Phản hồi và phát hiện mở rộng (XDR) là gì?

Iworld.com.vn gửi tới độc giả khái niệm về Phản hồi và phát hiện mở rộng (XDR)

Định nghĩa

Theo Gartner, Công nghệ phát hiện và phản hồi mở rộng (XDR) là “Một công cụ phát hiện mối đe dọa bảo mật và ứng phó sự cố, dựa trên SaaS, dành riêng cho nhà cung cấp, tích hợp nhiều sản phẩm bảo mật vào một hệ thống và tích hợp thống nhất tất cả các thành phần được cấp phép”.

XDR cho phép một doanh nghiệp thêm nhiều phương pháp bảo mật hơn so với các biện pháp kiểm soát thông thường, bằng cách cung cấp một cái nhìn tổng thể và đơn giản hơn về các mối đe dọa trên toàn bộ mô hình công nghệ. XDR cung cấp thông tin thời gian thực cần thiết, để xử lý các mối đe dọa đối với hoạt động kinh doanh, nhằm mang lại kết quả tốt hơn, nhanh hơn.

Các ưu điểm chính của Phát hiện và Phản hồi Mở rộng (XDR) là:

• • • Cải thiện khả năng bảo vệ, phát hiện và phản ứng
    • Cải thiện công việc của nhóm bảo mật
    • Giảm tổng chi phí sử dụng, để phát hiện và phản ứng hiệu quả các mối đe dọa an ninh

Phát hiện và phản hồi mở rộng (XDR) thúc đẩy sự hợp nhất nhiều sản phẩm thành một nền tảng phát hiện và ứng phó sự cố bảo mật, thống nhất và gắn kết. XDR là sự phát triển hợp lý của các giải pháp phát hiện và phản hồi đầu cuối (EDR), thành một công cụ ứng phó sự cố chính.

Tại sao doanh nghiệp cần bảo mật XDR

Các SOC cần một nền tảng tập hợp tất cả dữ liệu bảo mật liên quan một cách thông minh và phát hiện các đối thủ có kỹ thuật tinh vi. Khi các đối thủ sử dụng các chiến thuật, kỹ thuật và thủ tục (TTP) phức tạp hơn, để phá vỡ và khai thác thành công các biện pháp kiểm soát bảo mật truyền thống, nhưng nhiều tài sản kỹ thuật số dễ bị tấn công cả bên trong và bên ngoài phạm vi mạng truyền thống. Các nhóm bảo mật có kinh nghiệm đang đưa ra các giải pháp bảo mật đối với môi trường làm việc từ xa, nhưng áp lực về nguồn lực ngày càng gia tăng. Các chuyên gia bảo mật một lần nữa được yêu cầu phải làm việc nhiều hơn, với ít tài nguyên hơn và những ràng buộc ngân sách nghiêm ngặt. Các doanh nghiệp cần các biện pháp bảo mật thống nhất và chủ động, để bảo vệ toàn bộ tài sản công nghệ, mở rộng các đầu cuối, thiết bị di động, và không tốn quá nhiều nhân viên và tài nguyên của tổ chức.

Với các tác nhân xấu bao gồm những kẻ tấn công như biệt danh“con sói đơn độc”,thì các nhóm hacker, các quốc gia và thậm chí cả những người trong cuộc cũng tiềm ẩn nguy cơ rủi ro liên tục xung quanh mình. Do đó, các nhà quản lý rủi ro và an ninh doanh nghiệp không thể sử dụng công cụ bảo mật khi bị ngắt kết nối và quản trị dữ liệu từ nhà cung cấp. Nhân viên bảo mật phải vật lộn với một lượng dữ liệu lớn, dẫn đến tình trạng quá tải cảnh báo, với quá nhiều xác thực sai và ít tích hợp dữ liệu và các công cụ phân tích hoặc ứng phó sự cố đều hoạt động quá tải.

Các nhà lãnh đạo quản lý rủi ro và bảo mật doanh nghiệp nên xem xét các lợi thế bảo mật và các giá trị mà giải pháp XDR mang lại.

XDR hoạt động như thế nào?

Các giá trị chính của XDR bao gồm, cải thiện hoạt động bảo mật bằng cách tăng cường khả năng phát hiện và phản hồi, từ việc thống nhất khả năng hiển thị và kiểm soát trên các thiết bị đầu cuối, mạng và đám mây. XDR nhập và chắt lọc nhiều luồng dữ liệu di chuyển từ xa. XDR cũng có thể phân tích TTP và các vectơ đe dọa khác, để hoạt động bảo mật phức tạp dễ tiếp cận hơn đối với các nhóm bảo mật có ít giải pháp đầu cuối. XDR loại bỏ các chu kỳ phát hiện và điều tra, đồng thời cung cấp bối cảnh kinh doanh và trọng tâm mối đe dọa, để chuyển sang phản ứng nhanh hơn đối với mối đe dọa.

Bảo mật phát hiện và phản hồi mở rộng (XDR) cung cấp khả năng phát hiện và phản hồi mối đe dọa nâng cao bao gồm:

• • • Phát hiện và phản ứng với các cuộc tấn công có chủ đích
    • Hỗ trợ phân tích hành vi của người dùng và tài sản kỹ thuật số
    • Thông tin về mối đe dọa bao gồm thông tin tình báo về mối đe dọa cục bộ, được chia sẻ cùng với các nguồn thông tin tình báo về mối đe dọa có được từ bên ngoài
    • Giảm nhu cầu theo dõi các cảnh báo sai tương quan và xác nhận tự động
    • Tích hợp dữ liệu liên quan để nhanh hơn, phân tích sự cố chính xác hơn
    • Xác định cấu hình để đánh giá mức độ ưu tiên các hoạt động
    • Phân tích toàn diện

Những lợi ích của XDR là gì?

Các sản phẩm phát hiện và phản hồi mở rộng (XDR) giúp gia tăng giá trị, bằng cách hợp nhất nhiều sản phẩm bảo mật thành một nền tảng phát hiện và ứng phó sự cố. XDR là sự phát triển hiệu quả của nền tảng phát hiện và phản hồi đầu cuối (EDR), thành một công cụ ứng phó sự cố chính. Việc phát hiện các mối đe dọa mới ngày nay, đòi hỏi nhiều hơn một bộ sưu tập các giải pháp đầu cuối. XDR có thể tối ưu hóa phản hồi với các tình huống có mức độ tinh vi cao.

Bảo mật phát hiện và phản hồi mở rộng (XDR) cung cấp khả năng phát hiện và ứng phó mối đe dọa nâng cao bao gồm:

• • • Chuyển đổi một lượng lớn các cảnh báo thành một số lượng nhỏ, các sự cố có thể được tập trung vào để điều tra
    • Cung cấp các tùy chọn ứng phó sự cố tích hợp từ các hệ thống bảo mật, để giải quyết cảnh báo nhanh chóng
    • Cung cấp các tùy chọn ứng phó vượt ra ngoài các điểm kiểm soát cơ sở hạ tầng, bao gồm mạng và đầu cuối
    • Cung cấp khả năng tự động hóa cho các tác vụ lặp đi lặp lại
    • Giảm đào tạo và nâng cấp hỗ trợ cấp 1, bằng cách cung cấp một điểm chung về kinh nghiệm quản lý và quy trình làm việc trên các hệ thống bảo mật
    • Cung cấp nội dung phát hiện có chất lượng để phân tích, phù hợp với yêu cầu điều chỉnh từ rất ít đến không cần điều chỉnh

XDR cải thiện các chức năng SOC, khi chúng phản ứng với một cuộc tấn công trong môi trường, bao gồm:

Phát hiện

Xác định nhiều mối đe dọa hơn, bằng cách kết hợp phép đo đo cảm biến từ xa của nhiều nhà cung cấp và sử dụng danh sách các sự kiện được thu thập và phân tích từ các nền tảng bảo mật.

Điều tra

Hợp tác giữa con người với máy móc, một cách tương quan tất cả thông tin về mối đe dọa có liên quan và áp dụng mô hình bảo mật theo tình huống, để giảm nhanh hơn tín hiệu nhiễu và hỗ trợ xác định nguyên nhân gốc rễ.

Khuyến nghị

Cung cấp cho các nhà phân tích các khuyến nghị theo quy định, để điều tra thêm thông qua các truy vấn bổ sung, cũng như đưa ra các hành động ứng phó có liên quan, để cải thiện hiệu quả nhất việc ngăn chặn hoặc khắc phục rủi ro hoặc mối đe dọa được phát hiện.

Săn tìm và tấn công

Cung cấp khả năng truy vấn chung trên một kho dữ liệu, có chứa phép đo cảm biến từ xa của nhiều nhà cung cấp, để tìm kiếm các hành vi mối đe dọa đáng ngờ, cho phép việc săn lùng mối đe dọa xác định được vị trí và thực hiện hành động dựa trên các khuyến nghị.

Một nền tảng XDR toàn diện yêu cầu một hệ sinh thái bảo mật với bề rộng, chiều sâu và mức độ tăng trưởng của thị trường, để kết nối liên tục và phát hiện nhiều cảnh báo. Và tự động hiểu bối cảnh, ưu tiên rủi ro và đưa ra phản ứng để dễ quản trị.

McAfee MVISION XDR

XDR chủ động, nhận biết dữ liệu đầu tiên

MVISION XDR là một nền tảng dựa trên SaaS, giúp giảm thiểu rủi ro mạng từ thiết bị sang đám mây, nhanh chóng cải thiện hiệu quả của SOC, bằng cách giảm chu kỳ phản ứng trong khi tiết kiệm đến 95% chi phí đánh giá chiến dịch mối đe dọa . MVISION XDR là XDR duy nhất bao gồm toàn bộ vòng đời tấn công trước và sau.

• • • Trao quyền cho SOC làm được nhiều việc hơn, với khả năng hiển thị và kiểm soát thống nhất trên các thiết bị đầu cuối, mạng và đám mây
    • Ưu tiên và bảo vệ những gì quan trọng với dữ liệu riêng biệt và nhận thức về bối cảnh
    • Giảm thiểu rủi ro trước và sau cuộc tấn công, bằng trí thông minh có thể hành động trước trong ngành bảo mật, điều tra có hướng dẫn và tự động đưa ra các biện pháp đối phó theo quy định
    • Nâng cao khả năng hiển thị và kiểm soát của bạn, bằng cách dễ dàng kết nối bảo mật của bạn với McAfee và phần mềm bảo mật khác.
    • Cung cấp khả năng quản lý mối đe dọa mạng, có thể hành động mà không cần tăng nhân viên và trao quyền cho nhân viên SOC hiện tại của bạn.

Mời các bạn xem video Demo về MVISION XDR sau đây:

Trân trọng cám ơn quý độc giả./.

Bài đọc tham khảo thêm cho bạn

• McAfee for Business

Biên dịch: Lê Toản – Iworld.com.vn