Mô hình hiện tại cho an ninh mạng bị phá vỡ. Nó bao gồm việc thu thập và triển khai rất nhiều công cụ độc lập, mỗi công cụ có bảng điều khiển riêng, để phân tích nhật ký hoặc lưu lượng truy cập và phát hiện những điểm bất thường có thể là mối đe dọa. Trong mô hình này, mỗi nhà phân tích bảo mật phải giao tiếp với các nhà phân tích khác để xác định xem liệu phát hiện riêng lẻ của mỗi công cụ (bản thân mỗi công cụ có thể trông lành tính), có thể tương quan với các phát hiện khác từ các công cụ khác để tiết lộ một cuộc tấn công phức tạp hay không.
Mô hình này buộc các doanh nghiệp phải tạo ra các ngăn xếp bảo mật phức tạp bao gồm SIEM, BAY LÊN, BDU, NDR và hơn thế nữa, nhằm mục đích hỗ trợ doanh nghiệp, xác định các mối đe dọa, ứng phó với các mối đe dọa và quản lý rủi ro. Việc có được tất cả các công cụ này và quản lý giấy phép của chúng rất phức tạp và tốn kém, và mối tương quan thủ công cần thiết để so sánh các phát hiện của từng công cụ để lại rất nhiều lỗ hổng trong cơ sở hạ tầng bảo mật tổng thể.
Các nhà phân tích cũng thường bị các hệ thống này tấn công bằng những kết quả dương tính giả, gây ra “sự mệt mỏi khi cảnh giác” và sự không hài lòng trong công việc. Ngay cả những doanh nghiệp tuyên bố họ hài lòng với SIEM và các công cụ khác sẽ thừa nhận rằng lượng thời gian và năng lượng họ đã đổ vào việc xây dựng cơ sở hạ tầng bảo mật đa công cụ không mang lại kết quả cần thiết.
Trường hợp cho XDR
XDR, hoặc là Phát hiện và phản hồi mở rộngX đã trở thành một định nghĩa bao quát cho bất kỳ công nghệ nào thực hiện phát hiện và phản hồi, bởi vì trong từ viết tắt, X thực sự là một biến số. Mặc dù X có thể đại diện cho “Endpoint+” hoặc “Network+”, điều đó bỏ qua những khó khăn hiện tại của doanh nghiệp về các công cụ riêng lẻ, dữ liệu không tương quan và tình trạng mệt mỏi do cảnh báo quá nhiều. Toàn bộ mục tiêu của XDR Mục tiêu là giải quyết nỗi đau này, và do đó X phải có nghĩa là "Mọi thứ". "Mọi thứ" ngụ ý một cách tiếp cận toàn diện để bao phủ toàn bộ bề mặt tấn công thông qua việc phát hiện và phản hồi.
Cách tiếp cận nền tảng này có thể khắc phục mô hình lỗi thời hiện nay bằng cách chuyển đổi các công cụ riêng lẻ thành một bộ công cụ thống nhất, chuyển đổi dữ liệu không tương quan thành một biểu diễn tương quan sống động về bề mặt tấn công và chuyển đổi sự mệt mỏi do cảnh báo thành sự an tâm. Làm thế nào một công nghệ hiện thực hóa mục tiêu này là câu hỏi kiến trúc then chốt. Có hai loại... XDR Ngày nay: Cởi mở và bản địa.
Mã nguồn mở so với mã nguồn gốc XDR
- Open XDR được cung cấp thông qua một kiến trúc mở có khả năng tận dụng khả năng phản hồi và đo từ xa của các công cụ bảo mật hiện có trên bề mặt tấn công
- Native XDR được cung cấp từ bộ công cụ bảo mật của một nhà cung cấp duy nhất cung cấp phép đo từ xa và phản hồi trên bề mặt tấn công
Bất kể phương pháp kiến trúc nào được áp dụng XDR Nền tảng này phải đáp ứng các yêu cầu kỹ thuật sau đây để được xem xét. XDR:
- Khả năng triển khai – Kiến trúc microservice gốc đám mây cho khả năng mở rộng, tính khả dụng và tính linh hoạt khi triển khai
- Phản ứng tổng hợp dữ liệu – Dữ liệu được chuẩn hóa và phong phú hóa trên toàn bộ bề mặt tấn công bao gồm mạng, đám mây, điểm cuối, ứng dụng và danh tính
- Tương quan – Các phát hiện tương quan có độ trung thực cao trên nhiều công cụ bảo mật
- Phản hồi thông minh - Phản hồi bằng một cú nhấp chuột hoặc tự động từ cùng một nền tảng
Một quan niệm sai lầm phổ biến về Mã nguồn mở so với mã nguồn gốc XDR đó là chúng là các loại loại trừ lẫn nhau. XDRHọ không phải vậy. XDR Một nền tảng có thể hoàn toàn mã nguồn mở và một phần là nền tảng gốc. Ví dụ, một XDR nền tảng có thể có một vài công cụ tích hợp sẵn từ nhà cung cấp của mình trong khi tích hợp công khai với các công cụ hiện có từ các nhà cung cấp khác. Điều này cho phép chiến lược Bảo mật có thể dùng một lần, khả năng tận dụng các công cụ hiện có trong khi cho phép khách hàng hủy bỏ một số công cụ trong số đó khi và ở nơi họ thấy phù hợp.
Cấu trúc của Open so với Native XDR Cách thức mà một nền tảng áp dụng trong phương pháp tiếp cận của nó là phương tiện để đạt được mục đích: cụ thể là cách nền tảng đó thực hiện việc phát hiện và phản hồi trên toàn bộ bề mặt tấn công. Người mua XDR Họ cần xem phương pháp kiến trúc như một phương tiện để đạt được mục đích và đưa ra quyết định tốt nhất cho doanh nghiệp của mình.
Lý tưởng XDR đang mở
Sẽ có một số doanh nghiệp không gặp vấn đề gì khi chuyển toàn bộ hệ thống bảo mật của họ sang một nhà cung cấp duy nhất và áp dụng một hệ thống đã đóng, Native XDR nền tảng. Cũng sẽ có một số doanh nghiệp ít quan tâm đến việc bao phủ toàn bộ bề mặt tấn công và chỉ muốn phát hiện và phản hồi cho các điểm cuối của họ, chẳng hạn. Trong trường hợp này, họ nên theo đuổi một Bản gốc dựa trên EDR XDR nền tảng.
Tuy nhiên, đối với hầu hết các doanh nghiệp, Open XDR nền tảng Phải được xem là ưu tiên hàng đầu. Tại sao? Bởi vì không một nhà cung cấp nào có thể tự mình tạo ra hoặc sở hữu các công cụ tốt nhất về điện toán đám mây, thiết bị đầu cuối, mạng, định danh, v.v., vì vậy chỉ nên tập trung vào nền tảng gốc. XDR Nền tảng sẽ không phải là nền tảng tốt nhất trong từng lĩnh vực. Ngoài ra, rất có thể doanh nghiệp đó có Đã đã đầu tư vốn và nỗ lực đáng kể vào việc triển khai các công cụ bảo mật hiện có - nó sẽ không muốn từ bỏ những khoản đầu tư đó, vì vậy, Native XDR giải pháp sẽ không tương tác với các công cụ đó và sẽ không nắm bắt được toàn bộ bề mặt tấn công tại doanh nghiệp đó. Nếu một Open XDR nền tảng có một số thuộc tính Bản địa để bao phủ các khu vực nhất định của bề mặt tấn công cho các doanh nghiệp đang phát triển, thật tuyệt. Nhưng nó phải được Mở trước.
Tóm lại, nếu một doanh nghiệp muốn định nghĩa và thực hiện chiến lược Bảo mật có thể kết hợp (Composable Security) và đạt được tất cả các mục tiêu đó... XDRcác yêu cầu kỹ thuật của được cung cấp thông qua một nền tảng, hoàn chỉnh Open XDR nền tảng là cách thực tế duy nhất để làm như vậy.
