Ang anchor ng Enterprise Security ay sikat na kilala bilang a "Malalim na Depensa" arkitektura. Ang Defense in Depth (DID) ay isang klasikong depensibong konsepto na ginamit sa militar na nakitang tinanggap sa komunidad ng Infosec noong unang bahagi ng 2000s. Ang pagpapatupad/bersyon ng Infosec ng DID ay umunlad upang matugunan ang mga banta habang umuunlad ang tanawin ng pagbabanta sa paglipas ng panahon.
Bago ang pagdating ng internet, ang mga computer ay may proteksyon lamang sa AV dahil ang pangunahing banta ay mga virus. Ang mga virus ay inilipat sa media (floppy disk, atbp.). Gamit ang internet, ang lahat ng mga computer ay konektado, at ang mga banta tulad ng mga worm ay kumalat sa mga network, kaya kailangan naming i-secure ang mga network, at kailangan naming pulis na pumasok sa mga network sa unang lugar, at sa at sa.
Sa kasalukuyang anyo nito, ang arkitektura ng DID ay lumago upang mapaunlakan ang maraming mga layer at patuloy pa ring umuunlad. Kaya, ang arkitektura ng DID ay isinalin sa layered na seguridad - Perimeter, Network, Endpoint, Application, User, Data, Mga Patakaran, atbp. Para sa bawat layer, isang hiwalay at natatanging kontrol ang binuo upang maprotektahan laban sa mga banta sa layer na iyon. Halimbawa, ang mga teknikal na kontrol sa seguridad ay may kasamang mga solusyon tulad ng Mga Firewall, Mga Secure na Web Gateway, IDS/IPS, EDR, DLP, WAF, at anti-malware mga produkto.
Bilang karagdagan sa pag-deploy ng layered na solusyon sa seguridad sa umuusbong na landscape ng pagbabanta sa paglipas ng panahon, ang mga solusyon ay pagmamay-ari, pinamamahalaan, at pinamamahalaan ng iba't ibang grupo sa loob ng kumpanya. Halimbawa, ang Solusyon sa firewall ay pagmamay-ari ng pangkat ng imprastraktura sa ilalim ng IT. Isa pang grupo ang nagmamay-ari ng email solution, at isa pang grupo ang nagmamay-ari ng endpoint security solution. Lumikha ito ng isang layered na solusyon na umiral nang hiwalay sa lahat ng iba pang solusyon. Samakatuwid, ang konsepto ng isang nakapag-iisang solusyon kasama ang lahat ng mga natutunan ay nanatili sa loob ng pangkat na responsable para dito - sa isang silo.
Ang isa pang natatanging katangian, ang pinakamahusay na mga solusyon sa lahi, ay nailalarawan din ang layered na solusyon. Dahil umusbong ang mga solusyon, nagmula ang inobasyon sa iba't ibang pinagmumulan at disiplina, at ibang hanay ng mga vendor ang nagbigay sa bawat bagong layer ng solusyon.
Ang DID o layered approach sa seguridad ay gumana nang maayos para sa iisang vector threat, ibig sabihin, kapag ang banta ay pumasok at lumabas sa parehong vector. Ang isang klasikong halimbawa ng mga maagang banta na ito ay ang mga pag-atake na nakabatay sa network na nakita ni IDS/IPS, mga banta sa email tulad ng Spam sa pamamagitan ng mga email gateway, atbp.
Gayunpaman, habang ang mga banta ay nagiging mas kumplikado at ang pagdating ng mga automated na tool sa pagbuo ng malware, Botnet, at remote programming, ang layered na modelo ng seguridad ay bumagsak. Ito ay dahil ang pagpapalagay na likas sa layered na seguridad - na ang lahat ng mga proteksyon at kontrol ay ganap na nakahanay upang makita ang lahat ng mga banta at walang mga blind spot - ay napatunayang mali. May mga blind spot kung saan wala sa mga kontrol ang nakikita. Bilang resulta, ginagamit ng mga umaatake ang mga blind spot para sa kanilang kalamangan, na nagpapahirap sa pagtuklas ng mga malisyosong aktibidad na ito.
Mula sa aming karanasan sa pagharap sa isang multi-vector na banta, malinaw na ang lahat ng mga kontrol na kasangkot sa isang multi-vector na banta ay may visibility lamang sa kanilang mga silo at wala nang higit pa doon. Tandaan na ito ay ayon sa disenyo at ang paraan ng pagsasama-sama ng kasalukuyang solusyon.
Gayundin, ang lahat ng pinagbabatayan na setup ng hiwalay na mga imprastraktura, data silo, at mekanismo ng pagtugon ay nangangahulugan na ang direktang pamamahala sa kontrol, ito ay pangalawang order (n**2 – n) na problema. Gayunpaman, ang pagkakaroon ng isang layer sa itaas ng lahat ng bagay upang gumana ay isang unang order (2n) na problema na lutasin.
Ang mga pagpipilian upang matugunan ang mga blind spot ay ang mga sumusunod:
- Hayaan ang bawat control cover para sa kanilang kapwa na wala silang interes na gawin.
- Mag-hire ng higit pang mga analyst upang manu-manong palawakin ang visibility sa kabila ng mga silo
- Kumuha ng tool na makakapagbigay ng visibility sa mga kontrol at sa kanilang data sa mga silo at tuklasin ang mga multi-vector na banta na ito gamit ang awtomatikong pagkolekta ng data, ugnayan, pagtuklas, at pagtugon.
Kung pinili mo ang opsyon #3, tama ka!
Anuman ang pangalan, ang solusyon sa #3 ay isang sobre na sumasaklaw sa lahat ng mga kontrol upang makita, maiugnay, mag-coordinate, at magbigay ng mga aksyon sa pagtugon para sa mga banta sa buong silos.
At iyon ang pinakamabisang paraan para ma-optimize ang multi-control, layered na mga sistema ng seguridad.
Ang pangalan nito ay Open XDR.
Open XDR ay ang connective tissue sa pagitan ng mga kontrol sa seguridad na idinisenyo upang bigyang-daan ang mga security team na magkaroon ng kahulugan sa napakaraming data na nabuo ng kanilang mga kontrol sa seguridad. Ang dahilan kung bakit ito tinatawag na "Bukas" ay hindi mahalaga; ito ay isang pagtukoy na katangian ng solusyon. Open XDRs maaaring mag-ingest ng data mula sa anumang kontrol sa seguridad, kabilang ang alinman Si EDR isang organisasyon ang na-deploy. Pagkatapos, ang paggamit ng mga kakayahan sa pag-detect na ginawa ng layunin ay maaaring mag-ugat sa mga banta ng multi-vector na maaaring mapunta ang iyong organisasyon sa front page ng papel (o website ng balita) kung hindi natukoy ang mga ito.
Habang walang silver bullet sa cyber defense, Open XDR ay isang promising na bagong diskarte sa seguridad na nagpapaliit ng mga blind spot habang ginagawang mas epektibo ang isang security team.
