扩展检测和响应：零信任安全的核心要素

面对不断增长的攻击面，扩展和增强威胁检测和响应能力是XDR在安全功效方面的主要结果。这一成果不仅有助于全面保护，而且有助于更好地实施零信任安全。

默认情况下，这种方法不信任任何用户或任何设备，只允许访问需要的资源。为了更好地了解零信任和 XDR 的共同点以及它们如何相互补充，让我们更深入地了解一下。

什么是零信任？

传统上，公司在保护基础设施时采用“周边保护”的概念。该术语意味着彻底检查外部与公司资源的任何连接。边界内的区域被认为是可信的；用户、设备和应用程序在那里有一定的行动自由。

只要可信区域仅限于本地网络和与其连接的固定设备，外围保护就是有效的。然而，随着组织及其员工使用的移动设备和云服务数量不断增加，边界的概念现在变得模糊。

“零信任”的概念是由 Forrester 研究分析师 John Kindervag 提出的，作为“边界保护”的替代方案。他建议不要将资源分为外部和内部，并考虑所有区域可能不可信。

在此模型下，用户、设备和应用程序每次需要访问任何公司资源时都需要接受验证。

虽然没有单一的方法来部署零信任安全，但构建这样的系统有一些基本原则：

不是周边，而是表面保护：这包括组织为保护自身免受未经授权的访问而必须采取的一切措施：机密数据、基础设施元素、内部应用程序等。

微观细分：企业网络和其他资源被划分为小节点，这些节点甚至可能由单个设备或应用程序组成。这使得用户能够灵活地管理访问并消除网络内不受控制的威胁传播。

最小特权原则：每个用户都被授予执行其任务所需的完全相同的权限。这样，如果单个用户的帐户遭到黑客攻击，可能会危及部分资源，但不会危及整个基础设施。

验证：根据零信任概念，每当试图访问公司信息时，就隐含着潜在的威胁。因此，对于每个会话，用户必须完成身份验证过程并确认他们有权访问他们正在执行的任务所需的特定数据。

完全控制：为了有效实施零信任模型，IT 部门必须能够管理所有工作设备和应用程序。

通过 XDR 提供全面保护

公司使用多种网络安全解决方案来保护端点、网络和其他资产免受网络威胁，但通常很难同时有效地管理所有这些解决方案。这就是信息安全专业人员可能错过重要安全警报或跳过它们，从而增加遭受攻击的可能性的原因之一。

XDR 可以解决这个问题，因为它聚合和关联来自所有这些多个来源的数据，并提供潜在威胁的统一视图。通过识别和调查 IT 基础设施不同层的可疑活动，XDR 可以帮助组织更有效地检测和响应高级和持续威胁。

XDR 的最大优势是节省时间，这是网络弹性方面的一个关键因素。为了实现这一目标，遥测数据是在机器学习算法和行为分析的帮助下收集的。XDR 使用来自端点保护平台的信息，仅提取那些需要分析潜在异常和威胁的元素，以无与伦比的准确性和速度简化并促进对潜在恶意活动的及时分析。因此，安全团队可以更快地按严重程度对威胁数据进行优先级排序。

XDR 在实现零信任安全方面的作用

当一起使用时，零信任和 XDR 可以提供针对网络威胁的强大防御。零信任有助于防止对资源和应用程序进行未经授权的访问，或者在条件发生变化时撤销已授予的访问权限，而 XDR 有助于检测和响应设法绕过这些初始访问控制的潜在威胁。

通过使用 XDR 监控 IT 基础设施中的所有活动，组织可以识别可能表明潜在威胁的可疑活动，并采取主动措施来缓解问题。

如果 XDR 在端点设备上检测到异常活动模式，它可以触发警报，提示零信任在授予对任何资源或应用程序的访问权限之前需要额外的身份验证和授权。这有助于防止威胁在网络内横向传播，同时 XDR 继续监控端点并调查潜在威胁。

零信任和 XDR，完美结合

通过采用零信任方法和实施 XDR 解决方案，公司可以减少事件数量并提高网络安全团队的效率，因为他们面临着各种挑战，包括日益复杂的攻击、全球技能短缺和警报疲劳。