网络安全 保护依赖于来自整个组织基础设施的传感器和系统的数据。 但没有任何背景或上下文的数据只会产生不相关的噪音,让分析师感到沮丧和分心。 如果没有一个集成平台来关联所有这些数据,安全团队就会被大量的错误警报所淹没。
XDR 专门设计用于合并多个安全引擎,这些引擎关联和评估存储在轻量级数据湖中的规范化数据集。 许多安全引擎在工作(包括 威胁情报, 用户行为分析、IDS、文件沙盒和基于机器学习的异常检测),关联所有遥测数据成为可能。 此外,通过考虑有关系统、资产或帐户的所有已知信息,您可以在几秒钟内准确地对潜在事件进行评分。
XDR 实施挑战
根据我们在 CyFlare 的经验,实施 XDR 系统例如,在某些情况下,相关利益攸关方(如网络/系统管理/IT团队)并未被告知此次迁移。 XDR或者他们尚未接受新战略。另一个问题是,系统和数据源没有得到妥善的清点和处理,因此无法确定是否应该获取数据或利用 API 集成来采取潜在的应对措施。 XDR 系统例如,查询更多数据或制定政策变更。第三个挑战是缺乏定期会议。 SOCIT 管理、网络管理和领导团队将讨论趋势和持续改进措施。
实施建议
以下是一些您可以采取的准备措施,为……做好准备。 XDR 落实并确保一切顺利进行。
- 确保组织至少创建了一个信息安全策略来识别核心要求和决策。
- 尽早并经常与关键利益相关者沟通,说明其益处 XDR 以及它将如何影响所有部门和用户。这样,利益相关者就能了解其益处。 XDR 制定策略并达成共识。
- 清点所有潜在数据源,包括组织的 SaaS 应用程序、网络设备、安全工具和自定义应用程序。
- 选择一个 XDR 能够与您的大部分或全部数据源无缝集成的提供商,以确保关键数据能够在内部获取和规范化。 XDR 平台。
- 确定对于每个集成(连接器)提供的集成,可以采取哪些响应操作。 XDR 平台。这将有助于确定可以制定哪些行动方案,以加快遏制和消除已识别的威胁。
- 与业务利益相关者讨论潜在的自动响应操作。 如果没有适当的沟通和计划,可能会对业务造成重大破坏。 深思熟虑的剧本是利用响应行动的重要组成部分。
人员配备要求
您还必须确保配备合适的人员来实施上述建议。您需要一名首席信息安全官 (CISO) 或一名虚拟 CISO。 XDR 它真正面向那些将安全放在首位并将其作为业务核心组成部分的安全战略型组织,首席信息安全官 (CISO) 将指导整体战略。接下来,您需要一位安全架构师来识别威胁来源、潜在的检测用例,并协调相关的安全策略手册。最后,您需要一位内部安全专家。 SOC 您需要配备相关资源,包括领导力、升级工具和 24×7 一级支持,否则您需要引入外包的 MSSP。
根据我们的经验, Open XDR 能够集成现有安全工具并提供自身原生功能的平台,是实现全面安全可见性和保护的最佳途径。借助 Stellar Cyber 这样的平台,我们能够创建所需的全基础设施可见性和上下文信息,从而在几秒钟或几分钟内(而不是几天或几周)响应安全事件。
