我吃西红柿,雪鹰领主

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

超越EDR和NTA，XDR憑什么？

網(wǎng)絡(luò)安全永遠(yuǎn)是“道高一尺魔高一丈”的軍備競賽，但現(xiàn)實(shí)往往很骨感，網(wǎng)絡(luò)安全的“道”，經(jīng)常會跟不上網(wǎng)絡(luò)攻擊“魔”的腳步。而面對日新月異的攻擊技術(shù)，XDR(跨層檢測與響應(yīng))被看作是下一個(gè)能夠御魔的高級“道”。在 EDR(端點(diǎn)檢測與響應(yīng))、NTA(網(wǎng)絡(luò)流量分析)和SIEM(安全信息與事件管理)等主流安全方案之外，我們?yōu)槭裁催€需要XDR?XDR如何提升企業(yè)安全性?以下，我們嘗試解答。

公司主營業(yè)務(wù)：做網(wǎng)站、成都網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)公司推出牧野免費(fèi)做網(wǎng)站回饋大家。

從被動到主動

隨著人工智能技術(shù)的快速融入，新一代高級網(wǎng)絡(luò)攻擊技術(shù)變得更加隱蔽、狡猾和復(fù)雜，對傳統(tǒng)安全方案更是建立起“降維打擊”的優(yōu)勢。例如，對抗性機(jī)器學(xué)習(xí)的攻擊威脅已成為安全社區(qū)的心腹大患。這種攻擊現(xiàn)有主流安全方案幾乎無法檢測到，因?yàn)樗槍Φ氖菣C(jī)器學(xué)習(xí)算法，削弱其檢測入侵的能力，更糟糕的是，攻擊者可欺騙操縱系統(tǒng)對攻擊者敞開大門。

為了應(yīng)對類似于對抗性機(jī)器學(xué)習(xí)的高級復(fù)雜威脅，企業(yè)需要采用更高級的解決方案，因?yàn)閭鹘y(tǒng)的入侵檢測系統(tǒng)(IDS)無法抵御此類威脅。而諸如端點(diǎn)檢測和響應(yīng)(EDR)和網(wǎng)絡(luò)流量分析(NTA)之類的被動的，反應(yīng)式安全方法也無法檢測隱蔽攻擊。上述主流安全方案能夠提供對威脅的分層可見性，但對于隱蔽的網(wǎng)絡(luò)攻擊則是“睜眼瞎”。

企業(yè)需要更主動的安全方案，能夠快速識別隱藏的復(fù)雜威脅，并實(shí)現(xiàn)對特定威脅實(shí)例的可見性。此外，這種主動方案還需要能跨網(wǎng)絡(luò)、端點(diǎn)以及云基礎(chǔ)架構(gòu)提供數(shù)據(jù)的可見性。而能夠兌現(xiàn)這種愿景的熱門解決方案之一，就是XDR(跨層檢測和響應(yīng))。

XDR是什么?

XDR是一種跨多個(gè)安全層收集并自動關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測的方法。它可以監(jiān)視企業(yè)網(wǎng)絡(luò)中不同來源或位置的威脅。

由于傳統(tǒng)安全工具和解決方案之間缺乏聯(lián)系，事件分類和調(diào)查過程存在孤島問題，導(dǎo)致大多數(shù)安全分析人員的事件關(guān)聯(lián)和攻擊觀點(diǎn)存在局限性，這給攻擊者隱藏自己提供了很好的機(jī)會。

XDR通過全面的整體檢測和響應(yīng)策略消除了安全孤島。它收集信息并匹配許多安全層(包括為端點(diǎn)、服務(wù)器、電子郵件、云和工作負(fù)載配置的安全層)上的深度活動數(shù)據(jù)的關(guān)系?？梢詫Ω鞣N數(shù)據(jù)進(jìn)行自動分析，以更快地檢測到威脅，并使安全分析人員有足夠的時(shí)間進(jìn)行徹底的調(diào)查。

傳統(tǒng)反應(yīng)式(被動式)方法的缺點(diǎn)

EDR、NTA和安全信息與事件管理(SIEM)絕對不是弱安全解決方案，但是，這些解決方案的工作方式為頑強(qiáng)而狡猾的攻擊者留下了可乘之機(jī)。

傳統(tǒng)安全系統(tǒng)的最大問題之一是警報(bào)過載(疲勞)。EDR等主流方案和策略會生成大量缺少有上下文信息的警報(bào)。這些不完整的，缺乏有效信息的安全警告對安全運(yùn)營人員來說意義不大，“全選+刪除”是這些警告的常見歸宿。

根據(jù)IDC InfoBrief的數(shù)據(jù)，只有21%的企業(yè)收集了足以付諸行動的信息。大多數(shù)組企業(yè)(56%)表示，他們通過安全系統(tǒng)收集的信息只能使他們對問題的根源有個(gè)大略的了解，依靠這些信息無法鎖定具體問題并實(shí)施適當(dāng)?shù)慕鉀Q方案。

根據(jù)Solarwinds的白皮書調(diào)查數(shù)據(jù)。擁有約一千名員工的公司的SIEM系統(tǒng)每秒鐘記錄的安全事件多達(dá)20億個(gè)，這意味著每天的安全事件高達(dá)200萬個(gè)。即使是最牛的安全運(yùn)營中心(SOC)分析師也難以處理如此規(guī)模事件所產(chǎn)生的海量警報(bào)。

困擾傳統(tǒng)安全系統(tǒng)的其他問題是需要專業(yè)知識和耗時(shí)的事件調(diào)查，有時(shí)可能需要幾個(gè)月的時(shí)間。例如，使用EDR，據(jù)報(bào)道，入侵識別時(shí)間最多長達(dá)197天，而遏制攻擊時(shí)間可長達(dá)69天。

同樣，傳統(tǒng)安全系統(tǒng)的本質(zhì)是以工具和技術(shù)為中心，這使得人們忽視了更為重要的運(yùn)營需求。正如IDC InfoBrief中所述，有23%的公司表示其安全團(tuán)隊(duì)將更多時(shí)間用于維護(hù)和管理安全工具，而不是進(jìn)行實(shí)際的安全調(diào)查。同時(shí)，有19%的公司報(bào)告其安全產(chǎn)品組合中存在碎片或缺乏集成的情況。

XDR通過其收集深度活動數(shù)據(jù)以及跨層掃描，搜尋和調(diào)查路徑的綜合方法來解決傳統(tǒng)安全方案的缺點(diǎn)。借助人工智能和高級分析，XDR可以在安全警報(bào)過載中發(fā)現(xiàn)真正的威脅。

“魔”高于“道”的時(shí)代

本文無意貶低EDR的價(jià)值，大量公司有充分的理由繼續(xù)依賴EDR。但是，由于其先天設(shè)計(jì)(將重點(diǎn)放在托管端點(diǎn)上)而存在功能上的局限性。同樣，EDR在可以識別和阻止的威脅種類、范圍，以及對被攻擊實(shí)體的識別和對攻擊的最佳響應(yīng)方面也存在局限性。

同樣，我們也不能說NTA是個(gè)擺設(shè)。網(wǎng)絡(luò)流量分析仍然很重要，但是NTA需要跳出網(wǎng)絡(luò)監(jiān)控這個(gè)狹窄領(lǐng)域。NTA系統(tǒng)也會生成海量日志，這使得將網(wǎng)絡(luò)警報(bào)與其他相關(guān)安全事件數(shù)據(jù)之間的關(guān)聯(lián)變得非常困難。

業(yè)界已經(jīng)在嘗試改進(jìn)EDR和NTA，但是這些改進(jìn)往往最為單獨(dú)的解決方案或額外的安全層來實(shí)現(xiàn)。這意味著數(shù)據(jù)孤島問題依然存在。而XDR目前來看，是企業(yè)升級檢測和響應(yīng)系統(tǒng)的選擇整體方法。XDR能夠縮短SOC檢測告警的時(shí)間，并評估哪些警報(bào)值得關(guān)注和采取行動。XDR不會替代SIEM，但會對其進(jìn)行增強(qiáng)，以充分利用SIEM產(chǎn)生的安全日志和通知。

換句話說，XDR是傳統(tǒng)安全系統(tǒng)進(jìn)化的一個(gè)新路徑，以跟上網(wǎng)絡(luò)犯罪分子攻擊技術(shù)和方法的進(jìn)化速度。

擴(kuò)展的檢測和響應(yīng)

XDR可以查明各種來源和位置的隱藏威脅并對其進(jìn)行跟蹤。這種系統(tǒng)可提高企業(yè)IT團(tuán)隊(duì)的工作效率，并提高安全調(diào)查的速度。XDR提供了超出端點(diǎn)的多個(gè)安全層，從而擴(kuò)大了檢測和響應(yīng)范圍。此外，XDR創(chuàng)建了一個(gè)集成的自動化平臺，可實(shí)現(xiàn)跨安全層的完全可見性。

因此，業(yè)界也有廠商將XDR(跨層檢測與響應(yīng))稱為“擴(kuò)展檢測和響應(yīng)”，也有人將“X”解讀為“廣泛的”，因?yàn)閄DR不僅可以識別和處理威脅，還是一種全面的安全解決方案。XDR能夠確定用戶是如何被感染的、切入點(diǎn)在哪里、攻擊如何橫向移動以及有多少其他用戶受到了威脅。此外，XDR與SIEM以及安全協(xié)調(diào)、自動化和響應(yīng)(SOAR)系統(tǒng)的集成能夠使分析人員可以在更廣泛的安全生態(tài)系統(tǒng)中使用XDR。

戳這里，看該作者更多好文

分享文章：超越EDR和NTA，XDR憑什么？
文章起源：http://m.fisionsoft.com.cn/article/coeiisi.html

新聞中心

其他資訊