An ninh mạng bảo vệ tính mạng đối với dữ liệu từ các cảm biến và hệ thống trong toàn bộ cơ sở hạ tầng của tổ chức. Nhưng dữ liệu không có nền tảng hoặc bối cảnh chỉ tạo ra tiếng ồn không liên quan khiến các nhà phân tích thất vọng và mất tập trung. Nếu không có một nền tảng tích hợp để tương quan tất cả dữ liệu đó, các nhóm bảo mật sẽ bị chôn vùi trong vô số cảnh báo sai.
XDR được thiết kế đặc biệt để kết hợp nhiều công cụ bảo mật tương quan và đánh giá các tập dữ liệu chuẩn hóa được lưu trữ trong một hồ dữ liệu nhẹ. Với nhiều công cụ bảo mật tại nơi làm việc (bao gồm Mối đe dọa thông minh, Phân tích hành vi người dùng, IDS, Hộp cát tệp và phát hiện bất thường dựa trên Máy học), có thể tương quan với tất cả các phép đo từ xa. Ngoài ra, bạn có thể xác định chính xác sự cố tiềm ẩn trong vòng vài giây bằng cách xem xét mọi thứ đã biết về hệ thống, tài sản hoặc tài khoản.
XDR Thách thức triển khai
Từ kinh nghiệm của chúng tôi tại CyFlare, có một số thách thức trong việc triển khai XDR hệ thốngVí dụ, trong một số trường hợp, các bên liên quan như nhóm quản trị mạng/hệ thống/CNTT không được thông báo về việc chuyển đổi sang... XDRHoặc họ chưa chấp nhận chiến lược mới. Một vấn đề khác là các hệ thống và nguồn dữ liệu không được kiểm kê và xử lý đúng cách để xác định xem có nên lấy dữ liệu từ nguồn khác hay nên tận dụng tích hợp API cho các hành động phản hồi tiềm năng hay không. XDR hệ thốngVí dụ như yêu cầu thêm dữ liệu hoặc thay đổi chính sách. Thách thức thứ ba là thiếu các cuộc họp thường xuyên giữa các bên. SOCCác nhóm quản lý CNTT, quản lý mạng và lãnh đạo sẽ thảo luận về xu hướng và các hành động cải tiến liên tục.
Khuyến nghị triển khai
Dưới đây là một vài hành động bạn có thể thực hiện để chuẩn bị nền tảng cho một XDR và đảm bảo mọi việc diễn ra suôn sẻ.
- Đảm bảo tổ chức đã tạo ít nhất một Chính sách bảo mật thông tin để xác định các yêu cầu và quyết định cốt lõi.
- Hãy trao đổi sớm và thường xuyên với các bên liên quan chính về những lợi ích của việc này. XDR và tác động của nó đến tất cả các phòng ban và người dùng. Bằng cách này, các bên liên quan sẽ biết được lợi ích của việc này. XDR chiến lược và sự đồng thuận lẫn nhau.
- Kiểm kê tất cả các nguồn dữ liệu tiềm năng, bao gồm các ứng dụng SaaS, thiết bị mạng, công cụ bảo mật và ứng dụng tùy chỉnh của tổ chức.
- Chọn một XDR Nhà cung cấp có khả năng tích hợp tự nhiên với tất cả hoặc hầu hết các nguồn dữ liệu của bạn để đảm bảo dữ liệu quan trọng có thể được thu thập và chuẩn hóa trong hệ thống. XDR nền tảng.
- Xác định các hành động phản hồi khả thi cho mỗi tích hợp (kết nối) được cung cấp bởi XDR nền tảng này sẽ giúp xác định những kế hoạch hành động nào có thể được xây dựng để đẩy nhanh quá trình ngăn chặn và loại bỏ các mối đe dọa đã được xác định.
- Thảo luận về các hành động phản hồi tự động tiềm năng với các bên liên quan trong kinh doanh. Nếu không có kế hoạch và giao tiếp phù hợp, có thể gây ra gián đoạn đáng kể cho công việc kinh doanh. Sách phát được suy nghĩ kỹ lưỡng là một thành phần thiết yếu để tận dụng các hành động phản hồi.
Yêu cầu nhân sự
Bạn cũng cần đảm bảo có đủ nhân sự phù hợp để thực hiện các khuyến nghị trên. Bạn sẽ cần một CISO hoặc CISO ảo trong đội ngũ nhân viên – XDR Chương trình này thực sự hướng đến các tổ chức có chiến lược an ninh, ưu tiên an ninh và biến nó thành cốt lõi trong hoạt động kinh doanh của họ, và CISO sẽ định hướng chiến lược tổng thể. Tiếp theo, bạn cần một kiến trúc sư an ninh để xác định các nguồn, các trường hợp sử dụng tiềm năng để phát hiện và phối hợp các quy trình liên quan. Cuối cùng, bạn cần một nhóm chuyên gia an ninh nội bộ. SOC với các nguồn lực đi kèm bao gồm đội ngũ lãnh đạo, công cụ xử lý sự cố và hỗ trợ cấp độ 1 24/7, hoặc bạn sẽ cần thuê ngoài dịch vụ MSSP.
Theo kinh nghiệm của chúng tôi, một Open XDR Nền tảng tích hợp các công cụ bảo mật hiện có đồng thời cung cấp các khả năng riêng biệt là con đường tốt nhất để có được khả năng giám sát và bảo vệ an ninh toàn diện. Với một nền tảng như Stellar Cyber, chúng tôi đã có thể tạo ra khả năng giám sát và bối cảnh trên toàn bộ cơ sở hạ tầng cần thiết để phản hồi các sự cố bảo mật trong vài giây hoặc vài phút thay vì vài ngày hoặc vài tuần.
