Mr. Bình
Mr. Tuấn Anh
Mr. Đáng
Mr. Huấn
Mr. Hoàng Ân
Mr. Dũng
Mr. Ngân
Theo Gartner, công ty lần đầu tiên định nghĩa thuật ngữ này vào năm 2020, XDR là một công cụ ứng phó sự cố và phát hiện mối đe dọa dành riêng cho nhà cung cấp, tích hợp nhiều sản phẩm bảo mật vào một hệ thống hoạt động bảo mật gắn kết.
Ngày nay, 62% chuyên gia bảo mật khẳng định họ "rất quen thuộc" với thuật ngữ XDR, tăng so với mức chỉ 24% vào năm 2020. Mặc dù đây rõ ràng là một sự cải thiện nhưng 29% vẫn cho biết chỉ "hơi quen thuộc", "không phải". theo một nghiên cứu gần đây của ESG, rất quen thuộc" hoặc "hoàn toàn không quen thuộc" với công nghệ XDR.
Vì câu hỏi XDR là gì vẫn chưa rõ ràng đối với một số người nên chúng tôi đã quyết định tìm hiểu sâu hơn về khái niệm này. Công nghệ phát hiện và phản hồi mở rộng đặc biệt giải quyết nhu cầu về mức độ tổng hợp, tương quan và phân tích đo từ xa bảo mật mới để bảo vệ bề mặt tấn công ngày càng đa dạng và đối phó với bối cảnh không ngừng phát triển, nơi các mối đe dọa ngày càng phức tạp hơn để phát hiện. Việc tích hợp các khả năng XDR vào cơ sở hạ tầng của tổ chức có nghĩa là các sự kiện bảo mật từ nhiều nguồn và tài sản khác nhau có thể được phân tích và đối chiếu để xác định hoạt động nào đang diễn ra. XDR chia sẻ kiến thức từ một nền tảng bảo mật duy nhất để có phản hồi tự động, nhanh chóng, giúp giảm khối lượng công việc của nhân viên bảo mật.
Mối tương quan đã có trong phiên bản ThreatSync đầu tiên của Watchguard: một công cụ dựa trên Đám mây phân tích dữ liệu sự kiện từ Cảm biến máy chủ và Hộp cứu hỏa để xác định hành vi độc hại. Tuy nhiên, giải pháp Phát hiện và ứng phó mối đe dọa (TDR) cũ chỉ sử dụng phép đo từ xa điểm cuối để phát hiện các tệp độc hại và phản hồi các hành động được bắt đầu trong Đám mây, tương quan các sự kiện mạng với các tệp và quy trình riêng lẻ trên điểm cuối. Giờ đây, ThreatSync đã phát triển để trở thành giải pháp XDR bằng cách tích hợp các giải pháp bảo mật mạng và điểm cuối trên một nền tảng duy nhất, có thể liên kết thông tin phát hiện mối đe dọa từ các lớp bảo vệ khác nhau và điều phối phản ứng của các công cụ.
XDR tăng cường bảo mật bằng cách kết hợp các công nghệ khác nhau để tạo ra khả năng phát hiện chính xác hơn so với khi chúng hoạt động riêng lẻ. XDR thu thập và hiển thị các phát hiện trên nhiều sản phẩm cho máy tính, máy chủ và tường lửa theo cách thống nhất, cung cấp cho các chuyên gia bảo mật bối cảnh phát hiện mối đe dọa và cho phép họ phản ứng cũng như ngăn chặn các mối đe dọa nâng cao nhanh hơn, giảm đáng kể rủi ro do các mối đe dọa bảo mật gây ra. Bằng cách đưa dữ liệu này vào một bảng điều khiển Đám mây duy nhất, nó cũng giúp loại bỏ nhu cầu tìm hiểu cách sử dụng nhiều bảng điều khiển. Do đó, có thể phát hiện các mối đe dọa trên cả thiết bị được bảo vệ và không được bảo vệ bằng cách sử dụng dữ liệu tên miền chéo để ngăn chặn các mối đe dọa nâng cao không thể nhìn thấy ở chu vi hoặc điểm cuối.
Ngoài ra, việc sử dụng tương quan giữa các miền và sự kiện có nghĩa là các hoạt động có thể được giám sát đối với các sản phẩm bảo mật khác nhau, tạo điều kiện thuận lợi cho việc phân loại và phát hiện các tình huống độc hại mà bản thân chúng có vẻ vô hại nhưng khi được bối cảnh hóa, chúng sẽ trở thành dấu hiệu của sự xâm phạm (IoC) , giảm thời gian phát hiện trung bình (MTTD), cho phép ngăn chặn nhanh chóng các tác động tiềm ẩn và hạn chế mức độ nghiêm trọng cũng như phạm vi của sự cố.
Tự động hóa phản hồi và lập kế hoạch giải phóng các nhà phân tích khỏi các nhiệm vụ lặp đi lặp lại hoặc thủ công bằng cách hành động dựa trên các phát hiện phù hợp với tiêu chí đã xác định trước đó. Điều này cho phép chấm dứt các quy trình, xóa tệp, cô lập điểm cuối hoặc chặn IP công cộng mà không cần sự can thiệp của nhà phân tích.
Việc sử dụng XDR mang lại lợi ích lớn cho các nhà cung cấp dịch vụ được quản lý (MSP) khi bảo vệ tính bảo mật của khách hàng. Ví dụ: mối tương quan giữa bảo mật mạng và điểm cuối có thể tạo ra sự khác biệt trong trường hợp có mối đe dọa dai dẳng nâng cao (APT). Ngày nay, chúng tôi kỳ vọng các tệp sẽ được tải xuống gần như ngay lập tức, vì vậy tường lửa phải cho phép tải xuống các tệp không xác định trong khi gửi chúng đến hộp cát để phân tích. Sau khi phân tích, nếu phát hiện tệp độc hại, XDR sẽ liên kết tệp đó với điểm cuối để xóa tệp đó khỏi thiết bị.
Tương tự, đối với các quy trình chạy trên máy tính vốn không gây hại nhưng có thể tạo kết nối độc hại, chẳng hạn như trình duyệt hoặc ứng dụng email, khả năng XDR có thể lấy dữ liệu từ các kết nối bị chặn trên tường lửa và liên kết dữ liệu đó với các ứng dụng riêng lẻ trên điểm cuối. Điều này cho phép người dùng phát hiện các ứng dụng độc hại mới hoặc đơn giản là phát hiện phần mềm tốt có hành vi đáng ngờ cần được phân tích thêm.
Các trường hợp sử dụng ở trên nêu bật cách công cụ này có thể giúp MSP bảo vệ mạng của khách hàng của họ. Tuy nhiên, có những lợi ích khác của việc sử dụng XDR mà MSP có thể thu được:
XDR mang lại độ chính xác cao hơn và tăng tốc độ phát hiện bằng cách thống nhất dữ liệu mối đe dọa vào một giao diện duy nhất. Việc thu thập và trực quan hóa các hoạt động phát hiện chéo với nhiều sản phẩm khác nhau giúp MSP trở nên linh hoạt hơn vì họ có được bối cảnh xung quanh các hoạt động phát hiện cung cấp thông tin họ cần để ứng phó và ngăn chặn các mối đe dọa nâng cao hiệu quả hơn.
Theo dữ liệu của IBM, vào năm 2022, các công ty phải mất trung bình 207 ngày để xác định một sự cố bảo mật. Tuy nhiên, các tổ chức sử dụng công nghệ XDR đã đạt được lợi thế đáng kể về thời gian nhận dạng và phản hồi. Các tổ chức đã triển khai XDR đã rút ngắn vòng đời sự cố trung bình khoảng một tháng (29 ngày) so với các tổ chức không triển khai XDR.
XDR cho phép MSP hoạt động hiệu quả hơn bằng cách cung cấp nhiều hành động ứng phó, cho phép họ lên lịch và tự động hóa hoạt động ứng phó với mối đe dọa trên toàn bộ mạng từ một bảng điều khiển duy nhất nhanh hơn, giúp giảm rủi ro và mang lại độ chính xác cũng như tốc độ phản hồi cao hơn bằng cách giảm thời gian trung bình trả lời (MTTR). Đối với bất kỳ công ty nào, việc có thể giảm thời gian phát hiện và thể hiện sự nhanh nhẹn trong các hành động ứng phó có thể tạo ra sự khác biệt giữa việc ứng phó kịp thời với mối đe dọa và ngăn chặn nó gây ra thiệt hại lớn hơn hoặc cuộc tấn công lan rộng và chiếm quyền kiểm soát hệ thống của tổ chức.
Một số giải pháp XDR yêu cầu kiến thức nâng cao khi cài đặt, cấu hình và thiết lập công cụ. Giải pháp XDR, WatchGuard ThreatSync, là một phần của khuôn khổ Nền tảng bảo mật hợp nhất, mang đến trải nghiệm người dùng thống nhất và trực quan giúp đơn giản hóa việc thích ứng và học tập, đồng thời vì đây là nhiều sản phẩm và được tích hợp đầy đủ nên điều này giúp giảm chi phí liên quan đến việc định cấu hình và tích hợp các giải pháp.
XDR là sự lựa chọn hoàn hảo cho các MSP đang điều hành các doanh nghiệp quy mô vừa, cho phép họ tăng cường khả năng bảo mật theo cách tự động và không cần đến các chuyên gia an ninh mạng. Nó cải thiện khả năng hiển thị, tăng khả năng phát hiện trong các tình huống cụ thể và đơn giản hóa việc ứng phó và khắc phục các cuộc tấn công. Tìm hiểu cách WatchGuard có thể giúp bạn áp dụng phương pháp bảo mật dựa trên XDR thông qua giải pháp ThreatSync của chúng tôi.