XDR 與高階主管應該知道哪些事情
XDR 的真正意涵為何?
由 Palo Alto Networks 的 Nir Zuk 在 2018 年所創造的, 「擴展的偵測與回應」(Xtended Detection and Response,XDR) 一詞,最初是為了因應孤立的數據分析方法所形成的挑戰以提升安全性。之前 的方法僅著重於單一類型的裝置或區域,像是端點、網路或使用者行為等等,缺少其他重點區域提供的脈 絡和指標而無法有效地識別風險。XDR 會分析所有的重點區域並將這些區域整合至一個全面的平台,讓 您可以了解與事件有關的所有數據,然後提供整個環境中的追蹤和補救步驟,SOC 也能夠回應任何惡意 或高風險事件。
XDR 的起源為何?
由於 Palo Alto Networks 會檢視企業在可視性方面所持續面臨的挑戰,並掌握在其環境中發生的重大安全事件, 讓他們能了解核心和孤立產品廠商之間存在的落差,並且迫切需要統一平台所提供的廣泛涵蓋範圍。XDR 的設計 能夠結合企業 IT 基礎結構所有面向的資訊以弭平這些差距。
此外,您還必須能夠將機器學習引擎納入考量以針對原始數據的大幅增加建立關聯性,這點非常重要,因為您必須 確保分析人員只需要注意重大的事件,以避免他們因為各種無法展開行動或不相關的警示而疲於奔命。對於任何及 各種 IT 營運來說,XDR 中的「X」在擴展偵測與回應的原理中具有關鍵地位,為了凸顯這樣的重要性,Palo Alto Networks 建立一個願景圖 以具體呈現何謂 XDR 並說明為何它將會在未來持續不斷地進展。
為何 XDR 對於網路安全性來說如此重要?
從各自獨立的端點、網路與威脅數據集一直到所有數據的整合檢視,再進化到單一平台以形成根本上的轉變,讓企 業能全盤掌握整個安全作業和 IT 足跡。此外,完整的單一檢視還可避免錯過重大事件、因缺乏脈絡而造成的誤判 與漏報,並減少技術障礙、手動彙總和報告。在面對只為了個人利益而單打獨鬥的「駭客激進份子」,一直到國家 層級的活動者以及隨著不斷演進而日益複雜的攻擊,這些由機器學習系統所分析、整合的數據集已徹底改變企業因 應網路犯罪的方式。
目前有哪些關於 XDR 的詮釋?
在檢視市場如何達到 XDR 的概念時,我們發現有許多廠商都不太願意採 用這個名詞,但實際上卻又非常積極地想要盡快將 EDR 或 NDR/NTA 產 品轉換為 XDR。其中有不少廠商更著手重新設計其 UI/UX,讓所有資訊 都能以「統一的單一來源」呈現,而不需要實際上變更其基礎應用程式以 適當地從所有來源取得數據,因此不過是在單一檢視中顯示孤立的數據串 流。此外,在該領域中也出現一些新的廠商,其主要偏重於取得深入的可 視性,但卻未能涵蓋構成整個 IT 基礎結構、所有不同類型的設備,反而形 成原本不應該存在的漏洞。最後,同時也是最不尋常的,就是我們發現市 場上仍缺少透過機器學習所達成的自動化,讓企業因為蜂擁而至的警示而 欠缺適當的注意力,或者是因為數據不夠完整而使得分析人員無法掌握導 致問題發生的完整事件鏈。