XDR正在成为威胁检测的演进方向

安全 应用安全
Gartner分析师Mark Harris日前表示,网络攻击者已经将攻击重点转移到实现其目标上——从专注于感染文件到感染系统,再到感染整个企业。

Gartner分析师Mark Harris日前表示,网络攻击者已经将攻击重点转移到实现其目标上——从专注于感染文件到感染系统,再到感染整个企业。作为网络安全防御者,及企业安全专业人士,需相应地改进检测方法,从跟踪文件和哈希值并依靠签名来阻止早期威胁,转向跟踪其他指标以防止更复杂的攻击。

现在,攻击者正在渗透企业组织并横向移动以完成其任务。无论是通过暗中侦察发动攻击,还是锁定端点和服务器以索取赎金,亦或是将一个企业作为进入另一个企业的入口点展开攻击,无不显示出网络攻击者的这一趋势特点。因此,我们必须持续改进检测方法,并意识到其不再只是找到触发攻击的一个控制点或系统,而是涉及整个企业的多个点。企业安全团队需要能够将这些点联系起来,检测来自不同系统和来源的信息,将数据和操作整合到一个视图中,这样就可以较全面地了解企业组织面临的威胁并知道如何防御。

作为在企业全局启用检测和响应的一种新模式,扩展检测和响应(XDR)已经引起了企业安全团队的极大兴趣。XDR的扩展检测目标是将来自内部和外部的不同来源数据结合起来,并将来自各个系统的原子事件连接到单个事件中。正如咨询公司Frost & Sullivan指出的那样,“由于企业组织通常遵循同类最佳的原则,因此集成对于实现XDR愿景来说确实必不可少。” 企业组织的所有系统和来源必须能够协同工作,从正确的工具中提取正确的数据来验证检测,并最终做出有效响应。

这听起来很简单,但实际上是企业组织安全检测能力的巨大转变。就其本身而言,来自企业组织所有内部数据源的事件,包括企业SIEM系统、日志管理存储库、案例管理系统和安全基础设施、内部和云端系统等表面看似乎都是独立的。但是,如果企业安全团队可以汇总这些数据,并使用多个来源(商业、开源、政府、行业和现有安全供应商)的威胁数据自动对其进行扩充和丰富,就会看到完全不同的图景。

当所有这些数据相互关联并显示在一个屏幕上,并将不同系统看似孤立的事件聚集在一起,共同完成攻击事件拼图时,安全团队就可以识别整个企业的关系并检测恶意活动。这种企业全局范围内的检测活动,自然会推动企业安全团队深入了解并触发进一步调查。因此,我们对检测的现代定义,还必须包括在该共享视图中将相关数据与内部资源(例如受影响用户身份)关联起来的能力。例如,如果网络犯罪分子的攻击目标包括财务部门、人力资源或最高管理层,这可能表明企业组织存在更严重的威胁。

一些外部工具,例如MITRE ATT&CK等框架以及用于DNS查找、URL和恶意软件分析的第三方工具,会显示事件中的数据点是否具有共同指标。利用这些工具,安全团队可以了解企业组织是否面临更大规模的攻击活动,以及需要寻找哪些指标、策略和技术。通过内外部数据聚合、相关性调查等,不断更新对检测的定义,以涵盖更广度和更深入的理解,为企业安全团队提供所需信息,以便其更快地执行安全措施,就是我们持续改进检测方法的意义所在,这反过来又会影响我们对响应的定义。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-07-13 17:44:54

威胁建模安全建设网络安全

2010-11-30 14:46:33

网络虚拟化

2021-03-29 16:47:13

OneEDR微步在线威胁检测

2021-04-01 14:35:08

XDR微步在线

2021-02-05 14:57:45

扩展检测和响应

2021-12-08 09:38:40

XDR技术

2022-02-20 09:46:17

僵尸网络加密货币网络安全

2017-03-08 11:10:30

存储网络闪存

2017-05-19 15:00:29

多天线技术LTE5G

2023-04-12 23:55:49

2018-05-09 14:10:20

SDN移动网络

2021-05-07 06:22:51

XDR端点安全安全运营

2021-04-25 09:23:43

XDRMDR网络安全

2013-07-27 20:53:52

2022-11-25 09:00:00

云计算云原生容器

2021-09-29 11:50:25

Telegram网络罪犯数据泄露

2010-08-18 15:07:35

2022-06-04 14:50:00

元宇宙实体产业互联网

2021-11-08 16:18:20

网络犯罪Deepfakes网络攻击
点赞
收藏

51CTO技术栈公众号