新科技速遞
網絡保安愈來愈複雜,IT保安從以往的「終端檢測與回應」(EDR)方案,過渡至擴展偵測及回應(Extended Detection and Response,XDR),黑客有不少新手法,避開了 EDR偵測,XDR可為系統偵察到的威脅,為警報排列優先次序。
去年底,FireEye獲得私募基金百仕通(Blackstone)以4億美元入股後,同時以1.86億美元收購Respond Software,再與本身的Mandiant Advantage平台整合,終於推出本身XDR平台。
Respond Software開發雲源生的XDR平台,特色是透過人工智能自動化調查保安警報,其Respond Analyst工具自動排列風險級別,方便挑戰優先項目檢查,中型企業更易於應付網絡安全問題。
而「X」其實可以代表任何數據來源;包從網絡、終端或雲端上的環境搜集數據,透過連結來自多個來源的訊號,提高企業內活動可視性,加強偵察入侵。XDR比過去單一情報點搜集,從更多層面和基礎架構搜集安全情報,也更加針對追蹤威脅分析而設計,以結合預防威脅、檢測等安全事件應變,交互協調,增加防禦能力。
Mandiant一向精於保護終端,去年再收購專門監察雲端安全的Cloudvisory,以完善XDR平台的監察功能。
雖然說XDR市場,已到了人有我有階段,廠商各施各法的情況。現時FireEye推出XDR平台,所包括了「網絡安全資訊與事件管理」(SIEM)方案Helix,兩者進一步整合,幫助營運保安團隊加強偵測網絡威脅,仍可大大簡化偵測威脅的流程。
FireEye XDR平台的Helix整合了 SIEM,Helix也提供資訊安全協調自動化與回應(SOAR)功能,其實不少人已將XDR理解為SOAR,FireEye XDR功能也較完整,其 XDR具備自動風險分級,加上FireEye XDR亦可透過Mandiant提供威脅情報,加強其具關聯性以探測潛伏威脅。
FireEye執行副總裁Bryan Palma表示︰「FireEye XDR輕易融合各種威脅情報,加上具備分析引擎,又建在可伸延的雲端XDR平台,支援超過600種網絡安全工具。」
FireEye Helix雲平台提供分析能力,納入不同保安供應商和數據來源,再按風險級數逐一評分,客戶可集中精神,應付最大風險的威脅;現時保安系統人手短缺,中型企業難以逐一檢查系統發出警告,有時保安只為應付合規要求,警報太多,基本上難以兼顧,FireEye XDR某程度解決「警報疲勞」的難題。
未來數季,FireEye產品業務部計畫為XDR平台加入新功能,包括增強終端和雲端效能、FireEye Helix的儀表板和可顯示潛在威脅的圖表功能、支援第三方保安系統,並整合Mandiant Advantage平台,包括自動防禦等等。
Enterprise Strategy Group (ESG)首席分析師兼研究員Jon Oltsik 表示:「具有前瞻性安全和風險管理的領導者正以簡化程序和前期投資的方式籍以保護企業,同時加快偵測和回應威脅所需的時間,企業可透過XDR對網絡威脅的情報,提升營運效益並減低網絡威脅。 」