Ban đầu, XDR có vẻ chỉ là một từ ngữ thời mốt trong ngành, nhưng nó đã phát triển thành một giải pháp thực tế và hiệu quả. Nó đã từ một ý tưởng ban đầu thành một công cụ thực sự giúp cải thiện hoạt động bảo mật. Trong quá khứ, CISOs thường phải dựa vào công việc thủ công, chẳng hạn như thuê các nhóm nhà phát triển và chuyên gia phân tích, để giải quyết các thách thức bảo mật trong Trung tâm điều hành An ninh mạng (SOC) của họ. XDR mang lại tính tự động hóa cho những quy trình này, giảm bớt nhu cầu thuê nhân sự và tăng cường hiệu suất.
Giải pháp XDR cho phép tích hợp thông tin đe dọa và bổ sung dữ liệu tự động, giúp SOC hiểu rõ hơn về các mối đe dọa và tình hình an ninh mạng hiện tại. XDR có khả năng tự động phát hiện các mối đe dọa và khám phá những sự cố tiềm ẩn trong hệ thống. Điều này giúp SOC phản ứng nhanh chóng và hiệu quả hơn trước các tấn công.
Như vậy, XDR không chỉ là một khái niệm, mà thực sự là một công cụ mang tính chất thay đổi cuộc chơi cho các Trung tâm điều hành An ninh mạng (SOC). Nó cải thiện hiệu suất và khả năng phản ứng của SOC đối diện với các mối đe dọa mạng ngày càng phức tạp.
Chiến lược dùng công nghệ chính xác của CISO là như thế nào?
Việc Giám đốc an toàn thông tin (CISO-Chief Information Security Officer) tập trung vào việc kết hợp các giải pháp phù hợp để giải quyết các vấn đề cụ thể. Theo báo cáo “Đọc vị suy nghĩ CISO- Mind of CISO” của Trellix năm 2023, 94% CISO cho biết công nghệ phù hợp sẽ giúp họ tiết kiệm thời gian đáng kể và 81% nói rằng công nghệ thích hợp sẽ giúp giảm giờ làm thêm của họ.
Tuy nhiên, việc mua nhiều công nghệ khác nhau có thể dẫn đến sự phân tách các khả năng và gặp các thách thức như thiếu khả năng quan sát toàn diện, vấn đề quản lý nền tảng và nhiều khía cạnh khác. CISOs thường phải tìm kiếm các giải pháp điểm để giải quyết từng vấn đề cụ thể và dành rất nhiều thời gian để thuyết phục Hội đồng quản trị cung cấp nguồn tài chính cần thiết để bảo vệ doanh nghiệp. Kết quả, họ phải quản lý một ngăn xếp công nghệ phức tạp với 50 đến 60 công nghệ khác nhau, và nhiều trong số chúng không tương tác với nhau.
Các CISO tự đặt câu hỏi: Làm thế nào để đội ngũ của tôi và tôi có thể nhanh chóng và hiệu quả hơn khi chúng tôi có tất cả các công cụ này? Đó là lúc họ bắt đầu hành trình đến XDR (Extended Detection and Response). Làm thế nào để họ có thể tạo ra sự tự động hóa và hiệu quả hơn? Làm thế nào để máy tính xách tay của tôi thông báo cho tường lửa của tôi về một mối đe dọa và cho biết cần phản ứng hoặc hành động?
Chia sẻ của CISO về nhu cầu
Câu trả lời hoàn hảo dành cho các CISO là họ cần một lộ trình (roadmap). Và con đường đó dẫn đến XDR.
Tại sao XDR nên là lựa chọn của CISO?
Đoạn văn này nói về lý do tại sao nên sử dụng XDR (Extended Detection and Response) trong lĩnh vực bảo mật thông tin:
Nhiều tính năng được các nhà CISO mong muốn có trong các giải pháp hiện tại có thể mang lại được như khả năng quan sát tốt hơn, độ chính xác và sự ưu tiên, những yếu tố này đều là tính năng sẵn có của XDR. Với XDR, tổ chức và doanh nghiệp bạn có thể lần đầu tiên vượt qua một số thách thức lâu dài này.
Có một số lí do quan trọng để xem xét các công nghệ bảo mật hiện tại của tổ chức bạn và tìm hiểu công nghệ XDR (Extended Detection and Response). Dưới đây là năm lý do chính để giải thích tại sao Trellix đã triển khai XDR và muốn giúp các CISO khác cải thiện khả năng của Trung tâm điều hành An ninh mạng (SOC) của họ:
- Hợp nhất các công cụ không liên kết lại với nhau: XDR giúp kết hợp các công cụ bảo mật không liên kết lại với nhau, giúp tăng cường khả năng quản lý và phản ứng.
- Tuân thủ các yêu cầu luật lệ thay đổi liên tục: XDR có thể giúp tổ chức/doanh nghiệp bạn tuân theo các yêu cầu luật và quy định bảo mật thay đổi liên tục, giảm nguy cơ vi phạm.
- Giảm tổng chi phí mua sắm: Sử dụng XDR có thể giúp bạn giảm tổng chi phí sở hữu các giải pháp bảo mật, bằng cách tối ưu hóa và kết hợp chúng.
- Nâng cao hiệu suất SecOps trong thời gian trung bình để phát hiện (MTTD), điều tra (MTTI) và phản ứng (MTTR): XDR cung cấp khả năng giúp phát hiện các sự cố nhanh hơn, điều tra chúng một cách hiệu quả và phản ứng một cách nhanh chóng.
- Mở khóa dữ liệu doanh nghiệp bạn đã sở hữu với một nền tảng mở có khả năng liên kết dữ liệu từ các nguồn dữ liệu khác trong môi trường của tổ chức, để đội ngũ quản trị có thể tận dụng giá trị từ các khoản đầu tư hiện có: XDR giúp tận dụng giá trị từ các khoản đầu tư dữ liệu hiện có.
Mô tả cách thức hoạt động của XDR?
Đã có rất nhiều tổ chức và doanh nghiệp lựa chọn XDR: Báo cáo “Đọc vị suy nghĩ của CISO” năm 2023 của Trellix cho biết, ngày càng có nhiều công ty chọn sử dụng XDR. 47% trong số họ đã chia sẻ rằng họ đã sử dụng XDR và dự kiến sẽ duy trì hoặc mở rộng việc sử dụng này.
Đọc thêm: Trellix tìm ra mục tiêu hàng đầu của các cuộc tấn công bằng Ransomware
Những gì cần tìm kiếm ở một giải pháp XDR
Có một số yếu tố nên nhớ khi đánh giá các giải pháp XDR. XDR nên được bao quát và mở cửa, tích hợp các điều khiển bảo mật tự nhiên và nguồn dữ liệu từ bên thứ ba, để nó phù hợp một cách mượt mà vào môi trường của tổ chức bạn và mang lại khả năng quan sát toàn diện. Bạn nên tìm kiếm khả năng đặt vào ngữ cảnh và ưu tiên các mối đe dọa và khả năng phát hiện mối đe dọa thời gian thực, điều tra và phản ứng. Giải pháp này có phù hợp với môi trường của bạn, cho dù bạn ưa thích mô hình trên nền tảng cơ sở, đám mây hoặc mô hình kết hợp không? Tại Trellix, nền tảng của chúng tôi được xây dựng trên nền tảng thông tin đe dọa, điều khiển bảo mật tự nhiên và hơn 1.000 tích hợp dữ liệu, với XDR hoạt động như bộ não của toàn bộ nền tảng
Tại sao nên lựa chọn Trellix XDR, nguồn: Trellix.com.vn
Có một số yếu tố nên nhớ khi đánh giá các giải pháp XDR. XDR nên được bao quát và mở cửa, tích hợp các điều khiển bảo mật tự nhiên và nguồn dữ liệu từ bên thứ ba, để nó phù hợp một cách mượt mà vào môi trường của tổ chức bạn và mang lại khả năng quan sát toàn diện. Bạn nên tìm kiếm khả năng đặt vào ngữ cảnh và ưu tiên các mối đe dọa và khả năng phát hiện mối đe dọa thời gian thực, điều tra và phản ứng. Giải pháp này có phù hợp với môi trường của bạn, cho dù bạn ưa thích mô hình trên nền tảng cơ sở, đám mây hoặc mô hình kết hợp không? Tại Trellix, nền tảng của chúng tôi được xây dựng trên nền tảng thông tin đe dọa, điều khiển bảo mật tự nhiên và hơn 1.000 tích hợp dữ liệu, với XDR hoạt động như bộ não của toàn bộ nền tảng
Tài liệu thị trường Gartner® mới được phát hành vào năm 2023 về Hướng dẫn thị trường cho Extended Detection and Response (XDR) cung cấp một tổng quan về thị trường XDR cũng như hướng dẫn thực tế để giúp khách hàng đánh giá một nhà cung cấp so với các kết quả XDR được mong đợi. Đây là một tài liệu quý báu để làm sáng tỏ thị trường XDR. Theo quan điểm của chúng tôi, Trellix giải quyết tất cả các tình huống sử dụng mà Gartner đề cập và đang có vị trí tốt để đáp ứng nhu cầu của bạn. Hãy xem báo cáo và tìm hiểu thêm về Trellix XDR.
Đọc thêm: Extended Detection and Response (XDR) là gì?
Tài liệu Gartner® Market Guide cho dòng sản phẩm XDR năm 2023
Giả định Kế hoạch chiến lược
Vào cuối năm 2028, công nghệ mở rộng giám sát và phản ứng (XDR) sẽ được triển khai tại 30% tổ chức cuối người dùng để giảm số lượng các nhà cung cấp bảo mật mà họ đang sử dụng, tăng từ mức hiện tại dưới 5%.
Định nghĩa thị trường
XDR là một công nghệ cung cấp khả năng phát hiện sự cố bảo mật và tự động phản ứng cho hệ thống bảo mật. Nó tích hợp thông tin về mối đe dọa và dữ liệu telemetri từ nhiều nguồn khác nhau với phân tích bảo mật để cung cấp ngữ cảnh và liên kết của các cảnh báo bảo mật. XDR phải bao gồm các cảm biến nguyên bản và có thể được triển khai tại chỗ hoặc dưới dạng dịch vụ SaaS (Phần mềm dưới dạng Dịch vụ). Thường thì, XDR được triển khai bởi các tổ chức có đội ngũ bảo mật nhỏ hơn.
Tóm lại, giả định chiến lược cho rằng bởi cuối năm 2028, công nghệ XDR sẽ trở thành một phần quan trọng trong hệ thống bảo mật của nhiều tổ chức người dùng cuối, và điều này sẽ giúp họ giảm bớt số lượng nhà cung cấp bảo mật mà họ sử dụng, đặc biệt là trong trường hợp các tổ chức nhỏ với đội ngũ bảo mật hạn chế.
Gartner® Market Guide cho dòng sản phẩm XDR
Tổng quan XDR
XDR là một công nghệ đang tiến triển, hứa hẹn mang đến một cách tiếp cận thống nhất và hiệu quả hơn để phát hiện và đáp ứng các mối đe dọa bảo mật.
Nó được thiết kế để cung cấp hiệu suất hoạt động cao với ít sự tùy chỉnh.
Thị trường XDR bao gồm các nhà cung cấp cung cấp các sản phẩm bảo mật tích hợp chặt chẽ, cung cấp khả năng phòng ngừa, phát hiện và đáp ứng sự cố bảo mật chung trên toàn bộ hạ tầng bảo mật thường được triển khai.
Sự phát triển của thị trường XDR
Thị trường XDR đang phát triển, với sự xuất hiện của sản phẩm từ nhiều nhà cung cấp, phương pháp và nền tảng khác nhau.
Sản phẩm XDR hấp dẫn đối với các nhà lãnh đạo bảo mật thực tế (pragmatic security leaders) không có tài nguyên để mở rộng một danh mục lớn các sản phẩm bảo mật đa dạng hoặc gặp khó khăn trong việc tận dụng đầy đủ giá trị từ các công cụ SIEM và SOAR.
Mặc điểm yếu của triển khai XDR là chúng thường ít mở và thường cung cấp ít trường hợp sử dụng hơn SIEM. Ngoài ra, các sản phẩm SOAR thường được sử dụng cho tự động hóa cũng như nhiệm vụ đáp ứng sự cố.
Cách XDR cải thiện khả năng vận hành bảo mật
- XDR có thể cải thiện khả năng vận hành bảo mật bằng cách chia sẻ thông tin về mối đe dọa ngay lập tức giữa các thành phần để cung cấp khả năng chặn mối đe dọa hiệu quả trên tất cả các thành phần.
- Nó tổ hợp các tín hiệu yếu từ nhiều thành phần thành các tín hiệu mạnh hơn.
- XDR giúp giảm số cảnh báo bị bỏ lỡ bằng cách tự động liên kết và xác nhận các cảnh báo.
- Nó tích hợp dữ liệu cần thiết để triển khai cảnh báo chính xác và nhanh chóng.
- XDR cung cấp cấu hình tập trung với hướng dẫn có trọng số để giúp ưu tiên hoạt động.
Cách XDR cải thiện năng suất nhân viên vận hành bảo mật
- XDR giúp chuyển đổi một luồng lớn cảnh báo thành một số sự cố tóm gọn có thể được điều tra thủ công một cách hiệu quả.
- Nó cung cấp các tùy chọn đáp ứng sự cố tích hợp có ngữ cảnh cần thiết từ tất cả các thành phần bảo mật để giải quyết cảnh báo nhanh chóng.
- XDR cung cấp các tùy chọn đáp ứng sự cố vượt ra ngoài các điểm kiểm soát cơ sở hạ tầng.
- Nó cung cấp khả năng tự động hóa cho các nhiệm vụ lặp đi lặp lại.
- XDR giảm đào tạo và kỹ năng cần thiết để hoàn thành các nhiệm vụ vận hành bằng cách cung cấp trải nghiệm quản lý và luồng công việc chung qua các sản phẩm bảo mật.
- Nó cung cấp nội dung phát hiện có thể sử dụng và chất lượng cao với ít hoặc không cần điều chỉnh.
Vượt xa kỳ vọng
XDR nên vượt ra ngoài kỳ vọng hiện có mà các nhà lãnh đạo bảo mật có đối với các sản phẩm điểm đang được tích hợp vào XDR.
Ví dụ bao gồm việc sử dụng khung MITRE ATT&CK để phân loại/hiển thị mối đe dọa, cũng như khả năng của sản phẩm để phản ứng tự động đối với các sự kiện đã biết trước.
Các yếu tố cốt lõi của XDR
Phía trên là một số mô tả tiêu biểu trong tài liệu Market Guide for Extended Detection and Response. Để đọc chi tiết hơn về tài liệu xin vui lòng tìm hiểu thêm tại bài viết chi sẻ của Gartner theo đường link chia sẻ đính kèm.