Tốc độ mà các phần tử độc hại đã cải thiện các chiến thuật tấn công của họ và tiếp tục xâm nhập vào các hệ thống bảo mật đã làm cho xu hướng chính trong an ninh mạng trở nên lớn hơn.
Đối mặt với bối cảnh mối đe dọa đang phát triển, các tổ chức đã phản ứng bằng cách xây dựng các ngăn xếp bảo mật lớn hơn, thêm nhiều công cụ và nền tảng hơn, đồng thời làm cho khả năng phòng thủ của họ phức tạp hơn — một eBook mới từ Cynet của nhà cung cấp XDR (đọc nó ở đây).
Các tổ chức thấy mình đang ở trong một cuộc chạy đua vũ trang ảo với các tác nhân độc hại. Những kẻ tấn công tìm ra những cách mới, lén lút hơn để xâm nhập hệ thống phòng thủ của tổ chức và tổ chức xây dựng những bức tường cao hơn, mua thêm công nghệ để bảo vệ mình và mở rộng các ngăn xếp bảo mật của họ.
Tiền là thành phần quan trọng của sự thành công về bảo mật – một thực tế khó khăn đối với các tổ chức gọn gàng hơn có thể không có ngân sách dường như vô tận như các tập đoàn và doanh nghiệp lớn hơn.
Câu hỏi về những gì các đội bảo mật gọn gàng hơn có thể làm với nó trước đây là “không nhiều”, nhưng ngày nay, điều đó hầu như không xảy ra. Mặc dù ngành công nghiệp an ninh mạng bao gồm hàng trăm công cụ, nền tảng và dịch vụ mà các tổ chức có thể sử dụng để tự vệ, các công ty gọn gàng ngày càng phát hiện ra rằng việc có tất cả những tiếng chuông và còi không phải lúc nào cũng là điều cần thiết.
Tuy nhiên, việc tìm kiếm công cụ phù hợp để thay thế tất cả các công nghệ đó đòi hỏi một số suy nghĩ trước. Hơn nữa, nó đòi hỏi một số hiểu biết về những gì đi vào ngăn xếp bảo mật của một công ty lớn.
Có gì trong Ngăn xếp Bảo mật của Công ty Lớn?
Các ngăn xếp bảo mật hiện đại có nhiều bộ phận chuyển động và yêu cầu các công cụ chuyên biệt để quản lý các nền tảng và tổ chức dịch vụ khác nhau được cài đặt. Điều này thường yêu cầu một nhóm hoặc thành viên trong nhóm chuyên trách để quản lý và đảm bảo rằng mọi thứ đang hoạt động trơn tru.
Quan trọng hơn, hầu hết các tổ chức ngày nay đều tuân theo nguyên tắc bảo vệ phân lớp – không có công cụ nào hiệu quả 100%, vì vậy dự phòng là rất quan trọng khi một công cụ gặp sự cố.
Thực tế mà nói, điều này có nghĩa là hầu hết các tổ chức sẽ có nhiều (nếu không phải tất cả) các công cụ sau được cài đặt:
- Phần mềm chống vi-rút thế hệ tiếp theo (NGAV)
- Bảo vệ điểm cuối (EPP)
- Phát hiện và phản hồi điểm cuối (EDR)
- Phân tích hành vi người dùng và tổ chức (UEBA)
- Phân tích lưu lượng mạng (NTA)
- Bảo vệ email
- Công nghệ lừa đảo
- Nhà môi giới bảo mật truy cập đám mây (CASB)
Điều này cũng có nghĩa là đối với hầu hết các tổ chức, khối lượng dữ liệu, cảnh báo và tín hiệu được tạo ra hàng ngày là mối quan tâm lớn. Sau đó, câu hỏi tiếp theo là làm cách nào để các tổ chức quản lý hàng núi cảnh báo này từ các nguồn khác nhau?
Câu trả lời thường là sử dụng nền tảng quản lý sự kiện và thông tin bảo mật (SIEM), nền tảng này có thể tập trung và hài hòa các cảnh báo và tín hiệu khác nhau mà hầu hết các công cụ an ninh mạng tạo ra vào một vị trí duy nhất.
Tuy nhiên, đây là một công cụ tổ chức hơn là một cách để giảm số lượng cảnh báo. Hơn nữa, nó cũng làm tăng thêm tài nguyên và chi phí tài chính của một ngăn xếp bảo mật và nó vẫn đòi hỏi sự can thiệp thủ công liên tục.
Tự động hóa, nhưng với chi phí nào?
Để giải quyết vấn đề này, các tổ chức chuyển sang các công cụ điều phối bảo mật, tự động hóa và phản hồi (SOAR). Nền tảng SOAR có thể tự động hóa các phần quan trọng của quy trình ứng phó sự cố, bao gồm cả việc khắc phục và một số cuộc điều tra.
Tuy nhiên, chúng đắt tiền, vẫn yêu cầu quản lý thủ công và không phải lúc nào cũng là một lựa chọn khả thi.
XDR có thể trợ giúp như thế nào
Đối với các tổ chức tinh gọn, việc xây dựng một ngăn xếp bảo mật lớn, nhiều lớp và phức tạp có thể tạo ra nhiều công việc hơn là loại bỏ. Quản lý, giáo dục, bảo trì thường xuyên và cập nhật có thể chiếm nhiều thời gian quý báu của nhóm bảo mật.
Câu trả lời thực sự không phải là lớn hơn, mà là linh hoạt hơn – và đó là nơi phát hiện và phản hồi mở rộng (XDR) xuất hiện.
Thay vì nhiều lớp và màn hình, các tổ chức có thể tập trung vào một khung cửa kính duy nhất và giảm nỗ lực bảo trì, quản lý và cập nhật của họ.
XDR thường đạt được điều này với ba tính năng chính:
- Phòng ngừa và phát hiện: Một trong những lợi thế lớn nhất mà XDR mang lại là nó thực sự có thể giảm và quản lý khối lượng cảnh báo mà một tổ chức phải sàng lọc. XDR bao gồm nhiều (và trong một số trường hợp là tất cả) các công cụ này nguyên bản. Điều này có lợi theo hai cách. Đầu tiên, nó có nghĩa là tất cả các tín hiệu và dữ liệu đã được chuẩn hóa và đã được tích hợp. Điều này giúp việc xử lý chúng dễ dàng hơn, tạo ra một phương pháp phân loại và điều tra đáng tin cậy hơn, đồng thời giữ chúng trong tầm kiểm soát. Thứ hai, nó có thể giảm số lần dương tính giả và cung cấp phản hồi nhanh hơn nhiều vì công cụ thực hiện phát hiện là công cụ phản ứng với một mối đe dọa tiềm ẩn.
- Phản hồi tự động: Một điểm khác biệt chính khác đối với XDR là chúng có thể tự động hóa một phần lớn các nỗ lực an ninh mạng của một tổ chức. Bằng cách bao gồm phát hiện, bảo vệ điểm cuối và phân tích mạng, XDR có thể phản hồi nhanh hơn các ngăn xếp không tập trung và có thể nhận được phản hồi phù hợp thường xuyên hơn. Họ cũng cung cấp một loạt các phản hồi và công cụ khắc phục hậu quả rộng hơn.
- Phát hiện và phản hồi được quản lý (MDR): Cuối cùng, hầu hết các XDR sẽ cung cấp dịch vụ MDR để hỗ trợ các tổ chức xử lý nhiều tác vụ không thể tự động hóa. Mặc dù nhiều nhà cung cấp sẽ tính phí cho dịch vụ này, nhưng chỉ cần đưa nó vào dịch vụ XDR có nghĩa là các nhóm có thể ưu tiên các nguồn lực hạn chế của họ vào lĩnh vực ảnh hưởng nhiều nhất. MDR cũng có thể giúp thu hẹp khoảng cách cả về tài nguyên và kiến thức, giúp đưa ra một biện pháp bảo vệ toàn diện và mạnh mẽ hơn.
Bạn có thể đọc thêm về cách XDR có thể giúp các tổ chức có được bảo mật tốt hơn với ngân sách ở đây.
