EDR如何超越端点
端点检测和响应(EDR)技术需要提供超出端点的安全相关事件的可见性 - 如果企业要抵消可能在其网络上某处潜伏的网络对手的机会。
传统的EDR技术会收集有关与端点相关的事件的遥测数据,例如连接到特定网络地址的应用程序进程。但是,此数据通常不会馈送到安全信息和事件管理(SIEM)系统,否则可以使用数据重载。
然而,这种数据对于通过机器学习算法和事件响应团队进行分析至关重要,以跨越网络杀灭链的不同阶段的网络攻击迹象。
这是一个名为XDR的EDR产品的新兴品种背后的前提,其中x是指与企业IT占用空间的网络,云和其他部分相关的更广泛的数据集合。
“安全供应商全部将致力于XDR,”Eric Skinner,Trend Micro的市场战略副总裁“,每周告诉计算机。“做XDR井的关键是深入了解数据,以便您可以派生洞察力并提供高信Ne警报。”
近年来人工智能(AI)的进步使得TAD更容易,安全供应商来自趋势科技和炭黑到Palo Alto网络所有利用机器学习,以更好地了解XDR数据。
例如,趋势科技XDR平台旨在取代数百个暹粒警报,这些警报具有由计算机算法生成的少量高信Ne的警报,这些警报在IT基础架构上执行相关性和综合安全事件的相关性和综合。
“例如,我们可以看到,说,在环境中不同地方的85个不同事件的序列,我们”重新向暹粒发送一个高信Ney警报“,”Skinner说。
与某些EDR供应商相比,专注于端点安全性,Skinner指向趋势科技边缘,通过其保护公司电子邮件系统,应用程序,服务器和网络的安全产品组合提供全方位的可见性。
“我们令人难以置信地了解所有这些系统的遥测,所以我们能够获得更深入的洞察力,”Skinner说。“我们相信这将是我们对XDR的这种市场演变的优势。”
Skinner表示,如果趋势科技XDR将通过应用程序编程接口(API)与其他点安全产品一起使用,Skinner表示:“在早期阶段,我们将为电子邮件,服务器和网络等内容融合组件,以及一组有限的第三方来源,包括来自操作系统的信息”。
“平台肯定是第三方集成,”他说。“但对于任何供应商来说,它将归结它如何从第三方获得足够的情报。我们可以消耗日志,但我们理解它们有多好?这将取决于那些第三方来源的优先级。“
即使XDR平台会流出现场的优先警报,它仍然是人类安全分析师和事件响应团队,以决定是否应采取行动。
Nilesh Jain,趋势科技署副总裁为东南亚和印度,指出,采用EDR - 和延伸,XDR - 该地区许多组织仍处于初期。
“在新加坡之外,政府和私营部门公司仍在评估EDR,”Jain说。“他们有很多兴趣,他们知道结果,但他们仍然试图了解他们如何在他们的组织中工作。”
例如,JAIN表示已经使用Endpoint Security产品的那些涉及添加更多软件代理以收集遥测数据,将压力压出IT资源。
面对EDR的复杂性和缺乏事故响应技能,不仅在东南亚,而且在全球范围内,现在正在考虑来自托管安全服务提供商的管理检测和反应(MDR)服务。
“CisoS和安全部门根本没有积极涉及威尔士数据狩猎的带宽,以便威胁威胁,并弄清楚如何回应它们,”Gartner副总裁兼杰出的分析师Avivah Litan表示,在EDR的博客帖子中说市场。
Skinner表示,MDR服务将成为一个“重要的演变”,因为他们有助于将非常复杂的任务卸载到专用的团队。
“但这并不一定会对客户的能力造成不生病,”他补充道。“我们拥有熟练的事件反应的客户;然而,他们喜欢那些人正在为他们提供主动地完成。“