Giải pháp XDR lọt vào top 1 trend Security của Gartner năm 2020
- XDR là gì
XDR được định nghĩa là:
- Extended (X): thu thập dữ liệu từ bất cứ nơi nào,
- Detection (D): Phát hiện và tương quan dữ liệu từ các nguồn thu thập đuược
- Response (R) : Phản ứng lại các mối nguy cơ đã phát hiện rất nhanh chóng và tự động để giảm thiểu ảnh hưởng
Trước khi XDR ra đời, đã có nhiều bộ công cụ bảo mật khác nhau thực hiện các nhiệm vụ riêng biệt.
- Sự tăng trưởng của Endpoint Detection and Response (EDR) - trong nhiều trường hợp đây là tuyến phòng thủ cuối cùng.
- Sự tăng trưởng của Network Traffic Analysis (NTA/NDR) bên cạnh NG Firewall- Mang lại cái nhìn sâu về gói tin với cả tiêu đề và nội dung của gói
- Sự tăng trưởng của Cloud Appliance Security Brokers (CASB) - một cách mới để tiếp cận các ứng dụng Software As Service như Office 365, vốn không thể bảo vệ bởi các firewall truyền thống
- Các công cụ pentest, scan lỗ hổng bảo mật
- Các công cụ pentest, scan lỗ hổng bảo mật
- Các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IIPS)
- Các hệ thống tường lửa ứng dụng web, proxy, anti ddos
- Các hệ thống APT sandbox nhằm phân tích unknown malware, chống lại các cuộc tấn công zero-day, các cuộc tấn công APT
- SIEM: Thành phần lõi của team điều hành bảo mật, lưu trữ tập trung nhiều log
- Các công cụ Case management để quản lý các ticket
- Các công cụ Asset Management để quản lý tài sản IT
- Các công cụ hiển thị kết quả, report trực quan
- Các hệ thống Threat Intelligent để đối chiếu thông tin về mối đe dọa
- Ngành an ninh bảo mật hiện tại đang phải đối mặt với vấn đề sau:
Quá nhiều các sản phẩm bảo mật
Tuy nhiên, vẫn tồn tại nhiều điểm mù
Quá nhiều cảnh báo nhầm, cảnh báo dương tính giả
Quá trễ để tìm ra cuộc tấn công
Quá chậm trễ trong việc điều tra, truy vết và đưa ra phản ứng
Quá nhiều dữ liệu để xử lý
Rất khó để tuyển một chuyên gia bảo mật có kinh nghiệm
Các công cụ này cần phải được đầu tư về mặt chi phí, con người cũng như các kỹ năng để có thể vận hành trơn tru. Việc quan trọng nhất là khi hệ thống bị tấn công, ta cần kiểm tra tất cả các thiết bị và điều tra truy vết, gây tốn kém thời gian, công sức. Chưa kể đến việc hacker ngày nay sử dụng nhiều phương thức tấn công tinh vi hơn, tung nhiều hỏa mù hơn bằng cách áp dụng cả AI vào việc tấn công. Khi một hệ thống có quả nhiều log cảnh báo sai, chuyên gia an ninh mạng sẽ bị ngập lụt và không thể xử lý hết được. Sự tăng trưởng dữ liệu sau vài năm là rất nhanh trong khi tăng trưởng về con người quản trị an ninh bảo mật thì lại không theo kịp sự tăng trưởng về log.
Ngành an ninh mạng hiện nay tràn ngập các công cụ an ninh mạng nhưng tập trung rải rác vào những phần cụ thể trên cơ sở hạ tầng. Có giải pháp EDR (Endpoint Detection and response) cho endpoint, NDR (Network Detection and response) cho network traffic.
Palo Alto Network, Trend Micro và Logrythm đều nói về thuật ngữ XDR (detection and response anywhere) trên hạ tầng để kết hợp tất cả các giải pháp rời rạc đó làm một. Một hướng đi khác hay hơn đó là một nền tảng Open XDR, không phụ thuộc vào bất kỳ nhà cung cấp nào.
- Khả năng Open của giải pháp Open XDR Platform – Starlight của Stellar Cyber
Đạt giải thưởng Hot Product at RSA 2018 Award
Thắng giải Infosec Awards của Cyber Defense Magazine năm 2020
Các sensor và agent có thể thu thập được dữ liệu trên các môi trường khác nhau từ Network, Endpoint, Ứng dụng và Cloud. Nó có thể tổng hợp log và parsing log từ nhiều ứng dụng bảo mật thông qua một nền tảng BIG DATA và một Web Gui trực quan. Bạn sẽ có một data lake với dữ liệu từ nhiều nguồn khác nhau, và thu thập đủ, thu thập dữ liệu chất lượng cao để hiển thị toàn diện, và giám sát toàn bộ quá trình tấn công.
Bạn không cần phải thay thế các giải pháp EDR hay firewall để triển khai Starlight vì nó có thể kết hợp với các công cụ bảo mật này mà không cần phải mua thêm các tính năng khác như nhiều giải pháp XDR khác.
- Sự khác biệt của giải pháp Open- XDR platform của Starlight
- Cho phép sử dụng các đầy đủ các công cụ phân tích an ninh bảo mật trên cùng một nền tảng Open XDR duy nhất như: NG SIEM, ML-IDS, APT SANDBOX, NTA, UEBA, SOAR, CASE MANAGEMENT, MULTI TENANCY,THREAT INTELLIGENT
- Cho phép mở rộng và tích hợp với các công cụ bảo mật third party với API mở
- Cho phép thu thập dữ liệu từ nhiều nguồn khác nhau như:
- Dữ liệu network
- Dữ liệu server
- Dữ liệu trên các public cloud
- Dữ liệu trên các nền tảng ảo hóa
- Dữ liệu từ các honey port
- Dữ liệu từ các hệ thống SIEM (Splunk, Qradar, Acsight)
- Dữ liệu từ các hệ thống Vulnerability Scanner
- Dữ liệu SNMP, Netflow, IPFIX
- Dữ liệu syslog từ các thiết bị mạng, bảo mật (Firewall, WAF, IPS/IDS, Load Balancing, Router, Switch…vv)
- Tiết kiệm chi phí đầu tư
- Khả năng triển khai đa dạng từ on-premises, public cloud hay trong mạng của Service Provider.
- Tính năng Multi Tenancy hỗ trợ triển khai multi site hoặc triển khai dịch vụ MSSP
- Thông thường, khách hàng của chúng tôi thấy sự cải thiện về thời gian trung bình để nhận dạng (MTTI) nhanh gấp 8 lần. Chúng tôi cũng thấy một sự cải thiện đáng kể về thời gian phản hồi (MTTR) nhanh hơn 20 lần
