在選擇合適的 XDR 解決方案之前需要考慮的 5 個問題
XDR介紹
自2020年以來, XDR(擴展檢測和響應)就成為了網絡安全領域的一個熱詞,尤其是隨著疫情和網絡威脅帶來的新變化,XDR的熱度持續上升。XDR是一種新的技術,更是一種解決方案型的產品,為檢測和響應帶來了新的可能性。比如Gartner在2020年的《Top Security and Risk Management Trends》報告中提到的第一項技術和解決方案就是XDR。在代表趨勢的Hype Cycle中,有兩個重點的Hype Cycle都提到了XDR這個關鍵技術。同時,國外各大廠商也在不斷的宣傳自己的XDR解決方案,包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。 此外,在2020年Gartner線上的Summit在主題演講《Top Trends in Security and Risk Management》中的八大趨勢中,第一個也是XDR,作為SIEM和SOAR的替代方案出現在主流市場中。
現在普遍認為XDR源于EDR(端點檢測與響應)。EDR是一種安全工具,監視與網絡相連的終端用戶硬件設備上的可疑活動與行為,并自動響應以阻斷察覺到的威脅,同時為進一步調查留存取證數據。從名字上可以看出,XDR跟EDR的關系最近,同時終端類型的安全產品也是在事件響應中最重要的產品。但是XDR是一種解決方案型的產品,在安全運營體系中加入了一些有實際安全價值的產品中,以此來提高整體的檢測和響應效率。
XDR在Gartner的定義是:SaaS類型的安全威脅檢測和響應平臺,集成了大量的產品,并統一了相關license收費,具體產品功能視廠商而有所不同。XDR產品主要有三大價值:1. 直接集成安全產品開箱即用;2. 有統一的安全數據歸一化和中心化可供分析和查詢;3.由于有多種產品的配合和協調,因此可以改進檢測的敏感性;4.多產品聯動處理改變單一產品的響應過程。XDR產品的最小集合需要有威脅情報的持續更新,以及需要數據的歸一化和中心化處理以便分析和關聯。標準化的解決方案需要SaaS的存儲,圖數據庫的支持分析,集成相關的安全產品,包括EDR、防火墻、SEG、CASB、CWPP等等。
XDR的價值,最直接就是兩個:一個就是能夠提高安全運營的效率和價值,增強檢測和響應的能力,可以通過集成多種安全產品并統一進行安全理解;另一個就是降低安全運營的復雜度。一個統一的解決方案,可以統一在一個產品界面進行安全問題的解決,而不需要每個產品進行單獨的對接調整,降低了安全運營的對接成本和使用成本。XDR的核心優勢體現在三個層面:1. 改進保護、檢測和響應的能力;2. 提高安全運營員工的效率;3. 降低獲得有效檢測和響應能力的總體擁有成本(TCO)。
需要考慮的問題
疫情以來,威脅形勢繼續發展并迅速擴大。隨著從端點到網絡再到云的攻擊方法成倍增加,許多企業使用一流的解決方案來應對每一種攻擊方法,以保護這些特定漏洞。然而,這些工具并沒有將整個技術堆棧中的安全問題聯系起來。因此,安全數據是孤立地收集和分析的,沒有任何上下文或關聯。
隨著 XDR 越來越受到關注并成為關鍵的下一代安全工具,在使用 XDR 解決方案時,你應該考慮以下五個問題。
1. XDR 解決方案是否提供了豐富的跨堆棧可見性以及從多個數據源無縫獲取的能力?
EDR 解決方案非常適合從端點獲取安全相關信息。但是,它們缺乏跟蹤分析技術,無法為準確描述可能跨越其他來源的攻擊者的行為和目標提供可靠的分析。強大的 XDR 平臺通過啟用來自多個安全層和可能的攻擊點的跟蹤分析來解決跟蹤分析限制問題。這使得持續監控和管理傳入警報成為可能。此外,借助威脅情報源,XDR 系統可以主動搜索隱藏的威脅。
Singularity XDR 可以使企業從任何技術產品或平臺實時無縫地提取結構化、非結構化和半結構化數據,打破數據孤島并消除關鍵盲點。通過Singularity最近收購的 Scalyr,該解決方案可以讓安全團隊在單個儀表板中查看由來自所有平臺的不同安全解決方案收集的數據,包括端點、云工作負載、網絡設備等。
Singularity XDR 使分析人員可以利用從多個不同解決方案中將事件信息聚合到單個情境化“事件”中所獲得的洞察力。它還為客戶提供中央執行和分析層點集線器,以實現完整的企業可見性和自主預防、檢測和響應,幫助組織從統一的角度應對網絡安全挑戰。
2. XDR 解決方案是否提供跨不同安全層的自動化上下文和關聯?
許多 EDR 解決方案需要(人工)安全團隊進行調查。但考慮到生成的警報數量,許多安全團隊沒有足夠的資源來處理每一個事件。一個強大的 XDR 解決方案應該通過人工智能和自動化的內置上下文和關聯來增強。
SentinelOne 獲得專利的 Storyline 技術在整個企業安全堆棧中提供實時、自動化的設備構建上下文和關聯,將斷開連接的數據轉換為豐富的故事,并讓安全分析師了解他們環境中發生的完整事情。自動將所有相關事件和活動鏈接到一個具有唯一標識符的故事情節中。這使安全團隊可以在幾秒鐘內查看所發生事件的完整上下文,而無需花費數小時、數天或數周手動關聯日志和鏈接事件。
SentinelOne 的行為引擎跟蹤整個環境中的所有系統活動,包括文件/注冊表更改、服務啟動/停止、進程間通信和網絡活動。它檢測作為惡意行為指標的技術和策略,以監控隱蔽行為,有效識別無文件攻擊、橫向移動和主動執行 rootkit。 Singularity XDR 自動將相關活動關聯到統一警報中,提供活動級別的洞察力,并允許企業跨不同方法關聯事件,以促進將警報作為單個事件進行分類。
3. XDR 解決方案是否通過集成的威脅情報自動豐富威脅?
隨著新的威脅的出現,外部環境的缺乏使得分析人員難以確定警報或指標是否代表了對其組織的真正威脅。威脅情報提供有關威脅、漏洞和惡意指標的最新信息,讓安全團隊能夠專注于最重要的事情。精心構建的 XDR 解決方案支持來自多個來源的威脅情報集成,以幫助安全團隊快速有效地確定警報的優先級和分類。
Singularity XDR 集成了威脅情報,用于檢測和豐富來自領先的第三方源和SentinelOne的專有來源,這些來源通過實時威脅情報自動豐富端點事件。它使安全團隊能夠獲得關于攻擊指標 (IoC) 的額外上下文風險評分,例如 IP、哈希、漏洞和域。例如,通過SentinelOne的 Recorded Future 集成,從 80多萬個來源中自動豐富威脅,使客戶能夠加速威脅調查和分類功能。客戶還可以利用 SentinelOne 研究策劃的搜索查詢庫,該庫不斷評估新方法,以發現新的 IOC 和戰術、技術和程序 (TTP)。
4. XDR 解決方案是否可以跨不同域自動響應?
當然,事件檢測和調查需要觸發有效的響應以緩解攻擊事件。響應需要預先定義且可重復,以提高修復效率并干預正在進行的攻擊的任何步驟。應對措施應明確規定可用于緩解攻擊的短期和長期措施。了解威脅產生的原因對于提高安全性和防止今后發生類似的攻擊也至關重要。必須采取一切必要措施,以確保類似的攻擊不太可能再次發生。
Singularity XDR 使分析人員能夠采取所有必要的操作來自動解決威脅,在整個區域的一臺、多臺或所有設備上一鍵式自動解決威脅,而無需編寫腳本。只需單擊一下,分析師就可以執行修復操作,例如網絡隔離、在惡意工作站上自動部署代理或跨云環境自動執行策略。
Singularity XDR 還允許客戶利用 Storyline 提供的分析功能,通過 Storyline Active-Response (STAR) 創建特定于其環境的自定義自動檢測規則。 STAR 允許企業整合其業務環境并根據其需求定制 EDR 解決方案。借助 Storyline Active-Response (STAR) 自定義檢測規則,你可以將查詢轉換為自動搜索規則,在規則檢測到匹配項時觸發警報和響應。 STAR 使你可以靈活地創建特定于你的環境的自定義警報和響應,以自動、快速地檢測和遏制整個環境中的威脅。
5. XDR 解決方案是否讓你輕松與領先的 SOAR 工具集成?
由于你的 SOC 中可能部署了其他安全工具和技術,因此你的 XDR 解決方案應該讓你能夠利用你在安全工具方面的現有功能。關鍵功能將是內置集成,包括自動響應、集成威脅情報。
SentinelOne 通過 Singularity Marketplace 向第三方系統(如 SIEM 和 SOAR)提供越來越多的集成組合。 Singularity 應用程序托管在SentinelOne可擴展的無服務器功能即服務云平臺上,只需點擊幾下即可與支持 API 的 IT 和安全控制結合在一起。 Singularity Marketplace 是 SentinelOne 平臺的一部分,使客戶能夠消除編寫復雜代碼的障礙,使自動化在供應商之間變得簡單和可擴展。安全團隊可以通過在不同域中的安全工具之間推動統一、協調的響應,輕松地確定最佳行動方案,以修復和防止安全攻擊。
本文翻譯自:
https://www.sentinelone.com/blog/5-questions-to-consider-before-choosing-the-right-xdr-solution/