企业安全的锚通常被称为 “深度防御” 建筑学。 纵深防御 (DID) 是军队中使用的经典防御概念,在 2000 年代初期在 Infosec 社区中得到了认可。 随着威胁形势的发展,DID 的 Infosec 实施/版本已经演变为应对威胁。
在互联网出现之前,计算机只有 AV 保护,因为主要威胁是病毒。 病毒通过媒体(软盘等)传输。 有了互联网,所有的计算机都连接上了,蠕虫之类的威胁在网络上传播,所以我们必须保护网络,我们需要监管首先进入网络的人,等等。
在目前的形式中,DID 架构已经发展到可以容纳许多层并且还在不断发展。 因此,DID 架构转化为分层安全性——边界、网络、端点、应用程序、用户、数据、策略等。对于每一层,开发了一个单独且不同的控件来保护该层免受威胁。 例如,技术安全控制包括解决方案,例如 防火墙、安全 Web 网关、IDS/IPS、EDR、DLP、WAF和 反恶意软件 的产品。
除了随着时间的推移将分层安全解决方案部署到不断变化的威胁环境之外,这些解决方案还由公司内部的不同团队拥有、管理和运营。 例如, 防火墙解决方案 由 IT 下的基础架构团队所有。 另一组拥有电子邮件解决方案,另一组拥有端点安全解决方案。 这创建了一个独立于所有其他解决方案存在的分层解决方案。 因此,包含所有学习的独立解决方案的概念留在了负责它的团队内部——在一个孤岛中。
另一个独特的属性,最佳解决方案,也是分层解决方案的特征。 由于解决方案不断发展,创新来自不同的来源和学科,并且一组不同的供应商提供了每个新的解决方案层。
DID 或分层安全方法适用于单一向量威胁,即当威胁进入和退出同一向量时。 这些早期威胁的一个典型例子是基于网络的攻击 IDS /入侵防御系统, 电子邮件威胁,例如电子邮件网关的垃圾邮件等。
然而,随着威胁变得更加复杂以及自动化恶意软件生成工具、僵尸网络和远程编程的出现,分层安全模型正在分崩离析。 这是因为分层安全固有的假设——所有保护和控制都完美结合以检测所有威胁并且没有盲点——被证明是错误的。 存在任何控件都无法看到的盲点。 结果,攻击者正在利用盲点来发挥自己的优势,从而难以检测到这些恶意活动。
从我们处理多向量威胁的经验来看,很明显,多向量威胁中涉及的所有控制都只能看到它们的孤岛,除此之外没有其他任何东西。 请记住,这是设计和当前解决方案结合在一起的方式。
此外,独立基础设施、数据孤岛和响应机制的所有底层设置意味着直接管理控制,这是一个二阶 (n**2 – n) 问题。 但是,在所有工作之上都有一个层是需要解决的一阶 (2n) 问题。
解决盲点的选项如下:
- 让每个控制覆盖他们没有兴趣做的邻居。
- 聘请更多分析师以手动将可见性扩展到孤岛之外
- 获取一个工具,该工具可以提供对各个孤岛的控件及其数据的可见性,并使用自动数据收集、关联、检测和响应来检测这些多向量威胁。
如果您选择了选项#3,那么您是正确的!
无论名称如何,#3 中的解决方案都是一个信封,它涵盖了所有控件,以检测、关联、协调并为跨孤岛的威胁提供响应操作。
这是优化多控制、分层安全系统的最有效方式。
它的名字是 Open XDR.
Open XDR 是安全控制之间的连接组织,旨在使安全团队能够理解其安全控制生成的大量数据。 它被称为“开放”的原因是不平凡的; 它是解决方案的一个决定性特征。 Open XDRs 可以从任何安全控制中摄取数据,包括任何 EDR 一个组织已经部署。 然后,使用专门构建的检测功能可以根除那些未检测到的多向量威胁,这些威胁可能会使您的组织登上报纸(或新闻网站)的首页。
虽然网络防御没有灵丹妙药, Open XDR 是一种很有前途的新安全方法,可以最大限度地减少盲点,同时提高安全团队的效率。
