Trở lại năm 2018, CTO của Palo Alto Networks và người đồng sáng lập Nir Zuk đã đặt ra một thuật ngữ mới để mô tả cách thức mà các doanh nghiệp cần để tiếp cận vấn đề an ninh mạng trong những năm tới. Tất nhiên, thuật ngữ đó là phát hiện và phản hồi mở rộng (XDR). Nó mô tả một cơ sở hạ tầng an ninh mạng thống nhất mang lại khả năng phát hiện mối đe dọa điểm cuối, phân tích mạng và khả năng hiển thị (NAV), quản lý truy cập và hơn thế nữa dưới một mái nhà duy nhất để tìm và vô hiệu hóa các mối đe dọa kỹ thuật số trong thời gian thực.
Và tầm nhìn của Zuk về XDR đã chứng minh tính tiên tri. Trong những năm kể từ khi ông đặt ra cụm từ này, các nền tảng tận dụng mô hình XDR đã nổi lên như những nhà lãnh đạo thực tế của ngành công nghiệp an ninh mạng kinh doanh. Tuy nhiên, quy mô và độ phức tạp của chúng đã xếp chúng vào loại sản phẩm ngoài tầm với đối với một số doanh nghiệp.
May mắn thay, cộng đồng nguồn mở – như thường lệ – đã lấp đầy khoảng trống XDR bằng một sản phẩm giá cả phải chăng – vì nó hoàn toàn miễn phí. Nó được gọi là Wazuh và nó cung cấp cho các doanh nghiệp những công cụ cần thiết để xây dựng một giải pháp XDR tùy chỉnh đáp ứng đồng thời nhu cầu về an ninh mạng và ngân sách của họ. Đây là cách thực hiện.
Các tính năng chính của nền tảng XDR
Mặc dù các giải pháp XDR được triển khai đa dạng đi kèm với các bộ tính năng khác nhau, hầu hết các nền tảng XDR đều có một vài điểm chung chính. Chúng bao gồm:
Phân tích dữ liệu và chức năng phát hiện
Phần lớn khả năng phát hiện mối đe dọa được cung cấp bởi các giải pháp XDR ở dạng phân tích dữ liệu. Bằng cách phân tích nhật ký và hiệu suất của các hệ thống chính, thường có thể phát hiện ra các hoạt động bất thường hoặc các mối đe dọa. Để tạo điều kiện thuận lợi cho việc này, các nền tảng XDR thường thực hiện phân tích cả lưu lượng truy cập bên ngoài và bên trong, so sánh hiệu suất và dữ liệu ghi nhật ký dựa trên các cấu hình mối đe dọa đã biết và sử dụng các kỹ thuật máy học để phát hiện các mẫu đe dọa mới nổi, chẳng hạn như các cuộc tấn công zero-day.
Điều tra mối đe dọa và phản ứng tích cực
Nền tảng XDR không chỉ cung cấp cho các doanh nghiệp cách phát hiện các mối đe dọa tiềm ẩn. Họ cũng cung cấp các công cụ để giúp các chuyên gia CNTT điều tra các mối đe dọa đó và triển khai các biện pháp đối phó khác nhau để vô hiệu hóa chúng bằng cách sử dụng các phản ứng tích cực. Để làm được điều đó, hầu hết các nền tảng XDR đều cung cấp một hệ thống cảnh báo tập trung có thể nhóm các cảnh báo nhật ký liên quan từ nhiều hệ thống thành một giao diện người dùng duy nhất. Giao diện người dùng đó cũng có thể giúp quản trị viên phản hồi các cảnh báo bằng cách sắp xếp các phản hồi trên nhiều điểm cuối khác nhau. Sử dụng chức năng đó, quản trị viên có thể cập nhật các chính sách bảo mật trong toàn doanh nghiệp để đối phó với một cuộc tấn công được phát hiện vào một điểm cuối duy nhất.
Khả năng mở rộng và Khả năng tiến hóa
Cuối cùng nhưng không kém phần quan trọng, nền tảng XDR giúp các doanh nghiệp dễ dàng tích hợp các hệ thống, công nghệ và thiết bị đầu cuối mới để giữ cho chúng được bảo vệ. Điều đó có nghĩa là chúng được xây dựng để có khả năng mở rộng và khả năng tương tác với nhiều loại sản phẩm công nghệ dành riêng cho nhà cung cấp khác. Theo cách đó, chúng là một giải pháp tương đối phù hợp với tương lai và phát triển cùng với doanh nghiệp theo thời gian. Nhưng chúng cũng bao gồm các chức năng học máy giúp khả năng phòng thủ của chúng thích ứng với môi trường công nghệ nhất định và cải thiện khi chúng hoạt động.
Cách Wazuh cung cấp chức năng XDR
Điểm nổi bật của phương pháp Wazuh đối với XDR là nó có thể dễ dàng tích hợp với nhiều công cụ bảo mật mã nguồn mở khác. Điều đó có nghĩa là các doanh nghiệp sử dụng nó có thể điều chỉnh hệ thống để phục vụ các nhu cầu cụ thể của họ mà không có bất kỳ thỏa thuận cấp phép phức tạp và tốn kém nào cản trở. Ví dụ: PDQ Deploy để cài đặt phần mềm và bản vá trên máy trạm, AbuseIPDB để phát hiện các địa chỉ IP độc hại liên quan đến việc gửi thư rác, cố gắng lấy cắp dữ liệu và tấn công ddos, và URLhaus để phát hiện các URL độc hại được sử dụng để phát tán phần mềm độc hại.
Nhưng cốt lõi của phương pháp Wazuh XDR nằm ở dạng tác nhân giám sát đa nền tảng của nó. Nó tương thích với hầu hết các thiết bị thông qua hỗ trợ hệ điều hành cấp cao. Điều đó có nghĩa là các doanh nghiệp có thể triển khai nó để bắt đầu thu thập dữ liệu điểm cuối với rất ít tùy chỉnh cần thiết. Các tác nhân đó truyền thông tin hệ thống trở lại máy chủ Wazuh, nơi nó thực hiện nhiều quy trình phát hiện bất thường và phần mềm độc hại trên đó. Bằng cách đó, quản trị viên có được khả năng hiển thị tức thì về bảo mật điểm cuối thông qua giao diện tập trung của máy chủ. Nhưng đó không phải là tất cả.
Thông qua tích hợp với các công cụ như Suricata và OwlH, quản trị viên có được các chức năng phát hiện và hình dung xâm nhập mạng mạnh mẽ. Điều đó mang lại cho họ cùng một loại nhận thức tình huống mà các nền tảng XDR lớn khác cung cấp, nhưng không có thẻ giá liên quan. Và hệ thống thậm chí có thể thực hiện các quy trình phản hồi mối đe dọa tự động dựa trên dữ liệu mạng và điểm cuối – thực hiện hành động để ngăn chặn các cuộc tấn công theo dõi của chúng mà không cần can thiệp thủ công hoặc ít.
Và bởi vì Wazuh là một giải pháp mã nguồn mở, nó cung cấp khả năng mở rộng và khả năng tiến hóa tối ưu. Nó đã có thể tích hợp với các giải pháp học máy tập trung vào bảo mật như Macie của Amazon, mang lại cho nó khả năng giám sát dữ liệu được lưu trữ. Nhưng khả năng tích hợp bổ sung là vô tận. Điều đó có nghĩa là các doanh nghiệp chọn sử dụng Wazuh làm giải pháp XDR sẽ không bị khóa vào một hệ thống học máy cụ thể và họ có thể điều chỉnh khả năng tiến hóa của hệ thống theo nhu cầu của riêng mình.
Các bài học rút ra quan trọng
Có chút nghi ngờ rằng các giải pháp XDR chính ngày nay đại diện cho trạng thái tiên tiến nhất hiện nay trong lĩnh vực an ninh mạng cấp doanh nghiệp. Và cách tiếp cận toàn diện của họ để bảo vệ cơ sở hạ tầng kinh doanh kỹ thuật số có thể cũng đại diện cho tương lai của nó. Đó là bởi vì họ thừa nhận thực tế rằng việc bảo vệ dữ liệu và tài sản của doanh nghiệp có nghĩa là phải có sự minh bạch thực sự đối với các hoạt động của điểm cuối và cho phép phản ứng trên toàn cơ sở hạ tầng đối với các mối đe dọa ngay lập tức.
Mặc dù XDR sẽ không thâm nhập vào thị trường an ninh mạng trong một vài năm do các vấn đề về quy mô, nhưng thực tế là một giải pháp mã nguồn mở như Wazuh tồn tại là một kỳ tích không nhỏ. Nó có khả năng cung cấp chức năng XDR có ý nghĩa và hiệu quả cho các tổ chức thuộc mọi quy mô. Và nó cũng đủ linh hoạt để thích ứng với nhu cầu kinh doanh thay đổi và tích hợp công nghệ mới. Không quá lời khi nói rằng đó là một kẻ thay đổi cuộc chơi thực sự trong không gian an ninh mạng như ngày nay.
Và trên hết – nó miễn phí và đang phát triển với tốc độ nhanh chóng với sự hỗ trợ của cộng đồng mã nguồn mở. Tất cả những gì doanh nghiệp phải làm để tận dụng lợi thế của nó là đầu tư vào một số phần cứng khiêm tốn để phục vụ như một trung tâm điều khiển, hoặc có thể đơn giản là sử dụng Wazuh Cloud. Họ có thể sử dụng Wazuh để tạo ra một hệ thống XDR đặt trước ngang bằng với bất kỳ thứ gì hiện có trên thị trường thương mại.
Và thậm chí tốt hơn, họ sẽ kết thúc với một hệ thống có thể tùy chỉnh và nâng cấp liên tục – có nghĩa là đó là một hệ thống mà các doanh nghiệp có thể đầu tư vào mà không sợ rằng một ngày nào đó nó sẽ lỗi thời và lỗi thời.
Không có nhiều giải pháp trong thế giới an ninh mạng có thể đưa ra tuyên bố như vậy – khiến Wazuh trở thành một thế lực đáng nể trong thị trường XDR.
.
