Trường hợp cho XDR mở - X có nghĩa là mọi thứ

Samuel Jones
Mô hình hiện tại cho an ninh mạng bị phá vỡ. Nó bao gồm việc thu thập và triển khai rất nhiều công cụ độc lập, mỗi công cụ có bảng điều khiển riêng, để phân tích nhật ký hoặc lưu lượng truy cập và phát hiện những điểm bất thường có thể là mối đe dọa. Trong mô hình này, mỗi nhà phân tích bảo mật phải giao tiếp với các nhà phân tích khác để xác định xem liệu phát hiện riêng lẻ của mỗi công cụ (bản thân mỗi công cụ có thể trông lành tính), có thể tương quan với các phát hiện khác từ các công cụ khác để tiết lộ một cuộc tấn công phức tạp hay không.

Mô hình này buộc các doanh nghiệp phải tạo ra các ngăn xếp bảo mật phức tạp bao gồm SIEM, BAY LÊN, EDR, NDR và hơn thế nữa, nhằm mục đích hỗ trợ doanh nghiệp, xác định các mối đe dọa, ứng phó với các mối đe dọa và quản lý rủi ro. Việc có được tất cả các công cụ này và quản lý giấy phép của chúng rất phức tạp và tốn kém, và mối tương quan thủ công cần thiết để so sánh các phát hiện của từng công cụ để lại rất nhiều lỗ hổng trong cơ sở hạ tầng bảo mật tổng thể. 

Các nhà phân tích cũng thường bị các hệ thống này tấn công bằng những kết quả dương tính giả, gây ra “sự mệt mỏi khi cảnh giác” và sự không hài lòng trong công việc. Ngay cả những doanh nghiệp tuyên bố họ hài lòng với SIEM và các công cụ khác sẽ thừa nhận rằng lượng thời gian và năng lượng họ đã đổ vào việc xây dựng cơ sở hạ tầng bảo mật đa công cụ không mang lại kết quả cần thiết.

Trường hợp cho XDR

XDR, hoặc eXtended Detection and Response, đã trở thành một định nghĩa tổng hợp cho bất kỳ công nghệ nào thực hiện phát hiện và phản hồi, bởi vì trong từ viết tắt, X thực sự là một biến. Mặc dù X có thể đại diện cho “Điểm cuối +” hoặc “Mạng +”, điều đó không quan tâm đến nỗi đau hiện tại của doanh nghiệp về các công cụ bị gián đoạn, dữ liệu không liên quan và sự mệt mỏi cảnh báo. Toàn bộ mục tiêu của XDR là giải quyết nỗi đau này, và do đó X có nghĩa là “Mọi thứ”. Tất cả mọi thứ, sau đó, ngụ ý một cách tiếp cận nền tảng để bao phủ toàn bộ bề mặt tấn công thông qua phát hiện và phản ứng.

Phương pháp tiếp cận nền tảng này có thể khắc phục mô hình bị hỏng ngày nay bằng cách chuyển đổi các công cụ bị lỗi thành một bộ công cụ thống nhất, chuyển đổi dữ liệu không liên quan thành một biểu diễn tương quan sống động của bề mặt tấn công và chuyển đổi cảnh báo mệt mỏi thành yên tâm. Làm thế nào một công nghệ thực hiện được mục tiêu này là câu hỏi quan trọng của kiến ​​trúc. Có hai loại XDR ngày nay: Open và Native.

Mở so với XDR gốc

  • Mở XDR được cung cấp thông qua một kiến ​​trúc mở có khả năng tận dụng khả năng phản hồi và đo từ xa của các công cụ bảo mật hiện có trên bề mặt tấn công
  • XDR gốc được cung cấp từ bộ công cụ bảo mật của một nhà cung cấp duy nhất cung cấp phép đo từ xa và phản hồi trên bề mặt tấn công

Bất kể cách tiếp cận kiến ​​trúc của nền tảng XDR là gì, nó phải đáp ứng các yêu cầu kỹ thuật sau để được coi là XDR:

  • Khả năng triển khai - XNUMX - Kiến trúc microservice gốc đám mây cho khả năng mở rộng, tính khả dụng và tính linh hoạt khi triển khai
  • Phản ứng tổng hợp dữ liệu - XNUMX - Dữ liệu được chuẩn hóa và phong phú hóa trên toàn bộ bề mặt tấn công bao gồm mạng, đám mây, điểm cuối, ứng dụng và danh tính
  • Tương quan - XNUMX - Các phát hiện tương quan có độ trung thực cao trên nhiều công cụ bảo mật
  • Phản hồi thông minh - Phản hồi bằng một cú nhấp chuột hoặc tự động từ cùng một nền tảng


Một quan niệm sai lầm phổ biến về Mở Vs. XDR gốc là chúng là các loại XDR loại trừ lẫn nhau. Họ không phải. Nền tảng XDR có thể là Open hoàn toàn và một phần là Native. Ví dụ, một Nền tảng XDR có thể có một vài công cụ tích hợp sẵn từ nhà cung cấp của mình trong khi tích hợp công khai với các công cụ hiện có từ các nhà cung cấp khác. Điều này cho phép chiến lược Bảo mật có thể dùng một lần, khả năng tận dụng các công cụ hiện có trong khi cho phép khách hàng hủy bỏ một số công cụ trong số đó khi và ở nơi họ thấy phù hợp.

Kích thước của XDR
Thành phần của Open so với Native XDR mà một nền tảng thực hiện trong cách tiếp cận của nó là một phương tiện để kết thúc: cụ thể là cách nền tảng thực hiện phát hiện và phản hồi trên toàn bộ bề mặt tấn công. Người mua XDR cần xem cách tiếp cận kiến ​​trúc như một phương tiện để kết thúc và đưa ra quyết định tốt nhất cho doanh nghiệp của họ.

XDR lý tưởng đang mở

Sẽ có một số doanh nghiệp không gặp vấn đề gì khi chuyển toàn bộ hệ thống bảo mật của họ sang một nhà cung cấp duy nhất và áp dụng một hệ thống đã đóng, Nền tảng XDR gốc. Cũng sẽ có một số doanh nghiệp ít quan tâm đến việc bao phủ toàn bộ bề mặt tấn công và chỉ muốn phát hiện và phản hồi cho các điểm cuối của họ, chẳng hạn. Trong trường hợp này, họ nên theo đuổi một Nền tảng XDR gốc dựa trên EDR.

Tuy nhiên, đối với hầu hết các doanh nghiệp, Mở nền tảng XDR phải được coi là ưu tiên hàng đầu. Tại sao? Bởi vì sẽ không có nhà cung cấp nào có thể tạo hoặc có được các công cụ đám mây, điểm cuối, mạng, danh tính, v.v. tốt nhất, vì vậy nền tảng XDR chỉ dành cho người bản địa sẽ không phải là nền tảng tốt nhất. Ngoài ra, rất có thể doanh nghiệp có Đã đã đầu tư vốn và nỗ lực đáng kể vào việc triển khai các công cụ bảo mật hiện có - nó sẽ không muốn từ bỏ những khoản đầu tư đó, vì vậy, XDR gốc giải pháp sẽ không tương tác với các công cụ đó và sẽ không nắm bắt được toàn bộ bề mặt tấn công tại doanh nghiệp đó. Nếu một Mở nền tảng XDR có một số thuộc tính Bản địa để bao phủ các khu vực nhất định của bề mặt tấn công cho các doanh nghiệp đang phát triển, thật tuyệt. Nhưng nó phải được Mở trước.

Cuối cùng, nếu một doanh nghiệp muốn xác định và thực hiện chiến lược Bảo mật tổng hợp và nhận được tất cả các yêu cầu kỹ thuật của XDR được cung cấp thông qua một nền tảng, Mở nền tảng XDR là cách thực tế duy nhất để làm như vậy.