Open XDR 사례 – X는 모든 것을 의미합니다

사무엘 존스
현재 모델 사이버 보안 고장났습니다. 로그 또는 트래픽을 분석하고 위협이 될 수있는 이상 징후를 탐지하기 위해 각각 자체 콘솔이있는 많은 독립 실행 형 도구를 획득 및 배포하는 것으로 구성됩니다. 이 모델에서 각 도구의 개별 탐지 (각각 자체가 양호 해 보일 수 있음)가 다른 도구의 다른 탐지와 상호 연관되어 복잡한 공격을 드러 낼 수 있는지 여부를 결정하기 위해 다른 분석가와 통신하는 것은 각 보안 분석가에게 달려 있습니다.

이 모델은 기업이 다음으로 구성된 복잡한 보안 스택을 생성하도록합니다. , 높이 치솟다, EDR, NDR 그리고 기업을 도구화하고, 위협을 식별하고, 위협에 대응하고, 위험을 관리 할 목적으로 사용됩니다. 이러한 모든 도구를 획득하고 라이선스를 관리하는 것은 복잡하고 비용이 많이 들며 각 도구의 탐지를 비교하는 데 필요한 수동 상관 관계로 인해 전체 보안 인프라에 많은 공백이 남습니다. 

분석가는 종종 이러한 시스템에 의해 오 탐지로 인해 "경고 피로"와 직무 불만족을 유발합니다. 기존에 만족한다고 선언 한 기업도 그리고 다른 도구는 멀티 도구 보안 인프라를 구축하는 데 투입 한 시간과 에너지의 양이 필요한 결과를 제공하지 못한다는 것을 인정합니다.

XDR의 사례

XDR 또는 확장 된 탐지 및 대응는 탐지 및 응답을 수행하는 모든 기술에 대한 포괄적 인 정의가되었습니다. 약어에서 X는 실제로 변수이기 때문입니다. X는 "Endpoint +"또는 "Network +"를 나타낼 수 있지만 사일로 화 된 도구, 관련되지 않은 데이터 및 경고 피로로 인한 기업의 현재 고통은 무시합니다. XDR의 전체 목표는 이러한 문제를 해결하는 것이므로 X는 "모든 것"을 의미해야합니다. 모든 것은 탐지 및 대응을 통해 전체 공격 표면을 덮는 플랫폼 접근 방식을 의미합니다.

이 플랫폼 접근 방식은 사일로 화 된 도구를 통합 된 도구 세트로 변환하고, 관련없는 데이터를 공격 표면의 살아있는 상관 된 표현으로 변환하고, 경고 피로를 마음의 평화로 변환함으로써 오늘날의 깨진 모델을 수정할 수 있습니다. 기술이이 목표를 실현하는 방법이 핵심 아키텍처 질문입니다. 오늘날 XDR에는 개방형과 네이티브의 두 가지 유형이 있습니다.

개방형 vs. 네이티브 XDR

  • XDR 열기 공격 표면 전체에 걸쳐 기존 보안 도구의 원격 측정 및 대응 기능을 활용할 수있는 개방형 아키텍처를 통해 제공됩니다.
  • 네이티브 XDR 공격 표면 전반에 걸쳐 원격 측정 및 대응을 제공하는 단일 공급 업체의 보안 도구 모음에서 제공됩니다.

XDR 플랫폼의 아키텍처 접근 방식에 관계없이 XDR로 간주 되려면 다음과 같은 기술 요구 사항을 충족해야합니다.

  • 배포 가능성 - 확장 성, 가용성 및 배포 유연성을위한 클라우드 네이티브 마이크로 서비스 아키텍처
  • 데이터 융합 - 네트워크, 클라우드, 엔드 포인트, 애플리케이션 및 ID를 포함한 전체 공격 표면에 걸쳐 정규화되고 강화 된 데이터
  • 상관 관계 - 여러 보안 도구에서 높은 충실도 상관 탐지
  • 지능형 대응 – 동일한 플랫폼에서 원 클릭 또는 자동 응답


에 대한 일반적인 오해 오픈 대. 네이티브 XDR 상호 배타적 인 유형의 XDR입니다. 그렇지 않습니다. XDR 플랫폼은 완전히 개방 될 수 있고 부분적으로 네이티브 일 수 있습니다. 예를 들어 XDR 플랫폼 다른 공급 업체의 기존 도구와 공개적으로 통합하면서 공급 업체의 몇 가지 기본 제공 도구를 가질 수 있습니다. 이를 통해 컴포저 블 보안 전략, 기존 도구를 활용하는 동시에 고객이 적절한시기와 장소에서 일부 도구를 종료 할 수 있습니다.

XDR의 치수
플랫폼이 접근 방식에서 취하는 Open vs. Native XDR의 구성은 목적을위한 수단입니다. 특히 플랫폼이 전체 공격 표면에서 탐지 및 대응을 수행하는 방식입니다. XDR 구매자는 아키텍처 접근 방식을 최종 수단으로보고 기업을위한 최선의 결정을 내려야합니다.

이상적인 XDR은 개방적입니다

전체 보안 스택을 단일 공급 업체로 옮기고 폐쇄 형을 채택하는 데 문제가없는 일부 기업은 네이티브 XDR 플랫폼. 예를 들어 전체 공격 표면을 덮는 데 덜 신경을 쓰고 엔드 포인트에 대한 탐지와 대응 만 원하는 기업도있을 것입니다. 이 경우 그들은 EDR 기반 네이티브 XDR 플랫폼.

그러나 대부분의 기업에서는 개방형 XDR 플랫폼 최우선 순위로 봐야합니다. 왜? 단일 공급 업체가 최고의 클라우드, 엔드 포인트, 네트워크, ID 등 도구를 만들거나 획득 할 수 없기 때문에 네이티브 전용 XDR 플랫폼은 동급 최고의 제품이 아닙니다. 또한 기업이 이미 기존 보안 도구를 배포하는 데 상당한 자본과 노력을 투자했습니다. 이러한 투자를 포기하고 싶지 않을 것입니다. 네이티브 XDR 솔루션은 이러한 도구와 상호 작용하지 않으며 해당 기업의 전체 공격 표면을 포착하지 못합니다. 만약 개방형 XDR 플랫폼 성장하는 기업에 대한 공격 표면의 특정 영역을 커버하는 몇 가지 기본 속성이 있습니다. 그러나 먼저 Open이어야합니다.

결국 기업이 컴포저 블 보안 전략을 정의하고 실행하고 플랫폼을 통해 XDR의 모든 기술 요구 사항을 제공하려면 개방형 XDR 플랫폼 그렇게하는 유일한 현실적인 방법입니다.