网络安全始终是“道高一尺魔高一丈”的太空竞赛,但事实通常很骨感美,网络安全的“道”,常常会无法跟上黑客攻击“魔”的步伐。而应对日新月异的进攻技术性,XDR(跨层检验与回应)被当作是下一个可以御魔的高級“道”。在 EDR(节点检验与回应)、NTA(数据流量剖析)和SIEM(安全信息与事情管理方法)等流行安全应急预案以外,大家为何还必须XDR?XDR怎样提高公司安全系数?下列,大家试着解释。
从普攻到积极
伴随着人工智能的迅速融进,新一代高級黑客攻击技术性越来越更为隐敝、奸诈和繁杂,对传统式安全应急预案也是创建起“降维攻击”的优点。例如,竞技性人工神经网络的进攻危害已变成安全社区的心腹大患。这类进攻目前流行安全应急预案几乎没法监测到,因为它对于的是机器学习算法,消弱其检验侵入的工作能力,更糟心的是,网络攻击可蒙骗控制对系统网络攻击敞开大门。
为了更好地解决类似竞技性人工神经网络的高級繁杂危害,公司必须选用更高等级的解决方法,由于传统式的入侵检测系统(IDS)没法抵挡该类危害。而例如节点检验和回应(EDR)和数据流量剖析(NTA)之类的被动技能的,反应方程安全性方式也没法检验隐敝进攻。以上流行安全应急预案可以保证对危害的分层次由此可见性,但针对隐敝的黑客攻击则是“睁眼瞎”。
公司必须更积极的安全应急预案,可以迅速鉴别潜藏的繁杂危害,并完成对特殊危害案例的由此可见性。除此之外,这类积极计划方案还必须能跨互联网、节点及其云基础架构给出的数据的由此可见性。而可以兑付这类企业愿景的受欢迎解决方法之一,便是XDR(跨层检验和回应)。
XDR是啥?
XDR是一种跨好几个安全性层搜集并全自动关系信息内容以完成迅速危害检验的方式。它可以监控企业网络中不一样由来或部位的危害。
因为传统式安全工具和解决方法中间缺少联络,事情归类和实地调查存有荒岛问题,造成大部分安全性研究工作人员的事情关系和进攻见解存有局限,这给网络攻击隐藏自己给予了不错的机遇。
XDR根据全方位的总体检验和回应对策清除了安全性荒岛。它搜集信息内容并配对很多安全性层(包含为节点、网络服务器、电子邮箱、云和工作中负荷配备的安全防护层)上的深层主题活动数据信息的关联。可以对各种各样数据信息开展全自动剖析,以迅速地检验到危害,并使安全性研究工作人员有充足的时间段开展充分的调研。
传统式反应方程(主动式)方式的缺陷
EDR、NTA和安全信息与事情管理方法(SIEM)肯定并不是弱安全性解决方法,可是,这种解决方法的工作方式为坚强不屈而奸诈的网络攻击留有了机会。
传统式安全管理系统的最大的问题之一是报警负载(疲惫)。EDR等流行计划方案和对策会产生很多缺乏有前后文信息内容的报警。这种不完善的,欠缺合理数据的安全警告对安全运营工作人员而言实际意义并不大,“选中 删掉”是这种警示的普遍归处。
依据IDC InfoBrief的数据信息,仅有21%的公司搜集了足够付诸实践的信息内容。大部分组公司(56%)表明,她们根据安全管理系统搜集的信息内容只有使它们对问题的根本原因有一个大致的掌握,借助这类信息内容没法锁住实际问题并执行合理的解决方法。
依据Solarwinds的市场研究报告调研数据信息。有着约一千名职工的集团公司的SIEM系统软件每秒纪录的安全事故高达20亿次,这代表每日的安全事故达到200万只。即使是有名的安全运营核心(SOC)投资分析师也很难解决如此经营规模事情所形成的大量报警。
困惑传统式安全管理系统的其它问题是必须专业技能和用时的事件处理,有时候也许必须好多个月的時间。例如,应用EDR,据报道,侵入鉴别時间最多久达197天,而抵制进攻時间能长达69天。
一样,传统式安全管理系统的实质是以专用工具和工艺为核心,这促使大家忽略了更重要的经营要求。正如IDC InfoBrief中上述,有23%的企业透露其安全性精英团队将更多的的时间用以维护保养和管理方法安全工具,而不是开展具体的安全性调研。与此同时,有19%的企业汇报其安全性产品组合策略中存有残片或欠缺集成化的状况。
XDR根据其搜集深层主题活动数据信息及其跨层扫描仪,寻找和调研途径的综合性方式来处理传统式安全应急预案的缺陷。依靠人工智能技术和高級剖析,XDR可以在安全警报负载中发觉真实的危害。
“魔”高过“道”的时期
文中不经意抵毁EDR的使用价值,很多企业有充足的原因再次依靠EDR。可是,因为其先天性设计方案(将核心放到代管节点上)而存有作用上的局限。一样,EDR在可以鉴别和阻拦的危害类型、范畴,及其对黑客攻击实体线的鉴别和对进攻的最好回应层面也具有局限。
一样,大家也不能说NTA是个摆放。数据流量剖析依然很重要,可是NTA必须跳出来网络视频监控这一狭小行业。NTA系统也会产生大量日志,这促使将互联网报警与其它有关安全事故数据信息中间的关系越来越十分艰难。
业内早已在试着改善EDR和NTA,可是这种改善通常更为独立的解决方法或附加的安全防护层来完成。这代表着数据孤岛问题仍然存有。而XDR现阶段看来,是公司更新检验和回应系统软件的优选总体方式。XDR可以减少SOC检验报警的時间,并评定什么报警非常值得关心和付诸行动。XDR不容易取代SIEM,但会对它进行提高,以灵活运用SIEM造成的安全性日志和通告。
也就是说,XDR是传统式安全管理系统演变的一个新途径,以紧跟互联网犯罪嫌疑人进攻技术性和办法的演变速率。
拓展的监测和回应
XDR可以查清各种各样由来和部位的掩藏危害并对它进行追踪。这类优秀的操作系统可提升公司IT精英团队的工作效能,并提升安全性调研的速率。XDR给予了超过节点的众多安全性层,进而降低了检验和回应范畴。除此之外,XDR建立了一个融合的自动化技术服务平台,可完成跨安全性层的彻底由此可见性。
因而,业内也是有生产商将XDR(跨层检验与回应)称之为“拓展检验和回应”,也有些人将“X”讲解为“普遍的”,由于XDR不但可以鉴别和解决危害,或是一种全方位的可靠解决方法。XDR可以明确客户是怎样被感染的、突破口在哪儿、进攻怎样横着挪动及其有多少别的用户遭受了危害。除此之外,XDR与SIEM及其安全性融洽、自动化技术和回应(SOAR)系统软件的集成化可以使剖析工作人员可以在更普遍的安全性生态体系中应用XDR。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章