CrowdStrike:XDR将是战略核心

近日,CrowdStrike在Fal.Con 2022大会上宣布启动以XDR为核心推动技术堆栈整合的新的增长战略。CrowdStrike同时还围绕新战略发布了四个核心产品:

  • CrowdStrike Cloud Security(包括扩展云原生应用程序保护平台(CNAPP)功能、云基础设施权利管理(CIEM)和CrowdStrike资产图集成)
  • Falcon Insight XDR
  • Falcon Complete LogScale
  • Falcon Discover(物联网安全)

根据Cynet的2022年首席信息安全官调查报告,96%的CISO计划整合其安全平台,63%的CISO表示扩展检测和响应(XDR)是他们的首选解决方案。几乎所有首席信息安全官都在其技术路线图上进行了整合,高于2021年的61%。

首席信息安全官们认为,整合技术堆栈有助于避免遗漏威胁(57%)并减少寻找合格安全专家的需求(56%),同时简化了在整个威胁环境中关联和可视化威胁发现的流程(46%)。

Gartner预测,到2025年50%的中端市场安全客户将依靠XDR来加速工作空间安全技术的整合,包括端点、云应用程序和身份安全。

XDR是一个整合引擎

对于XDR的重要性,CrowdStrike联合创始人兼首席执行官George Kurtz指出:“80%的企业从端点和工作负载中获得最大价值的安全数据。虽然攻击发生在网络和其他基础设施中,但现实是人们正在大量利用端点和工作负载的数据。”

Kurtz在主题演讲中指出,在获取和管理安全数据的过程中,XDR的核心价值是提供威胁检测、事件响应和补救的集成平台,对云平台、应用程序、端点和网络(包括远程传感器)进行实时监控和提高可见性。

Kurtz强调,来自遥测、端点、资产和身份(人类和机器)的数据已经超出了当今最先进的企业网络安全技术堆栈的处理能力范围,这使得XDR在改进和整合安全技术堆栈方面不可或缺。

Kurtz将XDR定义为:“XDR建立在端点检测和响应(EDR)的基础上。XDR将企业范围内的可见性扩展到所有关键安全领域(本地和第三方),以加速和简化对最复杂攻击的实时检测、调查和响应。”

XDR是CrowdStrike未来的核心,Kurtz再次强调。

收购Reposify加速整合外部攻击面管理

保护内部攻击面是一项艰巨的任务,即使是最先进的IT和安全运营团队也经常面临挑战。根据CrowdStrike的2022年全球威胁报告,内部威胁可以使用被盗凭证攻击身份访问管理(IAM)或特权访问管理(PAM)系统的核心,并在短短1小时24分钟内控制服务器。内部攻击是最难识别和阻止的威胁。

CrowdStrike对Reposify的收购为Falcon增加了一个集成的外部攻击面管理平台。Reposify能够扫描Web查找企业在线暴露的资产,并帮助企业确定他们需要采取何种行动来修复。值得注意的是,CrowdStrike还宣布将使用Reposify的技术来阻止内部攻击。

“Reposify是一个强大的外部攻击面管理平台。它能扫描互联网上的漏洞并暴露资产以识别和消除整个组织的风险,”Kurtz指出:“但我们同样可以在内部使用它,帮助企业了解内部风险,找到那些暴露的资产,在攻击者破坏基础设施之前实时识别影子IT和内部威胁风险。”

云端整合策略为何有效

Gartner发现,目前正在推行供应商整合战略的企业中,85%的企业的安全供应商数量相比去年并未减少,而是持平或增加。

人才短缺和企业经营面临的通膨压力都对CrowdStrike的整合战略有利。在当前经济环境中,很多CISO不愿意为新方案雇用新工程师,同时安全运营团队人手紧缺,团队成员经常有多项任务,很难让他们花时间去学习使用一个单独的“最佳产品”。

作为其云端整合策略的一部分,CrowdStrike的22个安全功能模块都遵循统一的用户体验(UX)和工作流标准,在此基础上进行快速的产品迭代。这种方法类似Salesforce定义通用用户体验,然后让所有合作伙伴和内部开发运营团队共同遵循。因此很多业界人士也将CrowdStrike称为网络安全市场的Salesforce。

Kurtz指出,云架构带来了更大的UX和UI灵活性,使API与传统的本地系统集成成为可能。

IAM和PAM注定合并

面对不堪重负的安全运营团队,网络攻击者往往选择将IAM和PAM系统作为突破口,以控制存储着身份和特权访问凭证的服务器,因此IAM和PAM市场存在整合需求。更紧迫的压力来自机器身份的快速增长,以及保护临时容器的需求。

Kurtz认为,PAM和IAM系统相对独立的企业可能会在不知情的情况下面临漏洞威胁。企业需要改进其IAM基础设施,将系统更新到最新标准,同时改进安全最佳实践,包括凭据管理和强化Active Directory (AD)的安全性。

最重要的是,PAM和IAM的整合将改进对身份攻击技术的实时监控,同时改进安全访问控制。总之,IAM与PAM整合将实现必要的实时可见性,同时充分利用企业范围内的威胁情报,这些都是在单一平台上整合IAM和PAM的显著优点。

前一篇澳大利亚在发生大规模数据泄露后将全面修订隐私法
后一篇全球中大型企业平均每天处理51起安全事件