它从防病毒开始,一直到端点保护平台(EPP),以及最近的端点检测和响应(EDR)。这些技术极大地改善了对端点的保护,防止已知威胁和未知威胁,并提供工具来识别和立即应对发生在端点设备上的违规行为。
然而,大多数组织已经转向了分散的、基于云的基础设施。员工正在远程工作,并以前所未有的规模进行视频通话。我们所知道的网络边界已不复存在。最重要的是,有更多的网络攻击,更复杂的攻击者,以及种类繁多的高级攻击工具集。
过去的安全技术无法解决今天复杂和快速变化的威胁。尽管有传统的安全工具存在,但勒索软件的攻击在不断增加,数据泄露每年都在增长,SOC团队正在遭受警报疲劳和人员短缺。
企业需要一种新的、更全面的检测和响应方法,考虑到不断增长的攻击面,并超越端点,确保网络和云的安全。扩展检测和响应(XDR)就是这样一种方法,被许多分析师和CISO认为是下一代的端点安全。
什么是XDR?
从历史上看,端点一直是攻击者的一个容易进入点。由于零日和无文件恶意软件的兴起,以及浏览器和操作系统漏洞等额外的攻击载体,反病毒软件不足以阻止威胁。EDR提供了一个强大的解决方案--在端点上安装代理,以监测发生的漏洞,将数据发送到云端进行分析,实现快速的威胁检测,并进行手动或自动补救。
然而,当有成千上万的端点和越来越多的安全事件需要管理时,EDR变得难以管理。攻击者可以通过在端点和IT基础设施的其他部分(如云系统)之间的边界操作来逃避EDR。CISO意识到他们需要超越EDR和防病毒解决方案,并采取积极主动的方法,将安全边界扩展到不仅仅包括端点。
XDR中的X代表多个数据源,以实现更好的检测和响应--不仅仅是端点,还有网络、云系统、物联网设备等等。XDR通过对IT基础设施的多个层面提供可见性,使你的网络有了更广泛的视野。它提供关于攻击的清晰、综合的数据,从多个系统收集数据点,允许更快和更有效的安全调查。
XDR如何改变游戏规则
XDR旨在简化整个IT生态系统的安全可见性。这可以通过提供而改变安全游戏。
- 真正的集中管理--涵盖整个IT环境的事件和安全事件的仪表盘。可以在不同类型的基础设施上应用一致的安全策略。
- 扩展的可见性-XDR统一了跨筒仓的安全可见性,允许安全分析师获得有关安全事件的背景,而不需要学习和使用其他平台。
- 基于人工智能的分析-XDR基于人工智能/ML算法,提供现成的集成和预调整的检测机制。这使安全团队能够拼凑出攻击的复杂拼图,而不需要手工作业。
- 赋予安全分析师权力--有了XDR,初级安全分析师可以调查复杂的威胁,而无需学习复杂的工具,也无需升级到更高级别的分析师层级。XDR还减少了对安全工具的培训和认证需求。
- 提高生产力-XDR不要求安全团队使用多种工具来分流和调查安全事件。它将数据结合起来,呈现为一个易于阅读的攻击故事,分析人员可以立即采取行动。
- 降低拥有成本-XDR是一个完全集成的安全平台,这减少了集成和配置多个安全工具的成本。
在一个好的XDR解决方案中需要注意什么?
集成是有效的XDR解决方案的第一个关键。为了在整个安全堆栈中无缝工作,它需要利用本地集成和强大的API。它还应提供最先进的、现成的跨堆栈关联、预防和缓解能力,同时允许用户定义自己的自定义规则。
由先进的人工智能和成熟的机器学习算法支持的自动化是至关重要的。一个XDR解决方案应该能够检测到复杂的攻击,而且误报率非常低,还能与安全工具集成,使用自动播放程序进行响应。
最后,由于XDR的大部分价值在于提高分析师的生产力,解决方案应该易于配置、学习、维护和更新。
总结
XDR是未来的趋势,但企业应谨慎采用。由于XDR解决方案处于组织防御的关键路径上,CISO必须确保团队知道如何与这种新型的解决方案合作,不仅是在可用性方面,而且在安全活动的协调方面。许多安全团队以前都是孤立地运作。XDR对安全的作用就像DevOps对开发的作用一样,它需要一种新的操作文化,打破孤岛,鼓励密切合作。
The postXDR: The Next Generation of Endpoint Securityappeared first onDevOps Conference.
