2023年RSA大会的第一天就确定了可能成为这一周活动的主题基调: 为安全服务的跨域遥测平台将成为突破性技术。RSA 2023会议于4月24日至27日在旧金山举行。
在周一的主题演讲中,思科公司执行副总裁兼安全与协作部总经理Jeetu Patel和高级副总裁兼安全部总经理Tom Gillis解释了这些平台将如何以及为何要推进安全运营中心的功能。
了解为什么扩展检测和响应是思科在RSA发布活动的中心,包括该公司宣布的基于云的XDR服务。
Patel说,跨域遥测,即在一个企业的域中移动时近乎实时地跟踪一个漏洞的能力,需要一个端到端的综合平台,因为在孤立的防御中,"要发现以任何方式与正常行为划分的现代攻击太难了,"他说。Patel解释说,一个平台可以看到哪些软件包正在穿越网络。他说,这方面最好的例子是XDR。
"吉利斯说:"XDR将成为展会的话题。"你很难找到一个不讲这个故事的供应商。"
他说,随着越来越明显的攻击者越来越擅长用户和应用程序的行为,看一个领域或事件意味着 "你只得到了一半的情况"。Patel解释说,从本质上讲,XDR赋予了查看各地高保真数据的能力,无论是从电子邮件还是从PowerShell利用。
Gillis解释说,XDR与传统的安全信息和事件管理的目的不同。他说,虽然SIEM的设计是为了记录几天甚至几个月的聚合事件,但XDR接近于实时遥测。另外,SIEM看的是摘要数据,而XDR看的是最高保真度的数据,"每条信息、点击、流程和包,"Gillis说。"行业意识到我们需要比日志数据更多的事件分辨率"。
他说,依靠SIEM数据或单域分析并不能提供跨越电子邮件、网络、终端和网络的可见性和相关性。
"而最后一个--网络--可能是最被忽视的防御工具之一," Gillis说。
Gillis用这个比喻来说明平台与多厂商安全方法的区别: 如果你去大卖场买了一个你认为是家用烧烤系统的东西,打开盒子后却发现有1000个零件,而且没有说明书,那你就没有得到你所支付的东西。你想让烤架建成,集成化和可操作。他说,同样地,安全的平台方法允许一个单一的、功能性的框架。"一个平台不是一袋零件,而是一个系统,其中的各个部件以一种连贯的方式组合在一起。"
该公司以平台为重点的公告包括以下内容:
思科将基于云的XDR服务称为 "交钥匙"、基于风险的解决方案,应用分析方法来确定检测的优先次序。该公司表示,XDR"......将重点从无休止的调查转移到以证据为基础的自动化补救最高优先级的事件"。
根据思科的说法,该安全服务分析了六个遥测源,SOC运营商说这对XDR解决方案至关重要:端点、网络、防火墙、电子邮件、身份和DNS。
思科指出,XDR与领先的第三方供应商整合,以 "共享遥测数据,提高互操作性,并提供一致的结果,而不考虑供应商或技术"。这些供应商包括如下: