Ang kasalukuyang modelo para sa cybersecurity sira na. Binubuo ito ng pagkuha at pag-deploy ng maraming mga stand-alone na tool, bawat isa ay may sariling console, upang pag-aralan ang mga troso o trapiko at makita ang mga anomalya na maaaring banta. Sa modelong ito, nakasalalay sa bawat security analisador na makipag-usap sa iba pang mga analista upang matukoy kung ang indibidwal na pagtuklas ng bawat tool (bawat isa, sa pamamagitan ng sarili nito, ay maaaring magmukhang kaaya-aya), maaaring maiugnay sa iba pang mga pagtuklas mula sa iba pang mga tool upang ipakita ang isang kumplikadong atake.
Pinipilit ng modelong ito ang mga negosyo na lumikha ng mga kumplikadong stack ng seguridad na binubuo ng SIEM, KAYA, Si EDR, NDR at higit pa, para sa layunin ng pagtuturo sa negosyo, pagkilala ng mga banta, pagtugon sa mga banta, at pamamahala ng peligro. Ang pagkuha ng lahat ng mga tool na ito at pamamahala ng kanilang mga lisensya ay kumplikado at mahal, at ang manu-manong ugnayan na kinakailangan upang ihambing ang mga deteksyon ng bawat tool ay nag-iiwan ng maraming mga puwang sa pangkalahatang imprastraktura ng seguridad.
Ang mga analista ay madalas na binombahan ng maling mga positibo ng mga sistemang ito rin, na nagdudulot ng "alerto sa pagkapagod" at kawalang-kasiyahan sa trabaho. Kahit na ang mga negosyong nagpahayag na nasiyahan sila sa kanilang mayroon SIEM at iba pang mga tool ay aaminin na ang dami ng oras at lakas na kanilang ibinuhos sa pagtayo sa isang multi-tool na imprastraktura ng seguridad ay hindi naghahatid ng mga kinakailangang resulta.
Ang Kaso para sa XDR
XDR, O eXtended Detection at Response, ay naging isang pangkalahatang kahulugan para sa anumang teknolohiyang nagsasagawa ng pagtuklas at pagtugon, dahil sa acronym, ang X ay talagang isang variable. Bagama't maaaring kumatawan ang X sa "Endpoint+" o "Network+", hindi nito pinapansin ang kasalukuyang paghihirap ng negosyo ng mga siloed tool, uncorrelated data, at alert fatigue. Ang buong layunin ng XDR ay upang tugunan ang sakit na ito, at samakatuwid ang X ay kailangang mangahulugang "Lahat." Kung gayon, ang lahat ay nagpapahiwatig ng isang platapormang pamamaraan upang masakop ang buong ibabaw ng pag-atake sa pamamagitan ng pagtuklas at pagtugon.
Maaaring ayusin ng platform approach na ito ang sirang modelo ngayon sa pamamagitan ng pag-convert ng mga siloed tool sa isang pinag-isang toolset, pag-convert ng uncorrelated data sa isang buhay na correlated na representasyon ng attack surface, at pag-convert ng alert fatigue sa kapayapaan ng isip. Kung paano natutupad ng isang teknolohiya ang layuning ito ang pangunahing tanong sa arkitektura. Mayroong dalawang uri ng XDR ngayon: Bukas at Katutubo.
Bukas vs. Katutubo XDR
- Open XDR ay naihatid sa pamamagitan ng isang bukas na arkitektura na may kakayahang paggamit ng telemetry ng mga tool sa seguridad at mga kakayahan sa pagtugon sa ibabaw ng atake
- Natural XDR ay naihatid mula sa suite ng tool ng seguridad ng isang solong vendor na nagbibigay ng telemetry at tugon sa buong ibabaw ng pag-atake
Anuman ang arkitektural na pamamaraan ng isang XDR plataporma, dapat nitong matugunan ang mga sumusunod na teknikal na kinakailangan upang maisaalang-alang XDR:
- Kakayahang lumawak - Cloud-katutubong microservice na arkitektura para sa kakayahang sumukat, kakayahang magamit at kakayahang umangkop ng pag-deploy
- Fusion ng Data - Normalized at enriched data sa buong ibabaw ng pag-atake kabilang ang network, cloud, endpoint, application at pagkakakilanlan
- Korelasyon - Mataas na katapatan na naiugnay ang mga pagtuklas sa maraming mga tool sa seguridad
- Matalinong Tugon - Isang-click o awtomatikong tugon mula sa parehong platform
Isang karaniwang maling kuru-kuro tungkol sa Bukas Vs. Katutubo XDR ay ang mga ito ay magkabilang eksklusibong uri ng XDR. Hindi sila. Isang XDR Ang plataporma ay maaaring ganap na Bukas, at bahagyang Native. Halimbawa, isang XDR platform ay maaaring magkaroon ng ilang mga built-in na tool mula sa vendor habang bukas na isinasama sa mga mayroon nang mga tool mula sa iba pang mga vendor. Nagbibigay-daan ito sa isang diskarte sa Composable Security, ang kakayahang magamit ang mga umiiral nang tool habang pinapayagan ang customer na ilubog ang ilan sa kanila kung kailan at saan nila nakikita na akma.
Ang komposisyon ng Open vs. Native XDR na ginagamit ng isang plataporma sa paglapit nito ay isang paraan upang makamit ang isang layunin: partikular, kung paano isinasagawa ng plataporma ang pagtukoy at pagtugon sa buong ibabaw ng pag-atake. Mga mamimili ng XDR kailangang tingnan ang arkitektural na pamamaraan bilang isang paraan upang makamit ang isang layunin at gumawa ng pinakamahusay na desisyon para sa kanilang negosyo.
Ang ideal XDR ay Bukas
Magkakaroon ng ilang mga negosyo na walang isyu paglipat ng kanilang buong security stack sa isang solong vendor, at pag-aampon ng sarado, Natural XDR platform. Magkakaroon din ng ilang mga negosyo na hindi gaanong nagmamalasakit sa pagtakip sa buong ibabaw ng pag-atake, at nais lamang ang pagtuklas at tugon para sa kanilang mga endpoint, halimbawa. Sa kasong ito dapat nilang ituloy ang isang Katutubong nakabatay sa EDR XDR platform.
Gayunpaman, para sa karamihan ng mga negosyo, isang Open XDR platform dapat tingnan bilang pangunahing prayoridad. Bakit? Dahil walang iisang vendor ang makakagawa o makakakuha ng pinakamahusay na cloud, endpoint, network, identity, atbp. na mga tool, kaya ang isang Native-only XDR hindi magiging pinakamahusay ang plataporma. Bukod pa rito, malamang na ang negosyo ay mayroon na namuhunan ng makabuluhang kapital at pagsisikap sa pag-deploy ng mayroon nang mga tool sa seguridad - hindi nito gugustuhing talikuran ang mga pamumuhunan, kaya't sarado, Natural XDR Ang solusyon ay hindi makikipag-ugnay sa mga tool na iyon at hindi makukuha ang buong ibabaw ng pag-atake sa negosyong iyon. Kung ang Open XDR platform ay may ilang mga katangiang Katutubong upang masakop ang ilang mga lugar ng ibabaw ng pag-atake para sa lumalaking negosyo, mahusay. Ngunit dapat itong bukas muna.
Sa huli, kung nais ng isang negosyo na tukuyin at isagawa ang isang diskarte sa Composable Security at makuha ang lahat ng XDRmga teknikal na kinakailangan na inihahatid sa pamamagitan ng isang plataporma, isang ganap na Open XDR platform ay ang tanging makatotohanang paraan upang magawa ito.
