电子书–;在精简的公司预算上创建大型公司安全堆栈
恶意行为体改进攻击策略并继续渗透安全系统的速度,使得网络安全的主要趋势是“做大”。
面对不断演变的威胁形势,各组织的应对措施是建立更大的安全堆栈,增加更多的工具和平台,并使其防御更加复杂;XDR提供商Cynet的新电子书(请在此处阅读)。
组织发现自己在与恶意行为者进行虚拟军备竞赛。攻击者找到新的、更隐蔽的方法来渗透组织的防御,组织会建造更高的墙,购买更多的技术来保护自己,并扩展其安全堆栈。
金钱是安全成功的关键因素–;对于精简型组织来说,这是一个艰难的现实,因为它们可能没有大公司和企业看似无穷无尽的预算。
以前,更精简的安全团队可以对此做些什么的问题“不是很多”,但今天,情况几乎不是这样。尽管网络安全行业包括数百种组织可以用来自卫的工具、平台和服务,但更精简的公司越来越多地发现,拥有所有的警钟和哨子并不总是必要的。
然而,找到合适的工具来取代所有这些技术需要一些前瞻性的思考。此外,它需要对大公司的安全堆栈有一些了解。
大公司的安全堆栈中有什么?
现代安全堆栈有多个移动部件,需要专门的工具来管理不同的平台和服务组织。这通常需要一个专门的团队或团队成员来管理并确保事情顺利进行。
更重要的是,如今大多数组织都遵循分层保护原则–;没有一种工具是100%有效的,因此当一种工具失败时,冗余是至关重要的。
实际上,这意味着大多数组织将安装以下许多(如果不是全部的话)工具:
- 下一代杀毒软件(NGAV)
- 端点保护(EPP)
- 端点检测和响应(EDR)
- 用户和实体行为分析(UEBA)
- 网络流量分析(NTA)
- 电子邮件保护
- 欺骗技术
- 云访问安全代理(CASB)
这也意味着,对于大多数组织来说,每天产生的数据、警报和信号量是一个主要问题。接下来的问题是,企业如何管理来自不同来源的大量警报?
答案通常是使用安全信息和事件管理(SIEM)平台,该平台可以将大多数网络安全工具产生的不同警报和信号集中并协调到一个独特的位置。
然而,这更多的是一种组织工具,而不是减少警报数量的方法。此外,它还增加了安全堆栈的资源和财务成本,并且仍然需要不断的手动干预。
自动化,但代价是什么?
为了解决这个问题,组织转向安全协调、自动化和响应(SOAR)工具。SOAR平台可以自动化事件响应过程的大部分,包括补救和部分调查。
然而,它们价格昂贵,仍然需要手动管理,而且并不总是可行的选择。
XDR如何提供帮助
对于精益组织来说,构建一个大型、多层次、复杂的安全堆栈所产生的工作量可能会超过它所移除的工作量。管理、教育、定期维护和更新可能会占用安全团队的大量宝贵时间。
那么,真正的答案不是做大,而是更灵活–;这就是扩展检测和响应(XDR)的用武之地。
组织可以将注意力集中在单一的玻璃视图上,而不是多个图层和显示,从而减少维护、管理和更新工作。
XDR通常通过三个主要功能实现这一点:
- 预防和检测:XDR提供的最大优势之一是,它实际上可以减少和管理组织必须筛选的警报量。XDR本机包含许多(在某些情况下是全部)这些工具。这有两个好处。首先,这意味着所有信号和数据都已标准化并已集成。这样可以更容易地处理它们,创建更可靠的分类和调查方法,并控制它们。其次,它可以减少误报的数量,并提供更快的响应,因为执行检测的工具与响应潜在威胁的工具相同。
- 自动响应:XDR的另一个关键区别在于,它们可以直接自动化组织的大部分网络安全工作。通过包括检测、端点保护和网络分析,XDR可以比非集中式堆栈更快地响应,并且可以更频繁地获得正确的响应。它们还提供了范围更广的应对措施和补救工具。
- 管理检测和响应(MDR):最后,大多数XDR将提供MDR服务,以帮助组织处理许多无法自动化的任务。虽然许多供应商会为此服务收费,但只要将其包含在XDR产品中,团队就可以将其有限的资源优先分配到影响最大的领域。MDR还可以帮助缩小资源和知识缺口,帮助提供更全面、更强大的防御。
在这里,您可以阅读更多关于XDR如何帮助企业在预算内获得更好的安全性的信息。
