Cíber segurança a proteção reside nos dados de sensores e sistemas em toda a infraestrutura da organização. Mas dados sem qualquer background ou contexto apenas criam ruídos irrelevantes que frustram e distraem os analistas. Sem uma plataforma integrada para correlacionar todos esses dados, as equipes de segurança ficam enterradas em uma enorme quantidade de alertas falsos.
XDR é projetado especificamente para incorporar vários mecanismos de segurança que correlacionam e avaliam conjuntos de dados normalizados armazenados em um data lake leve. Com muitos mecanismos de segurança funcionando (incluindo Inteligência de ameaça, Análise Comportamental do Usuário, IDS, File Sandboxing e detecção de anomalias baseada em Machine Learning), torna-se possível correlacionar toda a telemetria. Além disso, você pode pontuar com precisão um possível incidente em segundos, considerando tudo o que é conhecido sobre o sistema, ativo ou conta.
XDR Desafios de implementação
De nossa experiência na CyFlare, existem vários desafios na implementação de um XDR sistema.Por exemplo, em alguns casos, as partes interessadas relevantes, como as equipes de administração de rede/sistemas/TI, não são informadas sobre a mudança para XDROu então, não aderiram à nova estratégia. Outro problema é que os sistemas e as fontes de dados não estão devidamente inventariados e processados para determinar se os dados devem ser obtidos ou se a integração de APIs deve ser aproveitada para possíveis ações de resposta por parte da [empresa/organização]. XDR sistema., como solicitar mais dados ou fazer alterações nas políticas. Um terceiro desafio é a falta de reuniões regulares entre SOCAs equipes de gestão de TI, gestão de redes e liderança se reúnem para discutir tendências e ações de melhoria contínua.
Recomendações de implementação
Aqui estão algumas ações que você pode tomar para preparar o terreno para um XDR Implementação e garantir que tudo corra bem.
- Certifique-se de que a organização criou pelo menos uma Política de Segurança da Informação para identificar os principais requisitos e decisões.
- Comunique os benefícios aos principais interessados de forma frequente e antecipada. XDR e como isso afetará todos os departamentos e usuários. Dessa forma, as partes interessadas conhecerão os benefícios do XDR estratégia e adesão mútua.
- Faça um inventário de todas as fontes de dados em potencial, incluindo aplicativos SaaS da organização, dispositivos de rede, ferramentas de segurança e aplicativos personalizados.
- Escolha um XDR provedor que pode se integrar nativamente com todas ou a maioria de suas fontes de dados para garantir que os dados críticos possam ser obtidos e normalizados dentro do XDR plataforma.
- Identifique quais ações de resposta são possíveis para cada integração (conector) oferecida pelo XDR plataforma. Isso ajudará a determinar quais estratégias podem ser criadas para acelerar a contenção e a erradicação das ameaças identificadas.
- Discuta possíveis ações de resposta automatizada com as partes interessadas do negócio. Sem comunicação e planejamento adequados, é possível causar interrupções significativas nos negócios. Playbooks bem pensados são um componente essencial para alavancar ações de resposta.
Requisitos de pessoal
Você também deve garantir que possui a equipe adequada para implementar as recomendações acima. Você precisará de um CISO ou CISO virtual em sua equipe. XDR É realmente voltado para organizações com foco em segurança estratégica, que priorizam a segurança e a tornam parte essencial de seus negócios, e o CISO (Chief Security Officer) direcionará a estratégia geral. Em seguida, você precisará de um arquiteto de segurança para identificar as fontes, os possíveis casos de uso para detecção e para coordenar os respectivos planos de ação. Por fim, você precisará de um profissional interno de segurança. SOC Com os recursos associados, incluindo liderança, ferramentas de escalonamento e cobertura de Nível 1 24 horas por dia, 7 dias por semana, ou você precisará contratar um MSSP terceirizado.
Em nossa experiência, um Open XDR Uma plataforma que integra ferramentas de segurança existentes, ao mesmo tempo que oferece recursos nativos, é o melhor caminho para uma visibilidade e proteção de segurança abrangentes. Com uma plataforma como a Stellar Cyber, conseguimos criar a visibilidade e o contexto necessários em toda a infraestrutura para responder a incidentes de segurança em segundos ou minutos, em vez de dias ou semanas.
