En 2018, Gartner propuso el concepto de XDR (Extended Detection And Response: Extended Threat Detection and Response). Como tecnología emergente de detección y respuesta a amenazas, XDR combina tecnología de centro de datos, tecnología de orquestación automatizada y tecnología de análisis de seguridad para formar una solución de seguridad integral para escenarios de seguridad conocidos y desconocidos. Entre ellos, "X" representa la expansión continua de las capacidades de seguridad.
En 2022, en la curva de madurez de la tecnología de operaciones de seguridad (Hype Cycle) publicada por Gartner, XDR se ubicará en la cima del pico de expectativas infladas y se convertirá en una de las tecnologías más populares en el sistema de operaciones de seguridad. Después de que Gartner propusiera el concepto XDR, algunos proveedores de seguridad nacionales comenzaron a desarrollar productos correspondientes. Sin embargo, debido a que cada proveedor de seguridad tiene una comprensión diferente del concepto XDR, los productos también son bastante diferentes y esta diferencia ha traído grandes problemas a los usuarios.
“Para los nuevos conceptos de seguridad, las percepciones de los usuarios no son tan sensibles como las de los proveedores de seguridad, y su enfoque se centrará en cómo resolver las necesidades reales que enfrentan. Los conceptos de seguridad surgen sin cesar, pero los puntos débiles de los usuarios no han cambiado mucho. ¿Simplemente entienden? Es EDR, NDR y XDR se ha lanzado sin parar. Algunos usuarios incluso bromearon, ¿qué es XDR? X es como un pozo sin fondo que requiere una inversión continua ". Desde una perspectiva técnica, XDR no es nuevo. En una situación de seguridad más compleja, los usuarios se centran más en el ataque y la defensa reales y están orientados a los resultados. XDR puede organizar y combinar orgánicamente las tecnologías y los medios de seguridad originales, y resolver los problemas de detección y respuesta de manera más efectiva a través de actualizaciones y actualizaciones del sistema. problema Estrictamente hablando, XDR no es una tecnología o producto de seguridad innovador, sino una solución de operación de seguridad más efectiva para amenazas avanzadas. "Según la definición de Gartner, XDR se denomina una tecnología de respuesta y detección de amenazas extensible. Todavía apunta a las amenazas y resuelve las deficiencias en las tecnologías actuales de detección y respuesta. Mucho antes de que se propusiera XDR, el país ya había enfatizado el concepto de protección de "nube, pipe and edge” se suma a esta base, se agrega la dimensión de “humano”, que ya va en línea con la idea de XDR de expandirse en varias dimensiones”.
: XDR es una solución de operación de seguridad de nueva generación. Adopta una combinación de plataforma + componentes + servicios. Al recopilar, procesar y analizar datos en terminales y redes, puede integrar automáticamente fragmentos de ataque generados en diferentes momentos en eventos de ataque. , combinado con las capacidades de los expertos en seguridad, para llevar a cabo investigación y juicio de ataques automatizados, procesamiento de respuesta estandarizado y manejo de eventos de ataque más eficiente y, en última instancia, respaldar de manera efectiva las operaciones de seguridad normalizadas de los usuarios y potenciar la seguridad de la red de los usuarios.
La última misión de XDR
Resuelva los tres grandes desafíos de prevención y control conjuntos, protección precisa y capacidades del personal.
En las últimas dos décadas, la mayoría de los usuarios han comprado una gran cantidad de dispositivos y software de seguridad, como firewalls, IDS, IPS, WAF y software antivirus. Es el primer problema que enfrentan los operadores de seguridad para que cumplan con sus funciones y cumplan con sus deberes. roles en el camino de la defensa conjunta y el control conjunto.
Además, esta solución de construcción de seguridad tradicional y fragmentada también dio lugar a una tormenta de alarmas, y el poco personal de operación y mantenimiento de seguridad dentro del usuario quedó sumergido en una gran cantidad de alarmas de seguridad. "Todos los equipos de detección le recordarán que existe una anomalía sospechosa, pero ¿la alarma es precisa? ¿Está ocurriendo realmente el ataque? El proceso de evaluación en sí mismo es una tarea muy desafiante".
Después de identificar un ataque real y efectivo a partir de una gran cantidad de información de alarma, cómo desechar y agrupar rápidamente cada fragmento de ataque independiente en un evento de ataque sistemático, y luego conectar múltiples eventos de ataque en serie para formar un caso de ataque, y en el siguiente tiempo La protección precisa antes de que lleguen los ataques es el segundo desafío en las operaciones de seguridad del usuario.
Al final, todo tipo de problemas en la operación segura tienen que volver a las "personas". Las categorías de productos de seguridad son demasiado complicadas, lo que impone requisitos extremadamente estrictos sobre las capacidades del personal de operaciones de seguridad. Además, los expertos en operaciones de seguridad que dominan los productos de seguridad de múltiples categorías son escasos hasta cierto punto. plataforma de operación de seguridad más amigable para hacer que el personal de operaciones de seguridad en diferentes niveles pueda llevar a cabo de manera oportuna y efectiva el trabajo de manejo de amenazas de seguridad estandarizado y basado en procesos, reduciendo la dependencia de las capacidades personales del personal de operación y mantenimiento de seguridad, que se ha convertido en el tercer problema que enfrentan los usuarios .
Con la confrontación ofensiva y defensiva cada vez más feroz, los atacantes también están evolucionando en una dirección más inteligente y sigilosa. "Los medios y técnicas de los atacantes han evolucionado significativamente. Desde el momento en que nace un método de ataque, se ha tomado como punto de partida cómo eludir los equipos de protección de seguridad en el mercado. Tomando como ejemplo el ataque de segundo dial, el atacante will En un incidente de ataque, se falsificaron más de 100 000 direcciones IP mediante la marcación de segundos para lanzar un ataque simultáneamente, mientras que el ataque real se ocultó en forma de paquetes de datos cifrados, por lo que encontrar ataques efectivos se ha convertido en un punto difícil de resolver. proteccion."
Contrarrestar los ataques dinámicos con capacidades de detección estática es el desafío número uno para las operaciones de seguridad actuales. “En el pasado, el problema al que todos se enfrentaban era cómo descubrir que habían sido atacados, pero ahora el problema se ha convertido en cómo descubrir amenazas desconocidas más profundas en fragmentos de ataques independientes, por lo que toda la industria de la seguridad ha dado paso a mayores desafíos. para evolucionar al siguiente nivel".