Có một từ viết tắt mới trong không gian bảo mật: đó là XDR (Phát hiện và phản hồi mở rộng). Nhưng tại sao chúng ta lại cần một từ viết tắt khác và bạn có nên quan tâm không? Trong vài năm qua, nhiều nhóm phân tích đã cố gắng nắm bắt ý tưởng về các cuộc tấn công phức tạp hơn và cách xây dựng các phương pháp hay nhất để đưa cơ sở hạ tầng bảo mật phù hợp vào hoạt động.
Quá khứ đã cung cấp các bộ công cụ liên tiếp giải quyết các vấn đề độc nhất.
- Sự gia tăng của Phát hiện và Phản hồi Điểm cuối (BDU) - các điểm cuối trong nhiều trường hợp là tuyến phòng thủ đầu tiên hoặc tuyến đầu tiên của sự cố.
- Sự gia tăng của Phân tích lưu lượng mạng (NTA / NDR) bên cạnh các gói NGFW– có nhiều thông tin chi tiết được nhúng vào cả tiêu đề và nội dung của chúng
- Sự nổi lên của Công ty môi giới bảo mật ứng dụng đám mây (CASB) - một cách mới để bảo vệ các ứng dụng SaaS như Office365, vốn không thể được bảo vệ bằng tường lửa truyền thống.
- SIEM — là xương sống của các nhóm vận hành an ninh; nhật ký có giá trị rất lớn.
Mỗi công cụ này đều hữu ích, nhưng điều đó nói lên rằng rất khó để sử dụng quá nhiều công cụ và chúng gây ra sự kém hiệu quả trong hoạt động. Tuy nhiên, ngay cả khi có các giải pháp EDR, các đội bảo mật vẫn tiếp tục vật lộn để theo kịp. Nhóm Chiến lược Doanh nghiệp (ESG) đã khảo sát nhiều tổ chức đã thử xử lý dữ liệu EDR và NTA sau khi cố gắng kết hợp các chi tiết tấn công lại với nhau. Trong khi hầu hết các nhóm phụ thuộc vào nhiều công cụ độc lập, nghiên cứu của ESG cho thấy 66% người được hỏi tin rằng cách tiếp cận này bị hạn chế hiệu quả vì nó dựa trên nhiều công cụ điểm độc lập.
ESG lưu ý thêm rằng “… với 76% công ty cho rằng ngày nay việc phát hiện và đối phó với mối đe dọa khó hơn so với hai năm trước, các công cụ phát hiện và ứng phó hiện tại không theo kịp. Trong khi các giải pháp phát hiện và phản hồi điểm cuối đã giúp nhiều tổ chức xác định và phản ứng với các cuộc tấn công mà họ tin rằng nếu không sẽ bị bỏ sót, nhiều tổ chức nói rằng họ vẫn đang bị tụt lại phía sau, thiếu khả năng theo kịp với số lượng các cuộc tấn công hiện đại. Cần phải có một cách tiếp cận mới ”.
Chúng tôi không thể đồng ý hơn!
Vì vậy, là những gì XDRVậy nó giúp ích như thế nào? Mở rộng thêm dữ liệu bạn thu thập, đảm bảo bạn có được cái nhìn toàn diện:
- Khả năng hiển thị đối với các điểm cuối, mạng và các ứng dụng SaaS như Office365 và cơ sở hạ tầng đám mây như AWS / Azure VPC
- Thông tin về mối đe dọa - vâng, những thứ cần thiết để đưa vào phân tích của bạn
- Ứng dụng, máy chủ lưu trữ bao gồm vị trí địa lý và thông tin người dùng - vâng, chúng tôi cũng cần điều đó ngay bây giờ
- Kết quả quét lỗ hổng bảo mật và nhật ký NGFW - tất nhiên là có, càng nhiều đầu vào càng tốt
Tại Stellar Cyber, hệ thống cảm biến và tác nhân cùng hơn 100 tương tác của chúng tôi cho thấy lý do tại sao chúng tôi định nghĩa lại như vậy. XDR nghĩa là mở rộng (X) phát hiện (D) và phản hồi (R). Chúng tôi tin rằng có ba vấn đề chính. Đầu tiên, bạn cần thu thập dữ liệu bảo mật từ mọi nơi - khả năng hiển thị phổ biến. Và bạn cần có khả năng phát hiện và tương quan các sự kiện bảo mật từ những dữ liệu này - tại chỗ, trong các đám mây công cộng, với các nhà cung cấp dịch vụ và thậm chí có thể nhìn thấy trong các ứng dụng SaaS như Office365 và G-Suite. Thứ ba, bạn cần có khả năng phản ứng với các mối đe dọa được phát hiện hoặc săn tìm các mối đe dọa tiềm ẩn rất nhanh chóng và tự động để giảm thiểu thiệt hại.
Trong khi làm như vậy, đồng thời, rất ít khách hàng nếu có muốn giảm thiểu rủi ro trong khi làm gián đoạn bộ công cụ và phương pháp hay nhất hiện tại của họ. Stellar Cyber's Open XDR vượt qua vấn đề này bằng cách tích hợp với bất kỳ thứ gì, trước tiên thu thập dữ liệu từ bất kỳ bộ công cụ hiện có nào bạn đã có và xử lý dữ liệu đó tốt hơn bất kỳ ai khác thông qua một nền tảng dữ liệu lớn duy nhất với một GUI trực quan. Bạn tận dụng một Data Lake với dữ liệu từ các nguồn khác nhau và thu thập dữ liệu chất lượng cao, phù hợp để có khả năng hiển thị phổ biến và theo dõi toàn bộ bề mặt tấn công.
Chúng tôi thực sự làm cho những gì bạn có bây giờ tốt hơn. Các chỉ số bảo mật được cải thiện trên các tập dữ liệu đã được chuẩn hóa và chuyển đổi từ thông tin thông minh đã nêu ở trên. Thông thường, khách hàng của chúng tôi nhận thấy sự cải thiện về thời gian trung bình đối với nhận dạng (MTTI) trên 8X. Chúng tôi cũng nhận thấy sự cải thiện đáng kể về thời gian phản hồi trung bình (MTTR) trên 20 lần.
So XDR Điều đó quả thực rất cần thiết, và Stellar Cyber đã đáp ứng được. Open XDR vì vậy bạn không bị buộc phải từ bỏ các công cụ an ninh mạng hiện có của mình. Stellar Cyber giảm thiểu rủi ro bảo mật của bạn mà không bị gián đoạn.
