階層化されたセキュリティがケーキなら、Open XDR はフロスティングです

Enterprise Security のアンカーは、一般に「多層防御」アーキテクチャとして知られています。 多層防御 (DID) は、軍で使用される古典的な防御コンセプトで、2000 年代初頭に Infosec コミュニティで受け入れられました。 DID の Infosec の実装/バージョンは、脅威の状況が時間の経過とともに進行するにつれて、脅威に対処するために進化してきました。

インターネットが登場する前は、主な脅威はウイルスだったため、コンピューターには AV 保護しかありませんでした。 ウイルスはメディア (フロッピー ディスクなど) を介して転送されました。 インターネットにより、すべてのコンピューターが接続され、ワームなどの脅威がネットワーク上に広がったため、ネットワークを保護する必要があり、ネットワークに侵入した最初の人物を監視する必要がありました。

現在の形式では、DID アーキテクチャは多くのレイヤーに対応できるように成長しており、現在も進化しています。 そのため、DID アーキテクチャは階層化されたセキュリティ (境界、ネットワーク、エンドポイント、アプリケーション、ユーザー、データ、ポリシーなど) に変換されました。レイヤーごとに、そのレイヤーに対する脅威から保護するための個別の個別の制御が開発されました。 たとえば、技術的なセキュリティ制御には、ファイアウォール、セキュア ウェブ ゲートウェイ、IDS/IPS、EDR、DLP、WAF、マルウェア対策製品などのソリューションが含まれていました。

階層化されたセキュリティ ソリューションを徐々に進化する脅威の状況に展開することに加えて、ソリューションは社内のさまざまなグループによって所有、管理、運用されていました。 たとえば、ファイアウォール ソリューションは IT 部門のインフラストラクチャ チームが所有していました。 別のグループは電子メール ソリューションを所有し、別のグループはエンドポイント セキュリティ ソリューションを所有していました。 これにより、他のすべてのソリューションから独立して存在する階層化されたソリューションが作成されました。 したがって、すべての学習を含むスタンドアロン ソリューションの概念は、それを担当するチーム内、つまりサイロにとどまりました。

もう 1 つの固有の属性である最善の組み合わせのソリューションも、レイヤード ソリューションの特徴でした。 ソリューションが進化したため、イノベーションはさまざまなソースと分野からもたらされ、さまざまなベンダーのセットがそれぞれの新しいソリューション レイヤーを提供しました。

セキュリティへの DID または階層化されたアプローチは、単一ベクトルの脅威、つまり、脅威が同じベクトルに出入りする場合にうまく機能しました。 これらの初期の脅威の典型的な例は、IDS/IPS によって検出されるネットワークベースの攻撃、メール ゲートウェイによるスパムなどのメールの脅威です。

しかし、脅威がより複雑になり、自動化されたマルウェア生成ツール、ボットネット、およびリモート プログラミングが出現するにつれて、階層化されたセキュリティ モデルは崩壊しつつあります。 これは、すべての保護と制御が完全に連携してすべての脅威を検出し、死角がないという、階層化されたセキュリティに固有の前提が誤りであることが証明されているためです。 どのコントロールからも見えない盲点があります。 その結果、攻撃者は盲点を有利に利用し、これらの悪意のある活動を検出することを困難にしています。

複数ベクトルの脅威に対処した経験から、複数ベクトルの脅威に関与するすべての制御は、サイロのみを可視化し、それ以上のものを可視化できないことは明らかです。 これは設計によるものであり、現在のソリューションがまとめられた方法であることを忘れないでください。

また、個別のインフラストラクチャ、データ サイロ、および応答メカニズムのすべての基礎となるセットアップは、制御を直接管理することを意味し、これは 2 次 (n**2 – n) の問題です。 ただし、すべての上にレイヤーを配置して機能させることは、解決すべき最初のオーダー (2n) の問題です。

盲点に対処するためのオプションは次のとおりです。

  • 各コントロールに、興味のない隣人をカバーさせます
  • より多くのアナリストを雇って、手動でサイロを超えて可視性を拡張する
  • サイロ全体でコントロールとそのデータを可視化し、自動化されたデータ収集、相関、検出、対応を使用してこれらのマルチベクトルの脅威を検出できるツールを入手してください

選択肢 #3 を選択した場合は正解です。

名前に関係なく、#3 のソリューションは、サイロ全体の脅威を検出、関連付け、調整し、対応アクションを提供するためのすべてのコントロールを網羅するエンベロープです。

これは、マルチコントロールの階層化されたセキュリティ システムを最適化する最も効率的な方法です。

その名前は Open XDR です。

Open XDR は、セキュリティ チームがセキュリティ コントロールによって生成された膨大な量のデータを理解できるように設計された、セキュリティ コントロール間の結合組織です。 「オープン」と呼ばれる理由は簡単ではありません。 それはソリューションの決定的な特徴です。 Open XDR は、組織が展開した EDR を含む、あらゆるセキュリティ コントロールからデータを取り込むことができます。 次に、専用の検出機能を使用することで、検出されなかった場合に組織が新聞 (またはニュース Web サイト) のトップページに掲載される可能性のあるマルチベクトルの脅威を根絶することができます。

サイバー防御に特効薬はありませんが、Open XDR は、セキュリティ チームの効率を高めながら死角を最小限に抑える、有望な新しいセキュリティ アプローチです。