Кибер -угрозы продвинуты и настойчивы с рядом новых инструментов для совершения атак на компании. К счастью, поставщики кибербезопасности также являются инновационными, чтобы сохранить эти возникающие угрозы в шахматах, и группы безопасности переосмысливают свой общий подход к защите своих критических активов с помощью новых решений.
Наиболее обсуждаемые подходы включают распознавание и реакцию конечной точки (EDR), обнаружение и реакцию сети (NDR), а также расширенное обнаружение и реакция (XDR). В то время как каждый играет решающую роль в современной архитектуре безопасности, организации обнаруживают, что реальная устойчивость связана не с тем, как эти уровни работают изолированно, а как скоординированная система.
Соучредитель и главный ученый в Extrahop.
Содержание
EDR: Сильный на источнике
EDR стал стандартом для идентификации вредоносного поведения на отдельных устройствах. С глубокой криминалистикой, в реальном времени EDR помогает защитнику решительно действовать на компромисс, чтобы предотвратить сетевое наблюдение и функции быстрого загрязнения. Особенно эффективно выявлять угрозы, которые проявляются в результате деятельности конечной точки, неавторизованного доступа, вредоносных сценариев или привилегий.
Тем не менее, на основе агента природа EDR означает, что он может защитить только то, что она видит на предоставленных устройствах. Устройства без таких агентов, как не управляемые активы, устройства IoT или конечные точки сторонних поставщиков, могут представлять собой слепые пятна, которые могут оставить организацию, подверженную угрозам, если на них нападает злоумышленник. В то время как EDR отличается на уровне конечной точки, в нем может отсутствовать полная видимость спектра, который необходим для обеспечения контекста в более широкой области атаки.
NDR: современная видимость
Если агент конечной точки отсутствует в одном устройстве, вся деятельность может продолжать продолжаться на уровне сети, что сделало NDR важным уровнем безопасности для многих организаций. В отличие от инструментов, основанных на агенте, NDR фокусируется на весь трафик данных, который движется в сети и предлагает заземленную перспективу, что угрозы не могут уклоняться.
NDR не конкурирует с EDR, но дополняет его, предлагая видимость в боковом движении и аномальной связи, которую не могут видеть агенты конечной точки. Компонент бокового движения является ключом здесь, поскольку раннее обнаружение злоумышленника, которое перемещается по сети компании Инфраструктура. Это имеет решающее значение, поскольку поверхность атаки простирается по облачной среде, отдаленной рабочей силе и не управляемым активам.
Что убеждает NDR, так это раскрыть его способность раскрывать тонкие закономерности, неожиданные передачи данных, зашифрованные командные и управляющие каналы или отклонения базового поведения, которые не могут отображаться в обычных протоколах или телеметрии конечной точки. NDR привносит своего рода беспристрастность признания, чтобы увидеть, что на самом деле происходит, а не то, что сообщают системы.
Комбинация NDR с другими сетевыми инструментами, такими как системы обнаружения вторжений (IDS) и судебно -медицинскую экспертизу, обеспечивает гораздо более глубокую видимость в сетевом трафике и более богатый контекст любой транзакции. Эта всесторонняя точка зрения имеет решающее значение для быстрого признания потенциальной угрозы и предоставить всю соответствующую информацию во время экзамена, чтобы не только выяснить, как угроза была перемещена по сети, но и там, где она соответствовала отдельному устройству или индивидуальному общению.
XDR: интеграционная игра
XDR сочетает в себе лучшие инструменты безопасности, такие как EDR, NDR, SIEM, безопасность электронной почты, доступ и Управление идентификацией и многое другое на одной платформе, чтобы предложить защитное покрытие в организации с полным спектром. По сути, концепция XDR сильна, но она требует, чтобы каждый отдельный компонент хорошо работал вместе, что вызывает плохую оптимизацию и неэффективные рабочие процессы, если инструменты не являются дополнительными.
Реальность реализации XDR сильно варьируется. В некоторых случаях решения XDR в основном основаны на экосистеме одного поставщика, которая ограничивает их охват в неоднородные среды, в то время как другие предполагают внешним третьим лицом в качестве администрации. Ключом к успешной стратегии XDR является сильная видимость сети, которую нельзя выращивать или избежать другими инструментами в экосистеме безопасности.
Кроме того, компоненты NDR, EDR и SIEM должны быть легко интегрированы, поскольку эти инструменты хорошо работают вместе, чтобы показать всю ширину потенциальной угрозы или атаки с момента обнаружения до сокращения.
Помимо признания: разработка оркестровки адаптивной безопасности
В то время как парадигма EDR/NDR/XDR доминировала в дискуссиях по безопасности, в настоящее время свободные организации исследуют, что выходит за рамки традиционного признания и реакции. Следующая разработка — это не только быстрее видеть угрозы, но и структуру систем безопасности, которые изучают, адаптируются и преобразуют профилактику.
Традиционные инструменты безопасности определяют основные линии и предупреждающие отклонения. Но что, если эти основные линии могли бы развиваться непрерывно и не только исторические модели, но и прогнозирующие модели, могут включать в себя то, как изменятся законные бизнес -процессы?
Например, расширенные реализации NDR начинают использовать пружинные подходы к обучению, в которых модели поведения сети улучшаются во всех условиях клиентов и сохраняются одновременно Конфиденциальность. Это создает коллективный интеллект, который предвидит угрозы, прежде чем проявить себя в одной организации.
Фактические инновации заключаются не в том, чтобы совершенствовать индивидуальные уровни безопасности, а сформировать самостоятельную, адаптивную сеть в создании так называемой «архитектуры сети безопасности», где агенты EDR, сетевые датчики и инструменты облачной безопасности. Когда агент EDR остается в автономном режиме, близлежащие сетевые датчики автоматически увеличивают мониторинг гранулярности для типичных схем трафика этой конечной точки.
Если NDR распознает аномальное боковое движение, оно может немедленно представить временные правила для сегментарных веществ микроза, в то время как активные ингредиенты EDR перемещают конечные точки в повышенные режимы наблюдения и сходили два инструмента для взаимного использования.
Вместо того, чтобы ждать возникновения угроз, стек безопасности следующего поколения начинает постоянно имитировать сценарии атаки в цифровых двойных средах. Выполняя тысячи моделирования атаки против виртуальных копий своей инфраструктуры, компании могут выявлять уязвимости и пробелы в ответ, прежде чем мы сделаем реальных противников. Это меняет парадигму безопасности от реактивного обнаружения к активной охоте на угрозы.
Вопрос не в том, предлагают ли инструменты EDR, NDR или XDR беспрецедентную видимость сегодняшних угроз — это могут ли они ожидать угроз и адаптироваться к не существующим угрозам.
Мы перечисляем лучшее программное обеспечение для управления ИТ -АссоромПолем
Эта статья была произведена в рамках канала Expert Insights Techradarpro, в котором мы сегодня предлагаем лучшие и умные руководители в технологической индустрии. Взгляды, выраженные здесь, относятся к авторскому и не обязательно мнениям Techradarpro или Future PLC. Если вы заинтересованы в том, чтобы определить больше здесь:
