近年網絡威脅來勢洶洶,因此各大網絡保安方案佈應商都建議稍具規模的機構選擇XDR (Extended Detection and Response)方案,然而很多人並不完全瞭解甚麼是XDR以及它的功用,就此本文將會解答一些XDR相關的基本問題,讓你瞭解機構如何受惠於部署XDR方案。
傳統保護方案有甚麼不足?
傳統方案就是endpoint,server和workstation,首先保護他們免受網絡威脅,然後這將成為對抗複雜網絡攻擊的基本步驟,機構也會使用用基本的網絡保護或安裝進階保護工具去堵塞一種潛在的攻擊媒介,但現代的網絡罪犯不斷增加採用多媒介的手法進行攻擊,當使用複數進入點到基礎設施、通過網絡橫向移動、不同的攻擊策略和技術,以及社交工程等等,這些因此都增加了受攻擊面積並提升調查和反應的難度。要與這種網絡攻擊作戰,機構需要一種具備綜合防禦方法的新工具。
甚麼是XDR?
XDR – Extended Detection and Response,當中的Extended意思是威脅的偵測和修復並不只限於endpoint層面(PC、手提電腦和伺服器),顧名思義,Endpoint Detection and Response (EDR)方案是負責偵測和對應在Endpoint層面上的威脅,也是XDR技術的核心元素,輔助來自相同供應商的不同資料安全工具,在此之上,這些功具彼此緊密地綜合在一起,透過增加額外的資料去強化對抗複雜網絡威脅的過程。
XDR包括了甚麼?
連接XDR方案的工具的種類和數量,取決於供應商如何綜合不同工具,例如:產品設計為保護電郵、網絡、雲端基建、身份等等,XDR也可以綜合threat intelligence工具,例如data feed以及threat intelligence platform,還有具備搜尋能力的portal去查看網絡威脅的詳細資料及連帶關係,為IT保安專家帶來額外的「畫面」,對調查網絡事故十分重要。
部署XDR意味以前的保安付出白費?
否,市面上有原生和混合兩種XDR方案,對於「由零開始」或從單人供應商持續升級產品的話,原生是好的選擇︳混合方案容許綜合從不同第三方供應商的資訊安全方案,所以無論是哪一種,以前付出的努力都不會白費。
XDR對機構的價值
全球資安專才短缺,XDR為急速進化的網絡威脅環境提供整體的保護,其次是簡化有價值的工作,該珍貴的IT保安專家能夠集中處理在事故工作之上,再來就是把偵測和甶應時間減至最少,這對於對抗複雜威脅和針對性攻擊最為重要,IT專家的快速行動減少攻擊者成功的機會,降低機構在金錢或聲譽上的傷害,以下是簡單幾個XDR優點:
- 增加自動化
- 使用單一平台
- 單人數據匯聚環境
- IT保安工具緊密互動成為XDR的一部份並加以綜合
- 基建中發生的事情有更連貫的「畫面」
- 內置豐富可靠的相關威脅情報數據
- 事故的優先排序
- 減少誤鳴警告
資料來源:Kaspersky Blog