XDR扩展威胁检测与响应平台能解决什么问题?
Gartner最近正式宣布了2022年安全操作技术成熟度周期。正如所有人预测的那样,XDR最终达到了预期的影响峰值,并成为安全操作系统中最受欢迎的技术之一。
那么,企业安全运营过程中存在哪些困惑,XDR可以解决哪些问题?
1、安全操作不规范,单一操作/数据岛
尽管它有SIEM/SOC等日志数据分析平台或IDS、IPS、WAF、防火墙和EDR等单一安全设备,但前者无法理解来自下游检测设备的警报,导致数据过多、不准确和大量安全错误;后者对数据的访问有限,导致不同设备上的数据无法紧密集成,从而产生无形的实际风险和不可预测的威胁。
2、警告疲劳,误报多
安全人员每天都会收到来自各种安全设备的数以万计的威胁警报。令人不安的是,其中大多数(超过90%)并不是真正的威胁。因此,安全人员要么在身体上处理虚假警报,要么在心理上接收虚假警报,这可能会导致异常高的压力。
3、全局态势不可见
该公司购买了一批安全设备并生成了相应的警报,但总体安全风险状况并不一致。在公司的安全设计中,安全管理人员了解需要注意的领域和漏洞是很重要的。
4、响应处置能力弱
网络安全事件发生后,无法有效追踪源头并快速处理,尤其是多台设备的联合处理。其中大部分仍处于人工处理阶段,效率相对较低,处理过早。
XDR扩展威胁检测与响应平台的作用
XDR通过集成的交互框架、集成的数据标准和集成的数据存储方法,执行安全数据收集、集中的安全威胁分析、安全事件的集成处理和响应协调。
XDR的核心任务是捕获不同的数据源和IT架构,并集中来自云、网络、终端和威胁信息等多个来源的安全数据/工具。通过用户行为分析等智能分析方法,可以对安全数据/事件进行相关性分析,恢复攻击路径,实现整个攻击面的全面可见性,解决安全孤岛问题。通过调度和触发自动响应,根据动态更新的事件库和预设的处理场景自动生成警告。
为了解决安全运营过程中的数据孤岛、警报疲劳、全球局势不可见性以及响应和处理能力薄弱等问题,更重要的是将公司的安全运营水平与标准化产品联系起来,而不是依赖不稳定的个人技术水平。
