网络安全是被动和主动方法的混合体。过去,企业往往局限于被动的方法,随着合规性和安全策略越来越受到重视,主动方法也越来越受到关注。与其他行业相比,网络安全是高度动态的,网络安全团队采用任何可以帮助他们优化的新技术。
造成这种情况的主要原因之一是攻击者不断更新他们的策略,而网络攻击也在不断发展,为了跟上攻击者的步伐并检测复杂的网络威胁,安全团队需要采用最新技术。
由于威胁检测和响应仍然是任何组织的首要任务,因此了解威胁检测与响应 (TDR) 框架对任何组织都至关重要。
TDR的演变
TDR一直是安全团队的重中之重。传统上,日志聚合器和日志管理工具被广泛用于检测安全威胁,但是,随着正在处理的数据量的增加和威胁的演变,传统解决方案不再能够引入、分析、保留和搜索日志数据。此外,随着云的广泛采用,组织的 IT 基础设施发生了翻天覆地的变化,因此需要全面的安全解决方案来检测和防御攻击。
这种演变促使组织开发内部解决方案来满足其独特的安全要求。但是,内部解决方案是高度资源密集型的,并且在威胁检测和修复方面有其自身的局限性。
随着时间的流逝,这开辟了新的市场空间,TDR解决方案开始出现。目前,TDR有不同的形状和规模,组织可以从市场上可用的一系列不同形式的TDR解决方案中进行选择。
EDR、XDR 和 NDR 的作用
组织的威胁检测和缓解机制因其所处的行业以及组织的规模和地位而异,安全团队需要根据其要求采用适合其组织的正确技术。目前,有几种不同的工具属于威胁检测和响应类别,让我们了解它们中的每一个以及它们之间的区别。
- 终结点检测和响应 (EDR)
- 扩展检测和响应 (XDR)
- 网络检测和响应 (NDR)
终结点检测和响应 (EDR)
端点检测和响应 (EDR) 解决方案可帮助组织监控其端点免受网络威胁,与传统的威胁检测系统相比,EDR 解决方案更侧重于识别和缓解威胁,例如勒索软件、零日漏洞、无文件恶意软件以及专门针对端点解决方案的主动攻击。由于网络威胁的不断发展和组织接受远程工作(员工在任何地方工作,通常是在 BYOD 设置中),EDR 解决方案在网络空间中越来越突出。
扩展检测和响应 (XDR)
大多数组织使用不同的工具来检测和响应其网络中的威胁,但是,管理多个解决方案可能会很麻烦,并可能导致某些重要警报被忽略,这就是扩展检测和响应 (XDR) 解决方案发挥作用的地方。XDR 解决方案被认为是一站式解决方案,通过聚合来自组织中使用的不同安全工具的威胁数据,帮助组织检测和响应整个网络中的威胁。这些解决方案通过提供威胁数据的集中视图和自动化响应机制,使威胁检测和响应变得更加容易。
网络检测和响应 (NDR)
根据 Gartner 的说法,网络检测和响应 (NDR) 产品通过对网络流量数据应用行为分析来检测异常系统行为,NDR 解决方案持续监视网络流量,并确定是否存在任何持续的威胁。此外,这些解决方案使用基于非签名的技术来检测异常网络活动。与用户实体和行为分析 (UEBA) 解决方案的功能类似,NDR 解决方案可识别与以前派生的基线的行为偏差。
上述所有解决方案都属于TDR类别的范畴。现在出现了一个更大的问题 --- 安全信息和事件管理 (SIEM) 在所有这些中处于什么位置?
SIEM将坚守其堡垒
虽然 EDR、XDR 和 NDR 都在继续发展,但 SIEM 仍将在组织的网络安全策略中发挥至关重要的作用。这是因为 SIEM 的范围。虽然 TDR 解决方案有助于分析数据以进行威胁检测和响应,但它们可能无法收集和分析不同网络中的所有事件。此外,SIEM 的安全分析功能(关联、分析)对于组织进行威胁调查和取证分析至关重要。
此外,与 TDR 解决方案相比,SIEM 解决方案具有高度可定制性,这意味着组织可以优化解决方案,以满足组织的特定安全要求。就像UEBA一样,任何TDR解决方案都需要SIEM解决方案的支持才能以最佳水平运行。如果没有 SIEM 解决方案,就很难持续监控网络中发生的事件和事件。
将 TDR 解决方案与 SIEM 解决方案集成有助于改进组织的威胁检测、调查和响应机制。此外,云 SIEM 的增长看起来很有希望,可以帮助监控和保护混合网络。
结束语
虽然威胁检测和缓解仍将是组织的首要任务,但需要注意的是,日志管理和安全分析必须成为其安全策略的基础。对网络的持续监控对于组织了解其当前的安全态势并对其系统进行必要的调整以满足不断变化的安全要求至关重要。为此,拥有灵活且可定制的解决方案非常重要。
有了 SIEM 解决方案,就可以轻松实现这一点,在 SIEM 之上,如果部署了 TDR 解决方案,则安全性会更好,虽然 TDR 解决方案是可以拥有的,但 SIEM 解决方案对于任何想要保持网络领先地位的组织来说都是必备的。