安全团队面临人员、应用、数据和身份越来越分散的趋势。这种趋势有部分原因在于远程办公的兴起。随着越来越多的员工继续分散各地办公,公司不得不采用新技术支持自己的员工。从大规模云平台到各个软件即服务解决方案,可选新技术多种多样。咨询公司Gartner预计,到2023年底,美国劳动市场上完全远程办公和采用混合工作制的员工将占71%。
这种形势不仅会扩大安全团队需要监测的攻击面,还会增加因企业需保护的庞大资产和身份数量而带来的安全警报。更麻烦的是,安全团队往往无法看清辖下的所有资产。仅5%的IT决策者表示完全了解员工对公司所发布应用的采纳和使用情况。这就导致公司难以准确评估自身风险状况。
幸好,问题并非无解。整合扩展检测与响应(XDR)和安全信息与事件管理(SIEM),安全团队就能够更好地关联上下文的安全警报。
网络安全人员几乎都被要求少花钱多办事。微软最近的一项研究估计,目前网络安全领域存在340万个职位空缺,40%的安全主管感到自己处短缺所形成的巨大风险之下。
考虑到当下全球威胁态势所呈现的趋势,这种担忧并非没有根据。去年,微软数字犯罪部门(DCU:Digital Crimes Unit)主导摧毁了53.1万个托管在微软之外的网络钓鱼URL。密码攻击数量也在增加,2022年暴增74%,高达每秒921次攻击。利用网络钓鱼电子邮件,攻击者可在恶意链接被点击的72分钟内就渗透整个公司。
这意味着,在网络犯罪防御战中,每分每秒都至关重要。然而,期望安全团队日常响应如此巨量的警报是不现实的。XDR和SIEM派得上用场的地方正在于此。
统一XDR和SIEM可以将数十亿XDR信号数据削减成较少的警报和事件,从而在两个主要方面对抗警报疲劳。首先,安全团队可以借助XDR在整个企业范围内收集安全警报:端点、网络、应用、云工作负载,以及企业的身份基础设施。XDR可以连接这些离散的警报并分析数据,帮助安全团队基于对企业的潜在风险排定警报的处理优先级。由此,安全团队也更易于可视化攻击者在其网络内的移动方式。
随后,安全团队可以通过SIEM对XDR采集的数据应用先进的数据分析和威胁情报,让这些警报变得更具可操作性。这有助于将数据提炼为最重要的那些,减少安全团队所必须分析的信息量。统一XDR和SIEM还可用于创建单一视图,使安全团队能够监测和响应整个企业的威胁,无论威胁存在于多云、混合云还是本地环境。
网络犯罪分子永远在找寻下一个脆弱点。借助统一XDR和SIEM,企业便可超越保护性控制措施,以复杂的检测和响应能力加强自身防御。