XDR 探索之旅 – 第 1 章 | 超越端點的保護

為什麼企業需要將保護擴展到端點之外，以保持領先於網路攻擊者?

在網路安全行業，樂於尋找新漏洞的網路攻擊者與想方設法阻止它們的防禦者之間存在著一場永無止境的貓捉老鼠遊戲。一旦防禦者找到阻止一種網路攻擊的方法，攻擊者就會再度發起另一種新型攻擊。因此，網路安全是一場永無止境的貓捉老鼠遊戲，而防禦者總是在追趕。新產品和解決方案不斷湧現以應對不斷增加的威脅，現有產品則適應或與其他解決方案合併。目標是比攻擊者領先一步，但這是一場持續不斷的戰鬥，如果沒有有效的網路安全策略，就不可能獲得最終勝利。

XDR 的優勢
端點檢測和響應(EDR) 已迅速成為端點保護 (EPP) 不可或缺的一部分，但隨著攻擊者變得越來越複雜，檢測和響應需要超越端點；擴展檢測和響應(XDR) 提供三個關鍵功能。

1. 將來自多個安全工具的警報合併到一個事件中，以提高資安團隊的效率和效力。減少可視化差距以及調查和分類事件所花費的時間意味著能更快地控制事件。
2. 關聯來自多個安全源的“弱”信號（低優先級警報）以創建新的檢測，當這些信號處於孤島或單獨查看時可能無法識別這些檢測。
3. 自動響應跨多個產品所檢測到的威脅。

例如，用戶嘗試登錄一台機器但失敗可能意味著他們忘記了密碼。但是，如果多個用戶嘗試失敗，則可能是攻擊者。如果用戶隨後成功登錄並開始運行管理工具來下載文件或更改配置，那麼這就更強烈地表明網路中有攻擊者。

這些多重事件和隨後的檢測應作為需要調查的單一事件呈現。響應也需要是自動的，可以是隔離受影響的機器並強制用戶重新進行身份驗證。

超越 SIEM 和 SOAR

多年來，安全運營中心 (SOC) 的主要工具是安全資訊事件管理(SIEM)，但這些工具通常更側重於日誌收集而非關聯，並依賴SOC 團隊的專業知識來管理和處理大量日誌數據和告警。任何響應通常都需要通過單獨的安全編排、自動化和響應 (SOAR) 工具來處理。

這些工具需要專門的、高技能的團隊來篩選大量訊息以嘗試識別事件。通常情況下，SIEM 和 SOAR 在事件發生後用於理解和補救發生的事情，而不是檢測和響應能力。

EDR 解決了管理以端點為中心的威脅所產生的大量開銷；在雲端中央基礎設施中收集事件和數據，使資安團隊能夠在整個組織中尋找威脅，使他們能夠顯著減少檢測威脅的時間。SentinelOne 的自動化和補救意味著通常可以輕鬆地快速識別和解決威脅，從而讓資安團隊有更多時間進行這些調查。

對於託管服務供應商或 SentinelOne 自己的Vigilance服務，這種可視化適用於所有使用該服務的客戶。  Storyline™不僅為資安團隊提供自動關聯，而且還能夠快速輕鬆地添加組織特定的新規則。

保護整體企業，而不僅僅是設備

如今，威脅行為者不僅僅針對單個設備；他們的目標是整個組織。第一台受到威脅的機器只是起點。從最初的端點入口開始，攻擊者可以進行進一步的監視並在網路中移動，以在竊取行動之前識別有價值的數據。儘管 EDR 工具非常有效，但攻擊者只需要一個薄弱環節即可入侵。

確保在每台機器上部署端點保護和 EDR 是 IT 運營團隊面臨的最大挑戰之一。SentinelOne Ranger提供了對網路的可視化，以查找任何未管理或未經授權的設備。

XDR 不僅僅是端點，還提供跨各種安全工具的事件和告警的整合和關聯，以提高可視性、縮短進一步檢測的時間，然後快速響應。IBM 數據洩露報告估計，部署 XDR 可以將檢測時間縮短一個月。

大家所說的“XDR”是什麼意思？

雖然對 XDR 的需求很明確，但並未就該術語的含義或 XDR 解決方案的交付方式達成共識。“XDR”一詞可能是當今網路安全中使用最頻繁的術語之一。

XDR 是 EDR 的自然發展，從端點轉移到其餘的安全基礎設施，包括數位身份和雲端安全。隨著威脅的發展，XDR 平台需要能夠成長和適應。

關於如何交付 XDR 有多種解釋。

1. 單一供應商 XDR (Single Vendor XDR) –— 所有資安工具均由單一供應商提供。與其他工具的整合有限，通常僅限於獲取日誌和告警。選擇單一供應商 XDR 解決方案是一種複雜、有風險且成本高昂的方法。遷移資安工具需要時間，也不能保證來自單一供應商的解決方案能滿足組織的需求。
2. SIEM XDR—— 一些 SIEM 供應商將傳統的 SIEM 功能與 SOAR 相結合並聲稱 XDR，但這些解決方案沒有自動威脅檢測功能。
3. 託管 XDR (Managed XDR) —— 託管服務供應商可以通過將多種工具整合到他們的服務中來提供 XDR 的功能。儘管可以交付該成效的成果，但該服務依賴於 MSP SOC 團隊和功能。
4. 開放式 XDR 平台 (Open XDR Platform) —— 提供一個平台，可以整合來自不同供應商的多種產品並關聯這些事件。為了有效，整合需要是雙向的，從產品接收告警，但也能夠自動發送響應操作。開放式 XDR 平台的主要優勢之一是，無需替換現有解決方案，而是可以將它們整合到平台中，從而更快地實現 XDR 的優勢。

SentinelOne 構建了一個開放的 XDR 平台，提供靈活且可擴展的解決方案。Singularity™ XDR與廣泛的 SentinelOne 產品和服務以及領先的第三方安全供應商（例如用於電子郵件安全的 Mimecast）整合。它包括自動化、AI 和 ML 功能，可快速獲得 XDR 的優勢，並提供可擴展的可擴展平台。

XDR 不一定只是選擇解決方案，而是選擇戰略和戰略合作夥伴。SentinelOne 提供了該願景和戰略，以幫助企業兌現 XDR 的承諾並保護整個組織。

資料來源：SentinelOne Blog