Когато оценявате XDR, вземете предвид неговата стойност въз основа на способността му да намалява сложността и да подобрява времето за откриване на заплахи и реакция.
През последните две десетилетия корпоративните мрежи претърпяха огромна промяна. Данните и приложенията са навсякъде, обхващайки сложен лабиринт от многооблачни, локални и наследени инфраструктури, до които имат достъп мобилни и отдалечени потребители.
Всъщност някои архитектури са станали толкова обширни и разпределени, че екипите по сигурността нямат пълна видимост за потенциалните заплахи, които излагат средите на риск. Традиционно екипите по сигурността внедряват множество инструменти за сигурност – средно 50-100 – като смятат, че това ще им осигури най-добрата защита срещу различни заплахи.
Без цялостна видимост на потоците на мрежовия трафик и активността на потребителите управлението на разпределени внедрявания с помощта на множество инструменти за управление ще се отрази неблагоприятно на ефективността на екипа по сигурността. Преминаването между множество инструменти, ежедневното проследяване на над 1000 сигнала за сигурност и надеждата, че нищо няма да бъде пропуснато, ще разочарова дори и най-възрастния анализатор по сигурността. И въпреки тези усилия, нападателите все още намират начини да се възползват от пропуските в защитата.
Разбира се, индустрията за сигурност е наясно с тези проблеми, които измъчват предприятията, и е създала XDR (разширено откриване и реагиране). Но дали XDR отговаря на очакванията?
Какво представлява XDR?
XDR осигурява консолидирана видимост в множество платформи за сигурност, за да се постигне цялостен поглед върху състоянието на сигурността и да се създаде проста отправна точка за операциите по сигурността. Той позволява задълбочен анализ на множество източници на данни, за да се осигури по-точно откриване с по-малко шум, което води до по-бърз и по-ефективен отговор на заплахите за сигурността. Неговите механизми за откриване и предотвратяване включват машинно обучение и поведенчески анализ, контекстуален анализ, лов на заплахи, интеграция на SOAR и други функции.
XDR е по-усъвършенстван подход към откриването и реагирането, тъй като се простира отвъд самите крайни точки, за да разкрие комплексните заплахи в цялата позиция за сигурност. Той е изключително ефективен инструмент за организациите за сигурност, които страдат от недостиг на умения и недостатъчни ресурси. Контекстуалната информация относно действителните атаки позволява на анализаторите по сигурността да разберат и бързо да ограничат заплахите.
Това означава, че мониторингът на заплахите и тяхното отстраняване стават ефективни, тъй като екипите по сигурността могат да преглеждат всички данни за заплахите с помощта на една платформа, която корелира събитията от множество източници на сигурност. XDR преодолява пропуските във видимостта и помага за справяне с умората от предупрежденията, като подобрява времето за откриване и реакция.
XDR хипотеза и реалност
Нека да разберем някои основни причини, поради които XDR може да се окаже прехвалена.
1. Безпроблемната интеграция и оперативна съвместимост са далечна реалност
На хартия XDR обещава да предлага естествена интеграция с повечето продукти на трети страни. Някои могат да предположат, че е нереалистично да се очаква, че един инструмент може да предложи и поддържа възможности за откриване и реагиране на заплахи, които да работят безпроблемно в десетки различни и изолирани средства за контрол на сигурността. Вече има твърде много объркване около отворения XDR спрямо затворения XDR.
2. Ограничена видимост на трафика и приложенията в облака
Тъй като облакът, дистанционната работа и индустриалният интернет на нещата (IIoT) се превръщат в нова норма, данните, приложенията и устройствата, които някога са се намирали в локални корпоративни среди, изведнъж се отдалечават. Дори и най-сложните XDR решения ще се сблъскат с предизвикателството да получат видимост и да осмислят този хибриден трафик. Тази загуба на видимост и контрол върху облачните и локалните компоненти може да доведе до загуба на контекст, което неизбежно ще остави пропуски в сигурността.
3. Никога не разполагате с достатъчно ресурси, за да проучите всички сигнали на XDR
Екипите по сигурността вече са затрупани с хиляди сигнали на ден. Представете си броя на сигналите, които биха получили, ако XDR поглъща информация от множество източници. Без автоматизация, приоритизиране и контекстуална информация екипите по сигурността могат да се разсеят, създавайки още пропуски. Недостигът на умения в областта на сигурността е реален и никога няма да има достатъчно ресурси за подробно разследване на всеки сигнал.
Дали SASE е бъдещето на XDR?
SASE на един доставчик е модел, който обединява мрежовите технологии и технологиите за сигурност в една платформа, доставяна в облака. Тъй като целият трафик преминава през една единствена конвергирана платформа, откриването и корелацията на събитията, свързани със сигурността, са по-малко проблемни. От гледна точка на XDR това означава, че в идеалния случай SASE би улеснил откриването и реагирането на заплахи, тъй като всички инструменти за сигурност са част от една и съща платформа и следователно биха говорили на общ език.
Ключова силна страна на XDR е начинът, по който тя улеснява задълбочения анализ на несвързани сигнали за сигурност от множество източници на данни. Това му позволява да предоставя по-съгласувана идентификация на заплахите, като същевременно филтрира по-голямата част от шума. XDR открива заплахи за сигурността в мрежи и крайни точки, като подобрява видимостта между мрежите, за да подобри операциите по сигурността. Това, естествено, води до по-бързи реакции на заплахите за сигурността и до подобряване на цялостната позиция по отношение на сигурността. Въпреки това разликата в качеството на данните обикновено прави този аргумент по-малко ефективен за стандартните инструменти за XDR.
Именно тук облакът SASE на един доставчик може да разшири възможностите на XDR. Екипите по сигурността получават необходимата видимост към всички потоци на мрежовия трафик и трафика на крайните устройства през една глобална облачна мрежа, за да откриват потенциални заплахи. Той улавя всички събития, свързани със сигурността, в единно езеро от данни, лесно корелира и приоритизира заплахите и ги представя в единно табло за управление. На свой ред екипите по сигурността могат да преглеждат, разбират и действат по тези заплахи, за да елиминират риска за своите организации.
Всичко това е възможно с облака SASE, тъй като не е необходима интеграция или нормализация, за да бъдат разбрани данните за сигурността. Това осигурява по-високо качество на данните за двигателя XDR, което води до по-точно откриване на заплахи и по-бързо отстраняване на нередности. Ето как облакът SASE прави XDR по-ефективен, като намалява риска за сигурността.
Когато оценявате XDR, вземете предвид неговата стойност въз основа на способността му да намалява сложността и да подобрява откриването на заплахи и времето за реакция. Оценете платформата, върху която е изградена, защото това също ще повлияе на нейната ефективност.
Автор: Етай Маор, securityweek.com
Етай Маор е старши директор по стратегията за сигурност в Cato Networks. Преди това е бил главен директор по сигурността в IntSights и е заемал ръководни позиции в IBM и в изследователските лаборатории за киберзаплахи на RSA Security. Адюнкт-професор в Бостънския колеж, той има бакалавърска степен по компютърни науки и магистърска степен по борба с тероризма и кибертероризма от Университета Райхман (IDC Herzliya), Тел Авив.