra gli strumenti di sicurezza esistenti, offrendo al contempo le proprie funzionalità native, è la soluzione migliore per una visibilità e una protezione di sicurezza complete. Con una piattaforma come Stellar Cyber, siamo stati in grado di creare la visibilità e il contesto a livello di infrastruttura necessari per rispondere agli incidenti di sicurezza in pochi secondi o minuti, anziché in giorni o settimane.
