Az XDR egy ideje a szárnyakban várt, de elérkezhetett a pillanata. Hogyan segítheti a kiberbiztonságot ez a régi stratégia új fordítása? Itt található a gyors útmutató.
Az XDR eléri a kritikus tömeget
Úgy tűnik, hogy egyes dolgok csak egy ideig tartanak a tapadáshoz. Bizonyos időnek el kell telnie ahhoz, hogy az ötlet a kollektív tudatban elhelyezkedjen, és kezdjen valamennyire befolyásolni a biztonságot, a költségvetést vagy mindkettőt érintő döntéseket. Ha a koncepció inkább stratégia vagy kezdeményezés, mint termék, akkor hosszabb időbe telhet, amíg ez az ötlet elnyeri a kritikus tömeget. Elég embernek kell beszélnie róla, megvalósítania és végül ajánlani, hogy piaci lendületet kapjon.
Erre példa a nulla megbízhatóságú hálózat. Ez volt eredetileg Ph.D. tézis 1994-ben Stephen Paul Marsh. Közel 16 évvel később John Kindervag kihozta az akadémia területéről, és javaslatot tett egy ilyen hálózat létrehozásának gyakorlati módjára, valamint ehhez kapcsolódó nézőpontra és gondolkodásmódra. Ez a gondolkodás és elfogadás földi elmozdulása néha időt vesz igénybe, hogy utolérje a gyakorlati újítást.
Ma a nulla megbízhatóságú hálózatokat mindenhol megvitatják, és a Nemzeti Kiberbiztonsági Központ és a Országos Szabványügyi és Technológiai Intézet.
Egy hasonló lassú égésű XDR vagy eXtended Detection and Response úgy néz ki, mintha a pillanatához érkezne. Az XDR-t leginkább olyan kezdeményezésnek vagy stratégiának tekinthetjük, amelyet a hálózati architektúra és az integrált technológiák együttesének kombinációjával lehet megvalósítani.
Az XDR Vision
Az XDR-megvalósítás megköveteli a biztonsági termékek és a hálózati architektúrák gyűjteményének kibogozását, hogy együttműködő módon lépjenek kapcsolatba egymással. A cél a sikeres kibertámadások megakadályozása a folyamatban lévő támadások észlelésével és ezekre a támadásokra adott automatikus válaszadással.
Az XDR meghatározása még mindig folyékony. Különböző gyártók torzítják az XDR definícióját, hogy hasonlítsanak – vagy összpontosítsanak – a hagyományosan kínált technológiákra és termékekre, amelyeket teljesen megértenek és jártasak a szállítás terén. Mindazonáltal az XDR megvalósítás valószínűleg olyan technológiákat is tartalmaz, amelyek az alábbi pontokat nyújtják vagy kezelik:
- Végpont biztonság a legszélesebb értelemben. A végpontok, például a vállalati PC-k és laptopok mellett fizikai és virtuális szervereket is tartalmaz – akár helyben, akár adatközpontokban -, valamint a felhőben található virtuális szervereket.
- Védelem az általánosan használt fenyegetés-továbbító vektorok, például üzleti e-mail, vállalati webhelyek és portálok számára.
- Automatikus fájl- és fenyegetéselkülönítés és homokozó.
- Fenyegetés Intelligencia. Ez elemzést, jelentéstételt és riasztást nyújt.
A mozgatórugó elv az, hogy a technológia és a fejlett elemzés integrálása drámai módon felgyorsítja a fenyegetések észlelését és reagálását. Az XDR-nek ugyanolyan könnyen észlelnie kell az alacsony kulcsú, hosszú távú támadásokat, mint a rosszindulatú programokat és a vírusokat. Sok kibertámadás hosszú ideig rejtett távoli hozzáférést tartalmaz. A fenyegetés szereplői ezt az időt a hálózati leképezésre használják, hogy biztosítsák a ransomware támadásuk maximális hatását, vagy fontos információkat keressenek, amelyeket ki akarnak szűrni.
A hosszú távú megfigyelést alkalmazó fejlett tartós fenyegetéseket egy hatékony XDR-rendszernek is fel kell fedeznie. Az elemzés és a monitorozás észleli azokat az aktivitásokat, viselkedési mintákat és egyéb figyelmeztető jeleket, amelyeket a hagyományos védelmi technikák elmulasztanának.
A kifinomult kibertámadások lineáris folyamatot követnek, amelyet ölési láncnak neveznek – katonai kifejezésnek -, amely leírja a támadás szakaszos végrehajtását.
- Felderítés: Sebezhetőség megtalálása port-szkenneléssel, a védekezés átvizsgálásával, egyéb információk megsértésével kapcsolatos hasznos információk összegyűjtésével vagy szociális tervezéssel
- Fegyverzés: Olyan rosszindulatú teher létrehozása vagy kiválasztása, amely egy azonosított biztonsági rés kihasználásával szállítható.
- Szállítás: Fegyveres szoftvercsomag szállítása. Ez adathalász támadással történhet. Ez általában egy távoli hozzáférésű trójai program vagy más rosszindulatú program lesz, amely a fenyegetett szereplők számára rejtett hozzáférést biztosít az Ön hálózatához.
- Kihasználni: Hozzáférés a veszélyeztetett hálózathoz és további felderítés vagy olyan műveletek végrehajtása, mint a privilégiumok fokozása.
- Telepítés: A támadás rosszindulatú hasznos terhelésének telepítése. Ez lehet például ransomware.
- Parancsnokság (C2): Kommunikációs vonal létrehozása a rosszindulatú programok és a fenyegetés színész távvezérlő szerverei között. Ezek elfogadják a rosszindulatú programokból származó információkat, és utasításokat, frissítéseket és egyéb hasznos terheléseket küldenek a rosszindulatú programoknak.
- Műveletek: A fenyegetés szereplői végrehajtják a támadást, és a hálózat titkosított, törölt vagy más módon sérült.
Az XDR ígérete vagy elképzelése az, hogy a biztonsági ellenőrzéseket és védelmi elemeket szorosan összeköti a biztonsági műveletekkel – a biztonsági műveletek központja, legyen az szerény vagy kifinomult – egy végpontok közötti integrált megoldássá, amely képes felismerni a kill lánc különböző szakaszait.
Az XDR telepítése
Nem mehet csak ki és vásárolhat XDR-t, és nem többet, mint kiberbiztonságot. Mindkét esetben találhat olyan gyártókat, akik segítenek megtervezni az XDR-re történő lassú áttérést, és tanácsot adnak vagy szállítanak néhány olyan rendszert, amelyre szüksége van az implementáláshoz. Mivel nincsenek egyablakos ügyintézési lehetőségek az XDR-hez, a nyílt API-k, a nyílt ipari szabványok, valamint a felhasználói és partneri ökoszisztémák támogatása kritikus fontosságú az XDR mint megoldás fenntarthatósága szempontjából. Az értékesítők és az érdekképviseletek keményen dolgoznak ezen.
Hasonlóan a nulla megbízhatóságú hálózathoz, az XDR rendszer is olyan, amelyet alapból be lehet építeni, ha zöldmezős webhelyet kezel, és a semmiből indul. Ennek a luxusnak a nélkül meg kell terveznie, hogyan kívánja fokozatosan bevezetni. Ez magában foglalja annak azonosítását, hogy a meglévő eszközök és rendszerek melyikét cserélhetik vagy frissíthetik az XDR képességekkel rendelkezőkre.
Ez lehetővé teszi a fázisok azonosítását az azonosított alkatrészek hátralévő élettartama alapján. Annak ismerete, hogy mikor kell ezeket az alkatrészeket kicserélni vagy frissíteni, egy sor pontot ad. Vannak, akik egyedül állnak, másokat kissé előre lehet hozni, vagy rövid időre el lehet halasztani, hogy logikai, kezelhető fázisokba csoportosítsák őket.
Minél nagyobb a szervezet, annál nagyobb kihívást jelent majd a telepítése, valamint a C-suite meggyőzése arról, hogy ez egy változás és költség indokolt. Valószínűleg a nagyvállalatok képesek lesznek saját végpontok közötti integrációjának kidolgozására vagy megrendelésére, amely egyenértékű az XDR-megvalósítással, amely a polcról elérhető alkalmazásokból épül fel. Emiatt az XDR vonzóbb a felsőbb szintű, kis és közepes vállalkozások számára.
Egy érlelődő funkciókészlet
Bár az XDR rivaldafénybe lépett, és a nagy játékosok közül sokan kedvelik Fortinet, Cisco, és McAfee rendelkeznek XDR-ajánlatokkal, ez még mindig egy új megközelítés a fenyegetések észlelésének, jelentésének és automatizált kezelésének problémájához. Különböző értelmezések vannak arról, hogy mi van és mi nem az XDR. Nem meglepő, hogy mindegyikük előnyben részesíti az egyes gyártók technológiáját és termékszakértését.
Beszéljen az XDR gyártókkal, de beszéljen a jelenlegi stratégiai biztonsági partnereivel is, és kérdezze meg őket az XDR-ről és arról, hogy mi a játéktervük erre a helyre.
Vessen egy alapos pillantást a jelenlegi fenyegetés-felderítő és -reagáló rendszerére. Mi működik, mi nem, és mit lehetne javítani? Talán a meglévő szállítók jelenlegi generációs eszközeinek következő generációs készlete jobban megfelel az Ön számára.
Ha XDR van szervezete számára a továbblépéshez kezdje meg a szakaszos bevezetés tervezését, és vonja be az összes érdekelt felet – beleértve a biztonsági és informatikai operatív csoportokat is.
