IDC分析師Michael Suby解釋升級XDR資安整合的重要性
網路安全需要收集並分析資料,才能夠精確可靠且快速地回應威脅。然而駭客們會利用多種攻擊媒介及各式各樣的橫向移動策略,因此單一的遙測(Telemetry)來源並不足以完全地掌握攻擊活動。必須從多個來源(端點、電子郵件、網路路由器、閘道、代理服務和認證系統)快速可靠地收集並關聯遙測資訊,以獲得準確而全面性的了解。
事實證明,IDC所做的EDR和XDR問卷調查(2020年12月)有超過三分之二的受訪者將9種不同的遙測來源在偵測威脅上評為「有用」或「非常有用」。但更多的遙測來源則很有可能讓本已難以控制的假警報數量變得更多。根據同一份調查顯示,「太多警報是誤報」是不去調查所有警報最常見的原因。
新冠肺炎(COVID-19)疫情爆發讓資安運作的狀況變得更糟。為了應對疫情,企業正加速地向雲端轉移,並且有許多企業的員工在一夜之間從辦公室轉移到了遠端。儘管有些員工最終會回到辦公室,但會有更多的員工變成完全或每週部分時間在家工作。
再加上物聯網(IoT ,Internet of Thing)的穩定成長,企業的數位足跡在擴張,更加動態和多樣化,同時也越來越多地出現在傳統邊界防禦之外。駭客們也知道這些情況會讓企業的網路防禦能力變得更加脆弱。因此,能夠快速分析來自各種來源的即時遙測資料已經「需求功能」躍升成「必要功能」。
需要新方法
對擁有成熟資安監控中心(SOC)的企業來說,已經擁有堅實的基礎。只要改進工具組合並調整工作流程就可以將事情做得很好。但對許多只有簡易SOC或根本沒有的企業來說,除非他們能夠採取行動,否則應對惡意攻擊能力不足的問題只會加深。而由於網路資安人才的長期短缺和預算限制,想靠花錢來擺脫這種困境已非可行選項。他們需要一種新的方法。
IDC認為,XDR平台可以讓只有簡易SOC或根本沒有的企業能夠走上發展正軌。然而什麼是XDR平台?從本質上來說,擴增的威脅偵測及回應(XDR)平台是將多個SOC功能整合到單一的資安運作平台。
這不僅僅是用自己開發的工作流程來將各家廠商的多種工具拼湊在一起來進行資料關聯分析及回應,而是將所有功能直接整合進平台且至少能做到自動化工作流程。XDR平台的總體目標是提升資安團隊能力而無需擴建團隊,就能夠應對攻擊面和網路敵人不斷變化的威脅環境。
XDR平台擴增能力的重要性體現在五個方面:
- 該平台能夠隨插即用。
無需重新設定或調整就能夠整合新加和現有的遙測來源。 - 該平台能夠自動升級。
關聯分析演算法可以隨著時間推移進步,可以透過多個來源中的低頻訊號來偵測到攻擊。 - 該平台能偵測、遏制和回復。
可以在最佳控制點(如端點、防火牆、電子郵件伺服器、認證伺服器等)自動散播並確認遏制動作。並且用類似方式,透過能輕易整合到組織現有IT管理系統的自動化流程將系統回復到被入侵前的狀態。 - 該平台能夠自我學習。
去除掉手動工作有個重大好處,可以更快地偵測和回應威脅,具有更高的確定性和完整性,並減少人為參與和潛在錯誤。其內建的工作流程能夠系統化地完善基準工作流程,讓資安團隊朝向自動化邁進。 - 該平台具有多種功能。
IDC所做的EDR和XDR問卷調查受訪者認為,EDR的好處不僅是在改善「偵測和回應」功能。其他的好處是在安全性的預防方面,並包括增強端點的安全態勢並減少管理端點安全的時間。一個真正擴增性的XDR平台不僅僅是加強核心功能,同時也加強了周邊的功能。
駭客們會繼續增進自己的技術水平,並且用更高的頻率和更大的強度來針對更多企業。為了對抗此一現實,企業必須改善自己的資安運作。XDR平台可以是個解決方案。
@原文出處:XDR: Up-Leveling Security Integration 作者:Michael Suby