XDR常用的五大能力
|
像EDR这类传统的安全工具,往往只能发现威胁的存在,而难以真正理解到威胁——尤其是威胁源自于那些不会发生的“正确行为”中。这也是大部分检测和响应工具往往在检测能力上比在响应能力上做得更好的原因——而XDR则能改变这一现状。 XDR贯穿各个安全层面,这也是许多厂商加入这个圈子的原因。因此,XDR中存在着大量“服务商”,有一些提供真正的XDR解决方案,而有一些只是顶着XDR的名字罢了。这里给选择XDR解决方案的企业五条筛选建议: 1. 跨安全图谱的可视化能力XDR中的“X”意为“扩展”,因此XDR工具需要有广泛的可视化能力,但是指望一家安全厂商能针对所有威胁都有相关的安全产品,显然不现实。那么,XDR厂商应该至少提供终端、云、和网络的可视化能力,然后在电子邮件、应用相关数据等其他领域能整合第三方数据。理论上,XDR厂商应该有三个支柱能力,然后通过合作伙伴模式输出其他能力。在不同系统中将相应能力联系到一起是一项挑战,但是依然可行。 2. 基于机器学习的分析能力安全系统会生成海量的数据,多到甚至最顶尖的犯罪专家都无法手动分析。机器学习算法可以发现能表明攻击的最小的异常点。尽管说一些安全专家不愿意将可视化权限让渡给机器,但是这是唯一能大规模部署XDR的途径。医疗行业早在几年前就遇到过同样的问题:医生不愿意让机器学习系统阅读核磁共振图,但是他们很快发现,如果让机器学习去处理这些问题,那么医生自己就有了更多时间治疗病人,而不是浪费在看数据上。在这一点上,安全和XDR也一样。 3. 自动化响应和基于机器学习的分析能力类似,对安全事件进行自动化响应也需要一定的信任。有些人认为自动化威胁响应有风险,但是手动处理反而会降低响应速度,从而一旦真有泄露事件发生就会导致企业数百万元的损失。一个好的折中方案,可以让XDR系统进行响应方案推荐,而由安全团队验证这个方案并实施。这就跟特斯拉的自动驾驶类似:驾驶员依然需要把手放在方向盘上,但是车却是控制驾驶的一方。 4. 协同响应自从网络安全诞生以来,无法让网络、终端、和云协同响应的问题始终困扰着安全团队。网络方面团队可能注意到了威胁并及时阻断,但是没有告诉终端负责团队,导致一些恶意软件在企业内部悄悄运行。XDR需要有一个集成的响应系统,让安全团队从一个显示表消除网络、终端、和云的威胁。这样就能形成快速响应,并且将威胁半径保持在可控范围内。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
