XDR告诉客户一个完整的攻击故事,并快速处置

浏览: 作者:未来智安 来源: 分类:资源

图片

越来越多的网络安全工具每天产生成千上万的警报,安全专业人员应接不暇。调查单个警报并将其连接到事件通常需要几天时间。为树而见森林是一场持续的斗争。而且,一旦发现威胁,了解攻击的广度并最终补救威胁所需的时间现在以月为单位。IBM的数据泄露成本报告发现,识别恶意攻击的平均时间为230天;遏制攻击的平均时间为84天。这就是为什么尽管网络安全投资不断增加,但违规事件仍在不断增加。


规模较小的组织受到失控的网络安全复杂性的影响最大,但许多组织根本负担不起提供跨设备的迫在眉睫的威胁可见性所需的各种安全解决方案。网络安全体系已经变得如此复杂和笨拙,以至于维护和操作解决方案所需的技能超出了这些组织所能处理的范围。事实上,只有最大的公司才有足够的人手来解决这些问题。


看见森林

一类新的安全工具正在出现,有望极大地提高威胁检测和响应的有效性和效率。Gartner定义了一个新的解决方案类别,它聚合和关联来自多个检测控件的遥测数据,然后综合和自动化响应操作—扩展检测和响应(XDR)。


企业通常部署多种预防和检测技术来保护入口和移动点,如端点、网络、用户和数据。虽然这些工具通常在防止和检测绝大多数网络攻击方面做得很好,但它们看不到完整的攻击行为,常常陷入各种零碎的告警数据之中。在整个环境中的可视性以及理解安全数据和警报的上下文是解决复杂性问题的第一步。


许多组织已经转向端点检测和响应(EDR)、流量检测和响应(NDR)解决方案等。基于IBM研究中引用的驻留时间,当今安全领域的真正挑战是尽快找到绕过一线防御的威胁。当智能地与来自其他安全解决方案的信息配对时,某个安全解决方案看似无害的内容突然引起关注。将预防和检测技术整合到一个解决方案中,可以协调威胁信号,从而更准确地描述攻击情况。


简化安全性的另一个重要步骤是自动化响应操作,以通过更好的可见性和上下文来解决确定的真正威胁。如今,安全团队花费大量时间调查假阳性警报。然后,确认的威胁需要通过多个控制台和访问多个控件,以调查攻击的整个范围。修复威胁还需要在多个安全系统中计划和协调纠正措施的工作量过大。操作和维护过多的点式解决方案会让安全团队不知所措。


一种新的威胁检测与响应方法XDR

XDR通过将警报整合并合理化为可操作的事件以及自动化调查和响应行动来帮助安全团队。XDR平台的主要需求是威胁可见性、事件定位和响应自动化。


XDR的基础是提供最相关的威胁遥测的主要预防和检测组件的广泛可见性。组合来自这些组件的数据,这些数据提供了检测攻击所需的上下文,同时提供了更高的检测精度(从而减少误报)。因为包含的组件是单个平台的一部分,所以数据和警报信息可以很容易地进行规范化和组合。决定哪些预防和检测组件应该包含在XDR平台中是至关重要的。虽然有些人建议包括范围非常广泛的检测和安全工具,但应优先考虑覆盖主要攻击向量的工具。XDR工具至少应包括来自以下关键组件的数据:


EDR–端点检测和响应,用于更高级的端点保护、检测和响应。NDR–网络流量检测和响应,用于检测网络上的恶意活动。


综合起来,来自这些组件类别的数据提供了检测网络威胁杀死链中绝大多数攻击所需的广泛可见性。其他数据可以补充这一核心数据集,但这些组成部分已被证明提供了最佳价值。例如,来自欺骗技术的数据诱使成功的入侵者在造成损害之前暴露他们的存在,可以为XDR平台提供非常有价值的数据。还建议尽可能多的组件是平台的本机组件。这可以确保所有数据都得到适当的规范化和加权,并且可以从单个接口管理所有特性和策略。它还消除了集成和持续维护来自多个供应商的工具所需的时间和精力。


将来自多个检测工具的数据集中起来,可以让XDR平台将警报和数据合并到事件中。XDR平台可以智能地组合来自多个来源的看似良性的告警数据,以发现任何单一来源都检测不到的威胁。该平台还可以确定是否应将警报合并并升级为整体事件,或将其视为误报。整体事件的形成为响应行动提供了比单个警报多得多的背景。事件包括与攻击有关的所有相关警报和信息,以加速调查、决策和响应行动。在统一的事件视图中呈现威胁比在多个系统之间切换(希望)收集相同的情报要高效得多。


响应自动化

在确定了安全事件以及所有相关细节和上下文之后,XDR平台还提供了快速、自动地防止或最小化损害的响应能力。响应行动从调查开始,自动收集与事件相关的信息,确定根本原因并分析威胁的影响。例如,某些XDR工具可能会自动列出与警报关联的正在运行的进程、查询Windows注册表、收集环境变量或运行自动脚本等功能。

尽管XDR的检测部分受到了很大的关注,但平台的响应能力可以让组织对实时威胁做出即时反应,同时将安全团队的负担降到最低。大多数XDR工具都提供某种程度的自动修正操作,例如删除恶意文件、隔离受感染的端点或杀死恶意进程。更高级的XDR平台将修正扩展到整个环境,并自动化更复杂的响应操作,这些操作将各种修正操作链接到单个流中,在触发预定义警报时自动运行。

许多大型组织正转向安全协调、自动化和响应(SOAR)技术,从多个来源收集与威胁相关的数据,然后跨多个安全控制自动响应实时威胁。然而,成功地操作SOAR是非常复杂的,需要很大的管理负担,只有最大的企业才能使用它。XDR平台具有多个本机安全控制,有可能提供类似于SOAR的功能,而不必为完整的SOAR解决方案承担繁重的工作。


XDR的好处

XDR提供了一个统一多个控制点以协调威胁预防、检测和响应的整体平台。这种方法提高了检测精度,同时大大降低了综合威胁保护所需的复杂性和开销。

XDR平台通过将来自有意义的攻击向量的预防和检测控制本机地结合起来,提供了传入威胁的更广泛视图。这种整体视图使XDR平台能够自动将真实警报与噪声分离,并发现可能未被筒仓式检测工具注意到的微妙威胁线索。XDR平台提供的可见性和智能性导致了前所未有的威胁检测准确性。

安全团队花在追踪XDR平台的假阳性警报上的时间要少得多。许多真正的威胁是自动补救无需人工干预。已确认的事件要么自动调查和补救,要么伴随丰富的数据和背景,以缩短手动调查和响应行动。整合、维护和威胁检测以及自动驾驶响应所需的时间,安保人员可以专注于其他紧迫问题,而不是持续的警报追踪。

将多个安全产品整合到一个XDR平台中,在直接供应商成本和内部支持成本方面都可以显著节省成本。没有全套预防和检测控制的小型公司通过购买单个XDR解决方案,自动获得广泛而深入的威胁覆盖范围。将大量警报减少为较少的有意义事件,以及自动化响应操作,可以减少安全团队在这些任务上花费的时间。

正确的XDR解决方案是一个整体平台,它将多个控制点统一起来,以协调威胁预防、检测和响应。这种方法提高了检测精度,同时大大降低了综合威胁保护所需的复杂性和开销。