Iworld.com.vn gửi tới độc giả thông tin về McAfee MVISION XDR.
Hãy tưởng tượng (nếu bạn muốn) một cảnh từ một trong những bộ phim nhiệm vụ bất khả thi yêu thích của bạn. Nhạc nền đang thúc đẩy một nhịp điệu hồi hộp trong khi nhân vật phản diện cố gắng đánh cắp công nghệ mới nhất từ một đối thủ cạnh tranh rất được ưa chuộng trong ngành công nghiệp có tên Rad-X Incorporated. Đó là một bí mật thương mại sẽ thay đổi ngành công nghiệp mãi mãi, và nếu nhân vật phản diện đạt được sứ mệnh của mình, hắn sẽ nắm giữ tương lai của hàng không trong lòng bàn tay. Hắn đã bỏ qua các máy dò chuyển động laser, đu từ trần nhà để tránh các tấm áp suất đặt sàn, và thậm chí thực hiện một số màn nhào lộn dữ dội phức tạp để trượt qua các cơ chế giám sát video. Sau đó, ở đỉnh cao của sự hồi hộp trong khi âm nhạc tăng lên một crescendo, một bản phát hành khó khăn, hắn vươn ra để nắm bắt một vi mạch được đặt ở trung tâm của căn phòng trên bệ như thể căn phòng được thiết kế chỉ để thể hiện sự tráng lệ của nó. Khi ngón tay hắn nhẹ nhàng nép mình chống lại mạch điện… âm nhạc dừng lại, tiếng chuông báo động, và hắn bước ra hoàn toàn và hoàn toàn không bị xáo trộn!
Tất cả các thành phần trong cảnh này có nghĩa là ghi lại và phát hiện khi một hoạt động xảy ra. Nhưng khi chúng tôi cần nó nhất, tất cả những gì nó có thể là một khả năng phát hiện ồn ào. Nó không thực sự “ngăn chặn” các hình vi độc hại làm bất cứ điều gì. Thay vào đó, hệ thống chỉ cho mọi người biết rằng nó đã xảy ra… rất khó tính nếu bạn hỏi tôi, và thẳng thắn mà nói thì không hữu ích lắm nếu bạn là người tốt.
Công nghệ SIEM đã được sử dụng trong các hoạt động bảo mật trong hơn 15 năm vì một số lý do. Đầu tiên, SOCs phải có khả năng kể một câu chuyện trong khi thực hiện các cuộc điều tra ứng phó sự cố. Và để quay ngược thời gian một cách hiệu quả, các sự kiện đã đăng nhập của các hoạt động này có thể dễ dàng truy cập hơn nếu các sự kiện được lưu trữ tập trung và cho một tuổi thọ thích hợp. Vì vậy, khi cảnh sát xuất hiện, nạn nhân có thể đặt tên chính xác cho thủ phạm. Tiếp theo, vì các nguồn dữ liệu rất khác nhau, SIEMs có thể được sử dụng để tương quan các hoạt động giữa các nguồn cấp dữ liệu thường không liên quan. Ví dụ: nếu một tấm thép trên sàn được kích hoạt, thì cảm biến chuyển động sẽ bắn trong vòng 15 giây với nhau, mức độ nghiêm trọng tập thể của chúng có thể tăng thêm báo động. Và thứ ba, báo cáo tập trung về dữ liệu tổng hợp cho phép doanh nghiệp xác định vị trí đầu tư hiệu quả vào các công nghệ kiểm soát. Trong ví dụ mở rộng này, nạn nhân có thể chạy báo cáo hàng tháng cho thấy cảm biến áp suất vi mạch được kích hoạt 5 lần trong tháng này, trong khi những người khác có thể chỉ kích hoạt một hoặc hai lần. Chắc chắn, tất cả những khả năng này cũng quan trọng đối với ngày nay như năm 2005.
Nhưng có một khoảng cách rõ ràng: tại sao không có cách nào tốt hơn để thực hiện hành động khắc phục sau khi sự cố xảy ra? Khả năng Phát hiện và Phản hồi Mở rộng (XDR) có một số kết quả tương tự như chúng ta mong đợi vào năm 2021, nhưng với một thành phần phản hồi bổ sung… và trong trường hợp của McAfee, nhiều thành phần phản hồi. Một số khả năng chồng chéo lên SIEM, tự nhiên dựa trên từng trường hợp sử dụng, nhưng cả hai đều vẫn cần thiết cho chương trình hoạt động bảo mật hiện đại.
Hình 1: SIEM vs XDR Capabilities
Trong khi hầu hết các công nghệ SIEM cho phép quản trị viên tích hợp thông qua API với các công nghệ khác, các hành động có sẵn thường bị hạn chế về bản chất và không cung cấp tùy chọn phản hồi liền mạch và nhất quán trên toàn cảnh quan. Tuy nhiên, XDR chỉ làm điều đó. Nền tảng này được thiết kế sao cho dù hệ thống mà bạn đang hành động là điểm cuối, thành phần mạng hoặc dịch vụ đám mây, người thực hành hoạt động bảo mật nên mong đợi tận hưởng mức độ kiểm soát gốc thân mật trên thiết bị kiểm soát bảo mật đó. Thực hiện các hành động như hạn chế truy cập thêm, truy xuất thông tin bổ sung hoặc đạt được khả năng bảng điều khiển phải đơn giản như chỉ bằng một cú nhấp chuột. Với XDR, khi chuông báo động vang lên, Rad-X sẽ có thể chỉ cần nhấp vào một nút để khóa phòng hình vòm và bắt giữ thủ phạm.
Và vì đây là một điểm khác biệt giữa nền tảng XDR và SIEM, nên lý do là khả năng phản hồi nên là một yếu tố quan trọng khi so sánh các nhà cung cấp XDR. McAfee cung cấp một số khả năng phản hồi mạnh mẽ nhất ngay lập tức như cách phân loại các tài sản bị ảnh hưởng, đồng thời cung cấp khả năng viết của riêng bạn cho Windows, MacOS hoặc Linux.
Mặc dù rõ ràng là dữ liệu đi vào hồ dữ liệu và thu thập dữ liệu lớn thường xuyên thay đổi, các loại dữ liệu đang thay đổi gần như thường xuyên. Công nghệ SIEM, dựa nhiều vào các nhà sưu tập, phân tích cú pháp, làm giàu, ontology, v.v., thường không giải quyết được sự thay đổi liên tục của các loại dữ liệu trên nguồn dữ liệu. Điều này có nghĩa là các nhà sưu tập cần được cập nhật thường xuyên. Tuy nhiên, điều gì sẽ xảy ra nếu dữ liệu lần đầu tiên được phân loại và phân tích tại nguồn và kết quả được gửi đến các điểm thu thập và tương quan? Điều này sẽ giải quyết một phần lớn thách thức về kiểu dữ liệu đồng thời mong đợi và nắm bắt ý tưởng rằng dữ liệu sẽ tiếp tục sống tại nguồn của nó. Chắc chắn, có thể có những trường hợp dữ liệu thô cần được vận chuyển đến kho lưu trữ hàng loạt để tìm kiếm và săn lịch sử, nhưng đó là thiểu số của các trường hợp. Và, vì mục tiêu của XDR là không đáp ứng các yêu cầu lưu giữ nhật ký như một công cụ tuân thủ, nên nó không cần tập trung vào việc thu thập tất cả các sự kiện được tạo ra.
Khi quan sát kỹ lưỡng trên nền tảng XDR, chẳng hạn như McAfee’s MVISION XDR, các tìm kiếm có thể được chạy dựa trên lưu trữ hàng loạt hoặc trong thời gian thực. Tìm kiếm theo thời gian thực cho phép nguồn dữ liệu thực hiện truy vấn chống lại nguồn gốc thô của sự kiện. Và, vì cả hai khả năng đều có sẵn, việc so sánh các vùng giữa trạng thái của nguồn dữ liệu có thể dễ dàng thực hiện. Nếu Rad-X, đang sử dụng XDR, họ sẽ có thể đặt câu hỏi về hành lang, máy ảnh và cách nhập cảnh mà nhân vật phản diện đang sử dụng trong suốt cuộc tấn công. Thay vào đó, họ buộc phải chờ đợi một sự kiện đủ quan trọng để được cảnh báo rằng sự cố hiện đã xảy ra trong quá khứ.
Hình 2: XDR Logical Architecture
Hình 3: Traditional SIEM Architecture
Như bạn có thể nói từ các hình minh họa ở trên, XDR cung cấp cho các nhóm bảo mật một mô hình kiến trúc dịch vụ cloud-native đơn giản hơn khi so sánh với SIEM truyền thống. Phần lớn các triển khai SIEM yêu cầu tất cả các cơ sở hạ tầng gốc phải được triển khai dưới dạng phần mềm hoặc thiết bị tại chỗ hoặc trong IaaS. XDR có thể làm giảm độ phức tạp của cấu hình bảo mật của bạn và các tài nguyên chuyên gia cần thiết để vận hành nó.
Giám đốc điều hành của Rad-X muốn có câu trả lời, và ông ấy muốn chúng ngay bây giờ! Chuyện này xảy ra như thế nào? Chúng ta có biết về tên tội phạm này và bất cứ điều gì hắn có thể đã làm không? Chúng ta có phải là mục tiêu duy nhất không? Cách hành động tốt nhất của chúng ta để điều tra những gì đã xảy ra ở đây là gì?
Rad-X đã trải qua một sự kiện đáng tiếc, nhưng họ đã học được một bài học vô cùng quý giá: SIEM rất quan trọng vì nó đáp ứng một số chức năng quan trọng, nhưng XDR phù hợp hơn trong việc thực hiện các cuộc điều tra theo hướng hành động, phân tích mối đe dọa, phản ứng nhanh và hơn thế nữa. Vì vậy, nếu bạn thấy mình ở một vị trí như Rad-X và tò mò về giá trị và lợi ích của XDR trong môi trường của bạn, hãy lấy một trang ra khỏi cuốn sách của Rad-X và xem xét MVISION XDR để cung cấp một sự thay đổi còn lại trong dự đoán mối đe dọa, đơn mẫu và ưu tiên. Hãy xem xét MVISION XDR để nâng cao khả năng phân tích sự cố của bạn với sơ đồ chiến thuật AI dựa trên đám mây. Và hãy xem xét MVISION XDR để cung cấp khả năng phát hiện và phản hồi từ thiết bị sang đám mây.
Link tham khảo thêm cho bạn: https://www.pacisoft.com/bao-mat-security/for-business/mcafee-business.html
Biên dịch bởi Phương Linh – iworld.com.vn
Freepik gia nhập cuộc đua AI với tính năng Freepik PikasoFreepik chắc hẳn là một cái.
[Đăng ký tham gia] webinar: Unlocking the power of AI with Adobe Creative CloudTrong kỷ nguyên công nghệ phát.
Mua 01 thuê bao SketchUp Pro/Studio – Nhận ưu đãi* 10% cho bộ thứ 2Nếu bạn đang tìm kiếm một.
Phân tích mối đe dọa trong Microsoft 365 DefenderThreat analytics là giải pháp thông.
Tìm hiểu Microsoft Defender for Business – Giải pháp nâng cao bảo mật doanh nghiệpBảo mật vẫn là một trong.
Microsoft 365 Copilot: Các lợi ích dành cho doanh nghiệpTrong thời gian gần đây, cộng.
Paessler PRTG MultiBoard – Được thiết kế dành riêng cho PRTG Enterprise MonitorTổng quan toàn diện Paessler PRTG.
Triển khai & Đào tạo giám sát mạng PRTGPRTG Implementation (Triển khai) Đơn giản.