为什么威胁捕捉必需与XDR结合?
通过收集正确的数据并基于上下文信息转化数据,最大化数据收集的效率
基于机器学习和高端复杂的行为模型识别隐藏威胁
在所有的网络层和应用程序堆践中识别并关联威胁
提供精准警报以最小化安全调查的疲劳度
提供必要的取证能力,整合多种威胁信息,绘制整个攻击画面。帮助安全人员快速完成调查工作,同时对入侵指征(IoC)有着高度的信心。
从组织的角度来看,XDR可以帮助安全团队防范已知威胁,发现新的威胁,增强整体安全流程。借助XDR,安全人员可以成为一个更好的“捉迷藏”者,找到并揪出隐藏者。
通过机器学习实现的高级分析:行为或者外部事件可以用来风险评级,并判断是否一起高风险事件正在发生
态势感知:分析高价值目标,包括数据、资产、员工等,发现异常行为和非正常请求。
情报:把威胁模式、威胁情报、恶意软件、会话,以及资产漏洞信息关联起来,以得出结论
需要整合类的工具,如XDR,以收集适合识别模型的数据。安全数据越多越好,但要注意过滤、清洗或抑制额外的数据。
风险评估、入侵检测和攻击防护等工具要保持更新并正常运行,否则不仅第一道防线失守,而且这些工具收集的数据也变得不可信。
信息资源要通过用户账户和主机名可靠的关联起来,否则DHCP甚至是时间同步都会造成IP的变化,从而影响判断。
打造数据模型要准确的识别核心资产和敏感账户,包括监测它们的使用,谁在使用,以及使用行为。
基于重大入侵事件建立威胁假设,如果攻击者这样做,业务是否能够恢复,造成的损失有多大?
诸如网络拓扑、业务流程描述、资产管理等文档,非常重要。结合XDR的威胁捕捉依赖人的因素来关联真实的业务信息,没有基于对真实业务的信息工作流映射,就无法做到真正的威胁模拟。
对威胁的自动化响应要成为标准工作流程的一部分,并保证其安全。如果采取的响应措施是隔离某项资产或改变防火墙的配置,自动化响应的本身要保证安全可靠,以免被利用,比如拒绝服务。