零散檢測和響應 (PDR) 可以通過多種方式體現。PDR 最常見的癥狀包括:
- 多種安全信息和事件管理 (SIEM)工具(例如,一種本地工具和一種云端工具)
- 花費太多時間或精力來集成檢測系統
- 性能不佳的安全編排、自動化和響應 (SOAR)系統
- 只能在端點上進行自動響應
- 孤島中的異常檢測(例如,與身份分離的網絡)
如果這些癥狀中的任何一個引起您的組織的共鳴,那么就該解決 PDR 了。
我知道你在想什么,PDR 并不是一個真正的東西。雖然安全行業已經擁有大量的“DR”術語,例如EDR、NDR、CDR、MDR、XDR、TDIR 等,但您是對的 — 沒有行業 PDR 術語,但我們有趣的縮寫詞背后的情感是當然是真的。舉個例子:看看我們上一句中“DR”首字母縮略詞的數量。行業整體碎片化,導致不少企業遭遇PDR。
為什么會發生 PDR
PDR 的副作用通常包括不適、焦躁不安、風險失控感、愿意被生成人工智能分心、強迫參加辦公室外的會議以及參加預算會議時異常的愉悅感。這一切都是因為從 PDR 中恢復的道路往往很困難。您是如何獲得 PDR 的?
PDR 可能已潛入您的安全程序中。您對 SIEM 感到滿意,然后擴展檢測和響應 (EDR)出現并要求在“SIEM 之外”運行,您想:“這還不錯。”
然后攻擊面管理 (ASM)出現了,并且沒有與任何東西集成,但您知道您無法檢測和響應您不了解的資產中的威脅,因此您需要購買獨立的 ASM 工具。
身份威脅管理隨之而來,但只能從您當前的身份供應商處獲得,并且無法與您的用戶行為分析 (UBA) 系統集成。接下來您就知道您已經獲得了 PDR。
PDR 的五個治療目標
1. 整合
我們不僅談論供應商,還談論工具和工作流程整合。您在過去 3-5 年中作為獨立功能購買的大多數新安全技術已由希望通過添加相鄰功能來占領市場份額的供應商配對或集成。在尋求整合能力時,請確保您了解什么是“足夠好”與“一流”。如果您要整合供應商,請選擇首先致力于可擴展性和集成的供應商。
2. 主動安全
不要僅僅對威脅做出反應,而要關注主動措施。通過投資暴露管理來減少攻擊面。建立一個包含代碼分析、攻擊面管理、企業檢測工程、滲透測試、對手模擬、威脅狩獵和漏洞管理等服務的計劃。
3.對云的零信任
您可能想知道零信任如何在檢測和響應待辦事項列表中贏得一席之地。我認識到分布式(又稱聯合)企業威脅檢測和響應 (TDR) 仍處于成熟階段。
當前常見的安全場景是存在混合云環境,利用云原生功能,但由于從云超大規模中提取數據的成本高昂,安全團隊正在支持兩個斷開連接的環境。在聯合檢測和響應工具得到改進之前,最好的通用策略是使用支持業務向云過渡所需的云檢測和響應工具,但在采用云原生安全功能時將更多的安全注意力集中在預防上。確保您在遺留環境中努力定義和實施的所有零信任概念也擴展到您的云環境。
4. 戰略規劃
盤點您當前的 PDR 能力并定義您的未來狀態。意識到您的策略可能需要多年才能發揮作用。
5. 威脅管理架構師
任命一名具有技術專業知識和傳播安全原則能力的威脅管理架構師。他們應該了解網絡彈性的整體概念,其中不僅僅包括備份和恢復,還包括預測和準備威脅,同時保持業務連續性。
尋求 PDR 專業人士的幫助
如果 PDR 深深植根于您的組織中,請考慮尋求 PDR 專業人員的專業知識。尋找具有先進能力的專業人士,他們可以增強您現有的投資,而不是推動新軟件的采用。他們應該提供一系列服務,包括應用程序和數據庫安全性,并精通云環境。確保您選擇的 PDR 專業人員能夠提供全面的服務組合,涵蓋威脅預防到事件響應。
