Bieżący model dla bezpieczeństwo cybernetyczne jest zepsuta. Polega na pozyskaniu i wdrożeniu wielu samodzielnych narzędzi, każde z własną konsolą, do analizowania dzienników lub ruchu i wykrywania anomalii, które mogą być zagrożeniami. W tym modelu każdy analityk bezpieczeństwa musi komunikować się z innymi analitykami w celu określenia, czy indywidualne wykrycie każdego narzędzia (z których każde samo w sobie może wyglądać łagodnie) może korelować z innymi wykryciami z innych narzędzi w celu ujawnienia złożonego ataku.
Model ten zmusza przedsiębiorstwa do tworzenia złożonych stosów zabezpieczeń składających się z plików SIEM, SZYBOWAĆ, EDR, NDR i nie tylko w celu oprzyrządowania przedsiębiorstwa, identyfikacji zagrożeń, reagowania na zagrożenia i zarządzania ryzykiem. Nabycie wszystkich tych narzędzi i zarządzanie ich licencjami jest złożone i kosztowne, a ręczna korelacja wymagana do porównania wykrytych narzędzi pozostawia wiele luk w ogólnej infrastrukturze bezpieczeństwa.
Analitycy są często bombardowani fałszywymi alarmami również przez te systemy, co powoduje „zmęczenie czujnością” i niezadowolenie z pracy. Nawet przedsiębiorstwa, które deklarują, że są zadowolone z ich istnienia SIEM a inne narzędzia przyznają, że ilość czasu i energii, które włożono w zbudowanie infrastruktury zabezpieczeń obejmującej wiele narzędzi, nie przynosi wymaganych rezultatów.
Sprawa dla XDR
XDRlub Rozszerzone wykrywanie i reagowanie, stało się uniwersalną definicją każdej technologii realizującej wykrywanie i reagowanie, ponieważ w akronimie X jest w rzeczywistości zmienną. Chociaż X może reprezentować „punkt końcowy+” lub „sieć+”, pomija to obecne problemy przedsiębiorstw związane z wyizolowanymi narzędziami, nieskorelowanymi danymi i zmęczeniem alertami. Cały cel XDR ma na celu rozwiązanie tego problemu, dlatego X musi oznaczać „Wszystko”. Wszystko zatem oznacza podejście platformowe obejmujące całą powierzchnię ataku poprzez wykrywanie i reagowanie.
To podejście platformowe może naprawić dzisiejszy wadliwy model poprzez przekształcenie odizolowanych narzędzi w ujednolicony zestaw narzędzi, przekształcenie nieskorelowanych danych w żywą, skorelowaną reprezentację powierzchni ataku oraz przekształcenie zmęczenia alertami w spokój ducha. Kluczowym pytaniem architektonicznym jest to, jak technologia realizuje ten cel. Istnieją dwa rodzaje XDR dziś: Otwarte i Natywne.
Otwarte kontra natywne XDR
- Open XDR jest dostarczany za pośrednictwem otwartej architektury zdolnej do wykorzystania telemetrii i możliwości reagowania istniejących narzędzi bezpieczeństwa na całej powierzchni ataku
- Tubylec XDR jest dostarczany z pakietu narzędzi bezpieczeństwa jednego dostawcy, który zapewnia dane telemetryczne i reakcję na całej powierzchni ataku
Niezależnie od podejścia architektonicznego XDR platforma musi spełniać następujące wymagania techniczne, aby mogła zostać rozpatrzona XDR:
- Możliwość rozmieszczania - Natywna dla chmury architektura mikrousług zapewniająca skalowalność, dostępność i elastyczność wdrażania
- Fuzja danych - Znormalizowane i wzbogacone dane z całej powierzchni ataku, w tym sieci, chmury, punktów końcowych, aplikacji i tożsamości
- Korelacja - Wykrycia skorelowane o wysokiej wierności w wielu narzędziach bezpieczeństwa
- Inteligentna reakcja - Jedno kliknięcie lub automatyczna odpowiedź z tej samej platformy
Powszechne błędne przekonanie na temat Otwarte kontra natywne XDR jest to, że są to wzajemnie wykluczające się typy XDR. Nie są. XDR Platforma może być w pełni otwarta i częściowo natywna. Na przykład XDR Platforma może mieć kilka wbudowanych narzędzi od swojego dostawcy, jednocześnie otwarcie integrując się z istniejącymi narzędziami innych dostawców. Umożliwia to strategię Composable Security, możliwość wykorzystania istniejących narzędzi, jednocześnie umożliwiając klientowi wyłączenie niektórych z nich, kiedy i gdzie uznają to za stosowne.
Skład Open vs. Native XDR podejście platformy jest środkiem do celu: konkretnie, w jaki sposób platforma realizuje wykrywanie i reagowanie na całą powierzchnię ataku. Kupujący XDR muszą traktować podejście architektoniczne jako środek do osiągnięcia celu i podjąć najlepszą decyzję dla swojego przedsiębiorstwa.
Ideał XDR jest otwarte
Niektóre przedsiębiorstwa nie będą miały problemu z przeniesieniem całego stosu zabezpieczeń do jednego dostawcy i przyjęciem zamkniętego, Tubylec XDR Platforma. Pojawią się również przedsiębiorstwa, które mniej dbają o pokrycie całej powierzchni ataku i chcą na przykład wykrywania i reagowania tylko na swoje punkty końcowe. W takim przypadku powinni dążyć do uzyskania pliku Natywny oparty na EDR XDR Platforma.
Jednak w przypadku większości przedsiębiorstw plik Open XDR Platforma musi być traktowane jako najwyższy priorytet. Dlaczego? Ponieważ żaden pojedynczy dostawca nigdy nie będzie w stanie stworzyć ani nabyć najlepszych narzędzi chmurowych, punktów końcowych, sieciowych, tożsamościowych itp., dlatego rozwiązanie natywne XDR Platforma nie będzie najlepsza w swojej klasie. Ponadto jest bardzo prawdopodobne, że przedsiębiorstwo ma już zainwestował znaczny kapitał i wysiłek we wdrażanie istniejących narzędzi bezpieczeństwa - nie będzie chciał rezygnować z tych inwestycji, więc zamknięty, Tubylec XDR rozwiązanie nie wchodziłoby w interakcję z tymi narzędziami i nie obejmowałoby całej powierzchni ataku w tym przedsiębiorstwie. Jeżeli Open XDR Platforma ma pewne atrybuty Native do pokrycia pewnych obszarów powierzchni ataku dla rozwijających się przedsiębiorstw, świetnie. Ale najpierw musi być otwarta.
Ostatecznie, jeśli przedsiębiorstwo chce zdefiniować i wdrożyć strategię bezpieczeństwa komponowalnego i uzyskać wszystkie XDRwymagania techniczne dostarczane za pośrednictwem platformy, w pełni Open XDR Platforma to jedyny realistyczny sposób, aby to zrobić.
