Một tổ chức có thể khá choáng ngợp và bối rối khi chọn giải pháp XDR phù hợp với môi trường của họ khi có vô số nhà cung cấp đưa ra yêu cầu về giải pháp XDR của họ. Có vẻ như XDR hiện là từ thông dụng về an ninh mạng mới mà mọi nhà cung cấp ngoài kia đều muốn có một phần kinh doanh. Do đó, việc chọn giải pháp XDR phù hợp cho môi trường cụ thể của họ trở nên khó khăn đối với nhóm SecOps. Các tổ chức cần xem xét ít nhất các câu hỏi sau khi xem xét nhà cung cấp XDR phù hợp cho môi trường của họ:
- Các quy trình của tổ chức sẽ như thế nào và playbook/quy trình công việc sẽ như thế nào sau khi giải pháp XDR được triển khai để nhóm SecOps có thể tập trung vào các sự cố thực tế?
- Giải pháp XDR sẽ hỗ trợ nhóm SecOps như thế nào trong việc phát hiện, phản hồi và khắc phục trên các kênh tấn công khác nhau như Dữ liệu, Mạng, Email, Đám mây và Điểm cuối?
- Giải pháp XDR sẽ mang nhóm Bảo mật, Ứng phó Sự cố và Vận hành lại với nhau như thế nào để họ có thể cộng tác làm việc cùng nhau như MỘT NHÓM trong một sự cố Mạng?
Dựa trên kinh nghiệm của chúng tôi với các tổ chức khác nhau thuộc các ngành dọc khác nhau, các tổ chức đang tìm kiếm giải pháp XDR cần xem xét một số trụ cột bảo mật chính khi chọn giải pháp XDR phù hợp cho môi trường của họ.
Trong blog này, tôi sẽ bắt đầu với hai trụ cột bảo mật chính sau: Khả năng hiển thị và Mối đe dọa của Intel.
Khả năng hiển thị là chìa khóa! Nó tương tự như việc có một ngôi nhà được lắp đặt hệ thống kiểm soát an ninh camera quan sát nhưng sau đó có một vài nơi xung quanh ngôi nhà không có camera quan sát. Trong kịch bản này, việc phát hiện xâm nhập toàn diện sẽ diễn ra như thế nào? Một giải pháp XDR thực sự sẽ cho phép tổ chức cung cấp khả năng hiển thị trên nhiều điểm phát hiện tiềm năng khác nhau: Mạng, Email, Điểm cuối, Đám mây, Dữ liệu, Hành vi người dùng. Điều này rất quan trọng vì KHÔNG CÓ HÌNH ẢNH = KHÔNG PHÁT HIỆN.
Khả năng hiển thị cũng liên quan đến khả năng hiển thị dữ liệu trên các bộ phận khác nhau của tổ chức. Từ quan điểm bảo vệ dữ liệu, một tổ chức cần có kiến trúc XDR cung cấp khả năng hiển thị trên dữ liệu quan trọng được lưu trữ trên các điểm cuối khác nhau (Dữ liệu ở trạng thái nghỉ), dữ liệu hiện đang truyền qua mạng (Dữ liệu đang chuyển động) và dữ liệu hiện đang được sử dụng bởi các điểm cuối/người dùng (Dữ liệu đang sử dụng). Các tổ chức cần có khả năng hiển thị đầy đủ dữ liệu này để có thể áp dụng các biện pháp kiểm soát bảo mật có liên quan nhằm bảo vệ dữ liệu này không bị rơi vào tay kẻ xấu. Khi tổ chức có khả năng hiển thị dữ liệu này, họ có thể phát hiện ra khả năng rò rỉ dữ liệu có thể xảy ra trong Sự cố mạng hoặc trong khi điều tra bất kỳ hành vi vi phạm nào.
Khả năng hiển thị cũng liên quan đến phạm vi bảo mật của tài sản. Do môi trường làm việc Kết hợp hiện tại, các Tổ chức hiện có các tài sản quan trọng của họ nằm trên các hệ điều hành khác nhau cũng như các yếu tố hình thức (phần cứng, ảo, đám mây). Một giải pháp XDR thực sự phải có sẵn các quy trình/sách hướng dẫn/công cụ được xác định rõ ràng để cung cấp khả năng hiển thị của nhóm SecOps trên tất cả các loại nội dung và đảm bảo khả năng hiển thị này không bị suy giảm theo thời gian với những thay đổi trong môi trường. Khả năng hiển thị này trên các kênh tấn công khác nhau giúp phát hiện chính xác và sớm các cuộc tấn công trước để nhóm SecOps sau đó có thể phản hồi và khắc phục các cuộc tấn công này kịp thời nhằm ngăn chặn thiệt hại thêm.
Vì vậy, đây là tất cả về khả năng hiển thị, một trong những trụ cột bảo mật quan trọng nên được tổ chức sử dụng khi xem xét giải pháp XDR.
Trụ cột bảo mật tiếp theo mà tôi muốn trình bày là Mối đe dọa Intel. Trong môi trường về mối đe dọa hiện tại, các tổ chức dựa vào thông tin tình báo chính xác về mối đe dọa để xác định và hiểu các mối đe dọa nhắm mục tiêu vào ngành của họ. Điều này cho phép tổ chức điều chỉnh và tập trung vào các quy trình phát hiện và phản hồi cũng như các biện pháp kiểm soát bảo mật để kịp thời phát hiện và ứng phó với các mối đe dọa được nhắm mục tiêu.
Các tổ chức thường thu được thông tin về mối đe dọa từ các hoạt động và kênh sau:
- Điều tra của nhà phân tích bảo mật – Các chỉ báo mối đe dọa mới có thể được phát hiện khi nhà phân tích bảo mật xem xét dữ liệu được thu thập từ một điểm cuối bị xâm nhập. Các dấu hiệu thỏa hiệp (IOC) có thể được phát hiện bao gồm các tệp, quy trình hoặc URL độc hại. Trong khi tiến hành phân tích tĩnh và động trên các tệp độc hại, nhà phân tích bảo mật có thể xác định các đặc điểm bổ sung có thể được sử dụng để tạo IOC
- Nguồn cấp dữ liệu Intel về Mối đe dọa Thương mại – Nhiều tổ chức mua nguồn cấp dữ liệu tình báo về mối đe dọa đã được xác minh, một số trong số đó có thể có trọng tâm cụ thể như các tác nhân quốc gia, các mối đe dọa web sâu và web tối hoặc các mối đe dọa dành riêng cho ngành.
- Nguồn cấp dữ liệu Intel về mối đe dọa nguồn mở – Các tổ chức cũng thường dựa vào nguồn cấp dữ liệu từ các nguồn thông tin về mối đe dọa nguồn mở, bao gồm thông tin miễn phí từ blog của nhà cung cấp và danh sách từ chối hoặc cho phép có sẵn công khai từ các nhà nghiên cứu bảo mật.
- Nhóm chia sẻ mối đe dọa – Ngoài ra còn có nhiều nhóm chia sẻ mối đe dọa khác nhau, chẳng hạn như nhóm ISAC (Trung tâm phân tích và chia sẻ thông tin) chia sẻ dữ liệu chuỗi liên quan đến ngành với các thành viên đã được kiểm duyệt.
Nhóm SecOps thường đặt câu hỏi này “Bây giờ tôi có Threat Intel từ nhiều nguồn, tôi nên làm gì tiếp theo? Các phương pháp điển hình mà các tổ chức sử dụng để chia sẻ thông tin về mối đe dọa giữa các biện pháp kiểm soát bảo mật khác nhau thường bao gồm các quy trình thủ công tốn nhiều thời gian và công sức. Các nhà phân tích bảo mật dành nhiều thời gian để phân tích và duy trì IOC theo cách thủ công trong bảng tính Excel hoặc trong nền tảng thông tin tình báo về mối đe dọa như MISP và chia sẻ các IOC này với các nhóm khác nhau trong tổ chức của họ thông qua email, tin nhắn trò chuyện hoặc các phương pháp thủ công và dễ xảy ra lỗi khác.
Chia sẻ thông tin tình báo về mối đe dọa một cách nhanh chóng với các biện pháp kiểm soát bảo mật khác nhau là rất quan trọng để đảm bảo rằng tổ chức có thể phát hiện và ứng phó với các mối đe dọa ngay lập tức khi chúng được phát hiện. Điều này cũng đảm bảo rằng các biện pháp kiểm soát Bảo mật được tích hợp và hoạt động cùng nhau để cung cấp khả năng bảo vệ nhiều lớp, hiệu quả cho tổ chức.
Do đó, khi các tổ chức đang xem xét một giải pháp XDR, họ nên tìm kiếm các quy trình và sách hướng dẫn tích hợp sẵn được xác định rõ ràng để nhập, tận dụng và chia sẻ thông tin tình báo về mối đe dọa trên các giải pháp bảo mật cho điểm cuối, dữ liệu, email, đám mây, mạng. Một giải pháp XDR cũng sẽ cho phép nhóm SecOps có các công cụ mà họ cần để tạo Threat Intel như một phần của các hoạt động vận hành hàng ngày và có thể chia sẻ Threat Intel này trên tất cả các kênh tấn công. Sử dụng Mối đe dọa này của Intel, trong một sự cố an ninh mạng (ví dụ), giải pháp bảo vệ dữ liệu sẽ biết ngay rằng có một hoạt động xâm nhập đang diễn ra và hành động phản hồi cần được bắt đầu. Khi sử dụng giải pháp XDR, các nhóm SecOps sẽ có thể tự động tạo và vận hành Threat Intel mà không cần các quy trình thủ công và tốn thời gian.
Do đó, Mối đe dọa Intel sẽ là trụ cột bảo mật quan trọng thứ hai được xem xét bởi Tổ chức đang tìm kiếm giải pháp XDR.
Hãy theo dõi blog tiếp theo, nơi tôi sẽ đề cập đến trụ cột bảo mật quan trọng tiếp theo để đánh giá giải pháp XDR, đó là Phát hiện và Phản hồi!
Tìm hiểu thêm về giải pháp XDR của Trellix tại đây.