事件响应在安全团队中的演变

关键要点

过去两年中，安全团队的事件响应IR功能已经发生了显著变化。随着远程与混合工作环境的出现，以及许多组织采用员工自有移动设备，这些因素极大地扩大了攻击面。传统的“企业边界”定义在新的且不断扩展的数字环境中已显得可笑。

IR团队无法再依赖于在疫情前表现良好的传统方法和工具，彼时大多数员工在公司办公室工作，并使用公司拥有的设备。传统解决方案主要是针对同一操作系统、相同应用程序并在同一时间安排下运行的本地设备设计的。

随着远程工作人数的增加，传统IR解决方案的局限性变得愈加明显。为了以最佳方式进行事件响应，员工需要能够使用更适应多样化和更复杂的数字环境的工具。

引入 XDR

最新的趋势之一是转向扩展检测与响应XDR，这是一种基于云的威胁检测与事件响应工具，可以将多个安全产品整合为一个有机系统。

XDR可以跨多个网络组件如服务器、云工作负载和终端设备收集和关联数据。这些系统会分析关联的数据，提供可视性和背景，以揭示潜在的威胁。随后，团队能够对威胁进行优先级排序、分析和分类，从而进行有效的缓解。

采用XDR解决方案能够帮助组织提高事件意识，使网络安全团队能够发现并消除潜在的漏洞。

可视化的重要性

关键在于获得可视性。如果安全团队无法看到网络上发生的情况，如何有效响应事件？在远程工作环境中，这一点尤为重要，因为员工可能在任何地方使用任何设备工作。

XDR不在乎用户或设备是位于公司办公室、家庭办公室还是咖啡店。它能够追踪设备并响应事件，位置无关。这使得它非常适合如今日益普及的远程/混合工作模式。

国际数据公司IDC在2022年3月的一次活动中指出，XDR软件“可能是解决方案，它能将来自端点、日志、web/email和威胁情报的遥测数据整合到一个仪表盘中。”

例如，Exterro 的 FTK Enterprise 解决方案提供了对终端上实时数据的深入可视性，帮助IR团队更快速、针对性地进行全企业的事后调查。

这些解决方案解决了越来越多员工远程工作并未连接公司VPN网络时组织面临的挑战。通过使用FTK Enterprise中的“站点服务器集成”功能，IR团队能够收集和分析来自脱离公司网络的远程Windows终端的数据，而无需VPN连接。

这使得基于代理的数据收集成为可能，将数据安全地、加密地容纳在法医容器中，确保在数据从终端传输到服务器时的数据完整性。

如需了解XDR如何实现更有效的事件响应，请查看CyberRisk Alliance商业情报报告“XDR即将成为威胁检测的倍增器”。