Iworld.com.vn gửi tới độc giả thông tin về phương pháp phát hiện từ phản hồi trong bảo mật đầu cuối
Tổ chức của bạn sẵn sàng cho công nghệ phát hiện từ phản hồi eXtended (XDR) chưa ? McAfee vừa phát hành phiên bản đầu tiên của công nghệ này, gọi tắt là công nghệ MVISION XDR. Khi XDR trở nên khả dụng, các tổ chức cần phải suy nghĩ về cách tiếp nhận công nghệ bảo mật mới này, nhằm trao quyền cho khả năng phát hiện các phản hồi. Và công nghệ XDR như một cuộc hành trình cho mọi người và tổ chức.
Điều thú vị về sản phẩm của McAfee là XDR được xây dựng trên nền tảng công nghệ của MVISION EDR, MVISION Insights. Nó được mở rộng cho các sản phẩm McAfee khác và các dịch vụ của bên thứ ba. Điều này có nghĩa là, với tư cách là khách hàng của McAfee thì hành trình XDR của bạn đã bắt đầu.
Giá trị cốt lõi đằng sau XDR là trao quyền cho chức năng SecOps vốn vẫn còn nhiều gánh nặng với đội ngũ nhân viên và nguồn lực hạn chế trong khi bối cảnh mối đe dọa đang diễn ra rất rộng lớn và. Trong cuốn sách, mười chiến lược của Trung tâm Điều hành An ninh Mạng Thế giới đã viết cách đây vài tháng: “Với những công cụ phù hợp, một nhà phân tích giỏi có thể thực hiện công việc của 100 người” và XDR là công nghệ phù hợp.
Trao quyền cho SecOps có nghĩa là tác động và thay đổi mọi người , quản lý tích cực làm cho việc bảo mật tốt hơn. Các tổ chức phải xem xét và chuẩn bị cho sự thay đổi có lợi này. Dưới đây là ba cân nhắc chính mà các tổ chức cần lưu ý và sẵn sàng:
Yêu cầu cơ bản đối với XDR là thống nhất và tổng hợp các biện pháp kiểm soát bảo mật và dữ liệu để nâng cao nhận thức về tình huống. Bây giờ, hãy xem điều này có ý nghĩa gì đối với một số chức năng nhất định như đầu cuối, mạng và web. Giả sử bạn là nhà phân tích, người thường kiểm soát các điểm riêng biệt (điểm cuối, mạng, web) hoặc bạn chỉ có quyền truy cập vào điểm đầu cuối. Để có cái nhìn sâu sắc về mạng, bạn gửi email cho những người trong mạng những gì mà bạn nhìn thấy ở đầu cuối và hỏi họ đã thấy điều giống mình không. Thường thì có phản hồi bị trễ từ những người trong mạng dựa trên mức độ ưu tiên của họ. Và bạn gọi những người trên web, đóng góp ý kiến về những gì họ đang thấy. Và công nghệ XDR sẽ cho bạn thấy. Bạn cứ nghi xem điều gì sẽ xảy ra, nếu thông tin được tự động cung cấp cho bạn trên một hệ thống nhất quán, nơi mà phân tích nhận thức tình huống đã bắt đầu. Điều này làm giảm phương pháp thủ công cho cuộc gọi, gửi email và điện thoại. XDR loại bỏ nhiều tập dữ liệu để quản lý và nhận thức để hiểu nó. Việc thu thập, phân loại và phân tích điều tra ban đầu được tự động hóa và sắp xếp hợp lý. Điều này cho phép các nhà phân tích xác nhận và đánh giá nhanh hơn. Nhà phân tích có kỹ năng cũng sẽ sử dụng kinh nghiệm và trực giác của con người để đối phó với đối thủ từ việc phân tích ban đầu đã thực hiện. Ngoài ra, XDR còn thúc đẩy sự hợp tác giữa các hoạt động mạng và hoạt động bảo mật vì hành động của đối thủ là thất thường.
Hãy tưởng tượng nếu SecOps của bạn có được thông tin về mối đe dọa trước khi kẻ thù tấn công và xâm nhập vào môi trường của bạn. Và SecOps loại bỏ đáng kể các chu kỳ tìm kiếm, phân loại và điều tra. Nó chỉ đơn giản là ưu tiên và đẩy nhanh cuộc điều tra và trả lời những câu hỏi quan trọng. Bất kỳ hành động nào được liên kết sẽ hiện lên ngay lập tức. Vi dụ, bạn đang nhận được hơn một trăm cảnh báo cao, nhưng một cảnh báo có liên quan đến một chiến dịch đe dọa có khả năng xảy ra. Nó loại bỏ việc phỏng đoán và ưu tiên các nỗ lực SecOps. Nó đánh giá môi trường, tác động có thể xảy ra và những thứ rủi ro cao của bạn. Quan trọng hơn, nó đề xuất các giải pháp bạn có thể thực hiện và ra quyết định hành động ngay lập tức.
Công nghệ SecOps ra quyết định nhanh hơn hay tổ chức có phải là người tham gia vào các nỗ lực phòng thủ không? Lưu ý chủ đề này là chiến lược thứ ba trong Mười Chiến lược của Trung tâm Điều hành An ninh Mạng Thế giới. Và nó khuyến khích trao quyền cho SecOps thực hiện hoặc tham gia vào việc ra các quyết định. Các chính sách với các quyết định và hành động phản ứng khác nhau tùy theo tổ chức, điểm mấu chốt ở đây là thời điểm quyết định đến nhanh hơn và thường xuyên hơn độ tin cậy cao từ công nghệ MVISION XDR.
XDR là một nền tảng tích hợp mở. Vì vậy, nó có ý nghĩa gì đối với con người và quá trình khi được tích hợp với chức năng bảo mật? Nó phụ thuộc vào các phần được kết nối. Ví dụ, nếu SecOps có thể đưa ra đề xuất cập nhật chức năng nhất định trên hệ thống dịch vụ CNTT một cách tự động và nó sẽ loại bỏ sự cần thiết phải đăng nhập vào hệ thống CNTT như gọi điện hoặc gửi email. Nhu cầu ngày càng cao đối với giải pháp phản hồi tự động một cách an toàn (SOAR). Các chính sách này thường được đề cập trong sách hướng dẫn sử dụng hoặc sách hướng dẫn SOAR.
Hãy xem xét một ví dụ, khi một cảnh báo lừa đảo qua email được cung cấp thì SOAR sẽ tự động so sánh cảnh báo với những người khác để xem có những điểm chung nào đáng lưu ý hay không. Do vậy, các yếu tố chung được chỉ định cho một nhà phân tích thay vì phân phối các cảnh báo riêng biệt cho nhiều nhà phân tích. Điều này hợp lý hóa việc điều tra và phản hồi để hiệu quả hơn và ít tốn kém hơn. Có nhiều ví dụ khác, nhưng vấn đề là khi bạn điều phối các chức năng an ninh, tổ chức phải suy nghĩ về cách họ muốn từng chức năng hoạt động trong những trường hợp cụ thể, phù hợp với chính sách của bạn.
Đây chỉ là một số lĩnh vực cần xem xét khi bạn nắm bắt công nghệ XDR. Tôi hy vọng cuộc thảo luận ban đầu này sẽ giúp bạn suy nghĩ cân nhắc khi sử dụng XDR. Chúng tôi có một cuộc kiểm tra SOC trực tuyến, nơi bạn có thể đánh giá SOC của mình và lên kế hoạch cho nơi bạn muốn đến. Hãy cùng chúng tôi tham gia hội thảo trên web về sự sẵn sàng của XDR, nơi các chuyên gia sẽ kiểm tra cách chuẩn bị để tối ưu hóa các khả năng của XDR. Chúng tôi cũng có một loạt các phương pháp hay nhất của SOC, SOCwise và cung cấp lời khuyên và mẹo thường xuyên cho các SOC của bạn!
Link tham khảo thêm cho bạn: https://www.pacisoft.com/bao-mat-security/for-business/mcafee-business.html
Biên dịch: Lê Quốc Toản – Iworld.com.vn