RSA: Cisco запускает XDR с акцентом на платформенную кибербезопасность
26 апреля 2023 г.Первый день RSA 2023 задал тематический тон недели на мероприятии: платформы с междоменной телеметрией на службе безопасности станут прорывной технологией. Конференция RSA 2023 проходит 24-27 апреля в Сан-Франциско.
Во время программной речи в понедельник Джиту Патель из Cisco, исполнительный вице-президент и генеральный менеджер по безопасности и совместной работе, и Том Гиллис, старший вице-президент и генеральный менеджер по безопасности, объяснили, как и почему эти платформы улучшат функции центра управления безопасностью.
Узнайте, почему расширенное обнаружение и реагирование были в центре деятельности Cisco по запуску на RSA, включая объявление компании о своем облачном сервисе XDR.
Перейти к:
- В центре внимания Cisco XDR на RSA
Объявления о безопасности платформы XDR и Duo
Cisco XDR: готовое решение, которое хорошо работает с третьими сторонами
В центре внимания Cisco XDR на RSA
Патель сказал, что междоменная телеметрия, то есть возможность отслеживать эксплойт почти в реальном времени, когда он перемещается по доменам предприятия, требует комплексной интегрированной платформы, потому что с изолированными средствами защиты «слишком сложно обнаружить современные атаки, которые каким-либо образом отличаются от нормального поведения», — сказал он. Патель объяснил, что платформа может видеть, какие пакеты проходят через сети. Лучшим примером этого, по его словам, является XDR.
«XDR будет притчей во языцех», — сказал Гиллис. «Вам будет трудно найти продавца, который не рассказывает эту историю».
Он сказал, что по мере того, как становится все более очевидным, что злоумышленники хорошо разбираются в поведении пользователей и приложений, просмотр одного домена или инцидента означает, что «вы получаете только половину картины». По сути, пояснил Патель, XDR дает возможность просматривать высокоточные данные везде, будь то электронная почта или эксплуатация PowerShell.
XDR — это не SIEM
Гиллис объяснил, что XDR служит другой цели, чем традиционная информация о безопасности и управление событиями. Он сказал, что, хотя SIEM предназначены для регистрации агрегированных событий в течение нескольких дней или даже месяцев, XDR близок к телеметрии в реальном времени. Кроме того, в то время как SIEM просматривают сводные данные, XDR ищет данные с наивысшей точностью, «каждое сообщение, клик, обработку и пакет», — сказал Гиллис. «Отрасль понимает, что нам нужно больше разрешать события, чем регистрировать данные».
Он сказал, что опора на данные SIEM или аналитику отдельного домена не обеспечивает прозрачности и корреляции между электронной почтой, Интернетом, конечными точками и сетью.
«И последнее — сеть — вероятно, является одним из самых недооцененных инструментов защиты», — сказал Гиллис.
ПОСМОТРЕТЬ: Узнайте больше о XDR в этой статье TechRepublic от Forrester Research.
Объявления о безопасности платформы XDR и Duo
Гиллис рекламировал платформу по сравнению с подходами к обеспечению безопасности, предлагаемыми различными поставщиками, используя следующую аналогию: если вы идете в большой магазин и покупаете то, что, по вашему мнению, является домашней системой для гриля, и открываете коробку только для того, чтобы обнаружить 1000 штук и не найти руководства, вы ничего не сделали. не получить то, за что вы заплатили. Вы хотите, чтобы гриль был собран, интегрирован и готов к работе. Он сказал, что аналогичным образом платформенный подход к безопасности позволяет использовать единую функциональную структуру. «Платформа — это не набор деталей, а система с отдельными компонентами, собранными в единое целое».
Объявления компании, ориентированные на платформу, включали следующее:
- Cisco XDR сейчас находится в стадии бета-тестирования и станет общедоступной в июле. Он предназначен для упрощения расследования инцидентов и ускорения реагирования центра безопасности.
Для защиты от атак с многофакторной аутентификацией Cisco предлагает расширенные функции во всех редакциях своей платформы Duo MFA.
Начиная со следующего месяца, Cisco включает Trusted Endpoints во все платные версии Duo; в настоящее время он доступен только на самом высоком уровне Duo. Согласно Cisco, Trusted Endpoints разрешает доступ к ресурсам только зарегистрированным или управляемым устройствам.
Cisco XDR: готовое решение, которое хорошо работает с третьими сторонами
Cisco называет облачный сервис XDR готовым решением с учетом рисков, которое применяет аналитику для определения приоритетов обнаружения. Компания заявила, что XDR «…переносит акцент с бесконечных расследований на устранение наиболее приоритетных инцидентов с помощью автоматизации, основанной на доказательствах».
Согласно Cisco, служба безопасности анализирует шесть источников телеметрии, которые, по мнению операторов SOC, имеют решающее значение для решения XDR: конечная точка, сеть, брандмауэр, электронная почта, идентификационные данные и DNS.
Cisco заявляет, что XDR интегрируется с ведущими сторонними поставщиками, чтобы «обмениваться телеметрией, повышать совместимость и обеспечивать стабильные результаты независимо от поставщика или технологии». К таким продавцам относятся следующие:
- Для обнаружения конечных точек и реагирования: CrowdStrike Falcon Insight XDR, Cybereason Endpoint Detection and Response, Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR, SentinelOne Singularity XDR и Trend Micro Vision One.
Для защиты от угроз электронной почты: Microsoft Defender для Office 365 и Proofpoint Email Protection.
Для брандмауэров: Check Point Quantum Network Security и брандмауэры нового поколения Palo Alto Networks.
Для сетевого обнаружения и реагирования: Darktrace DETECT, Darktrace RESPOND и Darktrace ExtraHop Reveal(x).
Для SIEM: Microsoft Sentinel.
Оригинал