零散检测和响应 (PDR) 可以通过多种方式体现。PDR 最常见的症状包括:
- 多种安全信息和事件管理 (SIEM)工具(例如,一种本地工具和一种云端工具)
- 花费太多时间或精力来集成检测系统
- 性能不佳的安全编排、自动化和响应 (SOAR)系统
- 只能在端点上进行自动响应
- 孤岛中的异常检测(例如,与身份分离的网络)
如果这些症状中的任何一个引起您的组织的共鸣,那么就该解决 PDR 了。
我知道你在想什么,PDR 并不是一个真正的东西。虽然安全行业已经拥有大量的“DR”术语,例如 EDR、NDR、CDR、MDR、XDR、TDIR 等,但您是对的 — 没有行业 PDR 术语,但我们有趣的缩写词背后的情感是当然是真的。举个例子:看看我们上一句中“DR”首字母缩略词的数量。行业整体碎片化,导致不少企业遭遇PDR。
为什么会发生 PDR
PDR 的副作用通常包括不适、焦躁不安、风险失控感、愿意被生成人工智能分心、强迫参加办公室外的会议以及参加预算会议时异常的愉悦感。这一切都是因为从 PDR 中恢复的道路往往很困难。您是如何获得 PDR 的?
PDR 可能已潜入您的安全程序中。您对 SIEM 感到满意,然后扩展检测和响应 (EDR)出现并要求在“SIEM 之外”运行,您想:“这还不错。”
然后攻击面管理 (ASM)出现了,并且没有与任何东西集成,但您知道您无法检测和响应您不了解的资产中的威胁,因此您需要购买独立的 ASM 工具。
身份威胁管理随之而来,但只能从您当前的身份供应商处获得,并且无法与您的用户行为分析 (UBA) 系统集成。接下来您就知道您已经获得了 PDR。
PDR 的五个治疗目标
1. 整合
我们不仅谈论供应商,还谈论工具和工作流程整合。您在过去 3-5 年中作为独立功能购买的大多数新安全技术已由希望通过添加相邻功能来占领市场份额的供应商配对或集成。在寻求整合能力时,请确保您了解什么是“足够好”与“一流”。如果您要整合供应商,请选择首先致力于可扩展性和集成的供应商。
2. 主动安全
不要仅仅对威胁做出反应,而要关注主动措施。通过投资暴露管理来减少攻击面。建立一个包含代码分析、攻击面管理、企业检测工程、渗透测试、对手模拟、威胁狩猎和漏洞管理等服务的计划。
3.对云的零信任
您可能想知道零信任如何在检测和响应待办事项列表中赢得一席之地。我认识到分布式(又称联合)企业威胁检测和响应 (TDR) 仍处于成熟阶段。
当前常见的安全场景是存在混合云环境,利用云原生功能,但由于从云超大规模中提取数据的成本高昂,安全团队正在支持两个断开连接的环境。在联合检测和响应工具得到改进之前,最好的通用策略是使用支持业务向云过渡所需的云检测和响应工具,但在采用云原生安全功能时将更多的安全注意力集中在预防上。确保您在遗留环境中努力定义和实施的所有零信任概念也扩展到您的云环境。
4. 战略规划
盘点您当前的 PDR 能力并定义您的未来状态。意识到您的策略可能需要多年才能发挥作用。
5. 威胁管理架构师
任命一名具有技术专业知识和传播安全原则能力的威胁管理架构师。他们应该了解网络弹性的整体概念,其中不仅仅包括备份和恢复,还包括预测和准备威胁,同时保持业务连续性。
寻求 PDR 专业人士的帮助
如果 PDR 深深植根于您的组织中,请考虑寻求 PDR 专业人员的专业知识。寻找具有先进能力的专业人士,他们可以增强您现有的投资,而不是推动新软件的采用。他们应该提供一系列服务,包括应用程序和数据库安全性,并精通云环境。确保您选择的 PDR 专业人员能够提供全面的服务组合,涵盖威胁预防到事件响应。
