Mỏ neo của Bảo mật Doanh nghiệp thường được biết đến như một "Phòng thủ theo chiều sâu" ngành kiến trúc. Phòng thủ trong độ sâu (DID) là một khái niệm phòng thủ cổ điển được sử dụng trong quân đội đã được cộng đồng Infosec chấp nhận vào đầu những năm 2000. Việc triển khai Infosec / phiên bản của DID đã phát triển để giải quyết các mối đe dọa khi bối cảnh mối đe dọa tiến triển theo thời gian.
Trước khi Internet ra đời, máy tính chỉ có chức năng bảo vệ AV vì mối đe dọa chính là virus. Virus được truyền qua phương tiện truyền thông (đĩa mềm, v.v.). Với internet, tất cả các máy tính đều được kết nối và các mối đe dọa như sâu lan truyền trên mạng, vì vậy chúng tôi phải bảo mật mạng và chúng tôi cần cảnh sát những người đã xâm nhập vào mạng ngay từ đầu, và hơn thế nữa.
Ở dạng hiện tại, kiến trúc DID đã phát triển để chứa nhiều lớp và vẫn đang tiếp tục phát triển. Vì vậy, kiến trúc DID được dịch thành bảo mật phân lớp - Chu vi, Mạng, Điểm cuối, Ứng dụng, Người dùng, Dữ liệu, Chính sách, v.v. Đối với mỗi lớp, một kiểm soát riêng biệt và riêng biệt được phát triển để bảo vệ khỏi các mối đe dọa đối với lớp đó. Ví dụ, các biện pháp kiểm soát an ninh kỹ thuật bao gồm các giải pháp như Tường lửa, Cổng Web an toàn, IDS / IPS, EDR, DLP, WAFvà chống phần mềm độc hại sản phẩm.
Ngoài việc triển khai giải pháp bảo mật phân lớp cho bối cảnh mối đe dọa đang phát triển theo thời gian, các giải pháp này được sở hữu, quản lý và vận hành bởi các nhóm khác nhau trong công ty. Ví dụ, Giải pháp tường lửa thuộc sở hữu của nhóm cơ sở hạ tầng thuộc CNTT. Một nhóm khác sở hữu giải pháp email và một nhóm khác sở hữu giải pháp bảo mật điểm cuối. Điều này đã tạo ra một giải pháp phân lớp tồn tại độc lập với tất cả các giải pháp khác. Do đó, khái niệm về một giải pháp độc lập với tất cả các nghiên cứu vẫn nằm trong nhóm chịu trách nhiệm về nó - trong một silo.
Một thuộc tính độc đáo khác, các giải pháp tốt nhất, cũng đặc trưng cho giải pháp phân lớp. Bởi vì các giải pháp đã phát triển, sự đổi mới đến từ các nguồn và nguyên tắc khác nhau, và một nhóm các nhà cung cấp khác nhau đã cung cấp mỗi lớp giải pháp mới.
Phương pháp DID hoặc cách tiếp cận bảo mật theo lớp hoạt động tốt đối với các mối đe dọa vectơ đơn lẻ, tức là khi mối đe dọa nhập và thoát ra trong cùng một vectơ. Một ví dụ cổ điển về các mối đe dọa ban đầu này là các cuộc tấn công dựa trên mạng được phát hiện bởi IDS / IPS, các mối đe dọa qua email như Spam qua các cổng email, v.v.
Tuy nhiên, khi các mối đe dọa trở nên phức tạp hơn và sự ra đời của các công cụ tạo phần mềm độc hại tự động, Botnet và lập trình từ xa, mô hình bảo mật phân lớp đang dần tan rã. Điều này là do giả định vốn có đối với bảo mật phân lớp - rằng tất cả các biện pháp bảo vệ và kiểm soát được liên kết hoàn hảo để phát hiện tất cả các mối đe dọa và không có điểm mù - đang được chứng minh là sai. Có những điểm mù mà không có điều khiển nào có thể nhìn thấy được. Kết quả là, những kẻ tấn công đang sử dụng các điểm mù để làm lợi thế của chúng, gây khó khăn cho việc phát hiện các hoạt động độc hại này.
Từ kinh nghiệm của chúng tôi trong việc đối phó với mối đe dọa đa vectơ, rõ ràng là tất cả các biện pháp kiểm soát liên quan đến mối đe dọa đa vectơ chỉ có khả năng hiển thị trong silo của chúng và không có gì khác ngoài điều đó. Hãy nhớ rằng điều này là do thiết kế và cách giải pháp hiện tại kết hợp với nhau.
Ngoài ra, tất cả các thiết lập cơ bản của cơ sở hạ tầng riêng biệt, kho dữ liệu và cơ chế phản hồi có nghĩa là quản lý điều khiển trực tiếp, đó là vấn đề thứ hai (n ** 2 - n). Tuy nhiên, có một lớp trên cùng của mọi thứ để hoạt động là vấn đề đầu tiên (2n) cần được giải quyết.
Các tùy chọn để giải quyết các điểm mù như sau:
- Hãy kiểm soát từng người hàng xóm mà họ không muốn làm.
- Thuê thêm các nhà phân tích để mở rộng tầm nhìn ra ngoài các silo theo cách thủ công
- Nhận một công cụ có thể cung cấp khả năng hiển thị vào các điều khiển và dữ liệu của chúng trên các silo và phát hiện các mối đe dọa đa vectơ này bằng cách sử dụng thu thập, tương quan, phát hiện và phản hồi dữ liệu tự động.
Nếu bạn chọn tùy chọn số 3, bạn đã đúng!
Bất kể tên gọi là gì, giải pháp trong # 3 là một phong bì bao gồm tất cả các biện pháp kiểm soát để phát hiện, tương quan, phối hợp và cung cấp các hành động phản ứng đối với các mối đe dọa trên các silo.
Và đó là cách hiệu quả nhất để tối ưu hóa hệ thống bảo mật nhiều lớp, đa kiểm soát.
Tên của nó là Open XDR.
Open XDR là mô liên kết giữa các biện pháp kiểm soát bảo mật được thiết kế để cho phép các nhóm bảo mật hiểu được lượng lớn dữ liệu được tạo ra bởi các biện pháp kiểm soát bảo mật của họ. Lý do nó được gọi là "Mở" là không tầm thường; nó là một đặc tính xác định của giải pháp. Open XDRs có thể nhập dữ liệu từ bất kỳ kiểm soát bảo mật nào, bao gồm bất kỳ BDU một tổ chức đã triển khai. Sau đó, sử dụng các khả năng phát hiện được xây dựng theo mục đích có thể loại bỏ tận gốc những mối đe dọa đa vectơ có thể đưa tổ chức của bạn lên trang nhất của tờ báo (hoặc trang web tin tức) nếu chúng không bị phát hiện.
Mặc dù không có viên đạn bạc trong phòng thủ mạng, Open XDR là một cách tiếp cận mới đầy hứa hẹn đối với bảo mật nhằm giảm thiểu các điểm mù trong khi giúp đội bảo mật hoạt động hiệu quả hơn.
