Кібербезпека Захист ґрунтується на даних датчиків та систем по всій інфраструктурі організації. Але дані без будь-якого підґрунтя чи контексту створюють лише недоречний шум, який дратує та відволікає аналітиків. Без інтегрованої платформи для співвіднесення всіх цих даних команди безпеки опиняються під величезною кількістю хибних сповіщень.
XDR спеціально розроблено для інтеграції кількох механізмів безпеки, які співвідносять та оцінюють нормалізовані набори даних, що зберігаються в легкому озері даних. З багатьма працюючими механізмами безпеки (включаючи Загроза інтелекту, Аналіз поведінки користувачів, IDS, файлова «пісочниця» та виявлення аномалій на основі машинного навчання), стає можливим співвіднести всю телеметрію. Крім того, ви можете точно оцінити потенційний інцидент за лічені секунди, враховуючи все, що відомо про систему, актив або обліковий запис.
XDR Проблеми впровадження
З нашого досвіду в CyFlare, існує кілька труднощів у впровадженні XDR системаНаприклад, у деяких випадках відповідні зацікавлені сторони, такі як мережеві/системні адміністратори/команди ІТ, не повідомляються про перехід до XDR, або вони не прийняли нову стратегію. Ще одна проблема полягає в тому, що системи та джерела даних не інвентаризовані та не обробляються належним чином, щоб визначити, чи слід використовувати джерело даних, чи інтеграцію API для потенційних дій реагування з боку XDR система, наприклад, запити додаткових даних або внесення змін до політики. Третя проблема полягає в відсутності регулярних зустрічей між SOC, команди з управління ІТ, управління мережею та керівництва для обговорення тенденцій та дій щодо постійного вдосконалення.
Рекомендації щодо впровадження
Ось кілька дій, які ви можете зробити, щоб підготувати ґрунт для XDR впровадження та забезпечення безперебійного виконання.
- Переконайтеся, що організація створила принаймні Політику інформаційної безпеки, щоб визначити основні вимоги та рішення.
- Завчасно та часто спілкуйтеся з ключовими зацікавленими сторонами щодо переваг XDR і як це вплине на всі відділи та користувачів. Таким чином, зацікавлені сторони знають про переваги XDR стратегію та взаємну підтримку.
- Проведіть інвентаризацію всіх потенційних джерел даних, включаючи SaaS-додатки організації, мережеві пристрої, інструменти безпеки та користувацькі додатки.
- Виберіть XDR постачальник, який може власно інтегруватися з усіма або більшістю ваших джерел даних, щоб забезпечити отримання та нормалізацію критично важливих даних у межах XDR платформи.
- Визначте, які дії у відповідь можливі для кожної інтеграції (конектора), що пропонується XDR платформа. Це допоможе визначити, які методичні рекомендації можна створити для пришвидшення стримування та ліквідації виявлених загроз.
- Обговоріть потенційні автоматизовані дії реагування із зацікавленими сторонами бізнесу. Без належної комунікації та планування можна спричинити значні збої в роботі бізнесу. Добре продумані методичні рекомендації є важливим компонентом для ефективного впровадження дій реагування.
Вимоги до персоналу
Ви також повинні переконатися, що у вас є відповідний персонал для реалізації вищезазначених рекомендацій. Вам знадобиться CISO або віртуальний CISO у штаті – XDR насправді орієнтований на організації, що займаються стратегічною безпекою, які надають пріоритет безпеці та роблять її основною частиною свого бізнесу, а директор з інформаційної безпеки керуватиме загальною стратегією. Далі вам знадобиться архітектор безпеки, щоб визначити джерела, потенційні варіанти використання для виявлення та координувати відповідні схеми. Нарешті, вам знадобиться або власний SOC з пов'язаними ресурсами, включаючи лідерство, інструменти ескалації та цілодобове покриття Tier 1, або вам потрібно буде залучити аутсорсингового постачальника послуг з обслуговування клієнтів (MSSP).
За нашим досвідом, Open XDR Платформа, яка інтегрує існуючі інструменти безпеки, водночас надаючи власні можливості, – це найкращий шлях до комплексної прозорості та захисту безпеки. Завдяки такій платформі, як Stellar Cyber, ми змогли створити прозорість та контекст для всієї інфраструктури, необхідні для реагування на інциденти безпеки за секунди чи хвилини, а не за дні чи тижні.
