面對疫情的反復(fù)無常和遠(yuǎn)程辦公的常態(tài)化,大多數(shù)CISO及其團(tuán)隊(duì)已經(jīng)重新評估和調(diào)整了安全策略,為居家辦公和虛擬團(tuán)隊(duì)所需的端點(diǎn)安全提供防護(hù),但由于大量企業(yè)的端點(diǎn)安全“負(fù)債”過多,且企業(yè)網(wǎng)絡(luò)攻擊面急速擴(kuò)大,端點(diǎn)安全已經(jīng)成為2022年企業(yè)安全的主要痛點(diǎn)和熱點(diǎn)之一。
端點(diǎn)保護(hù)為有效的安全策略奠定了基礎(chǔ),預(yù)防為先的方法應(yīng)該是企業(yè)端點(diǎn)安全策略的基礎(chǔ)。新技術(shù)推動行業(yè)格局發(fā)生變化。隨著大數(shù)據(jù)、人工智能、云計(jì)算等計(jì)算機(jī)領(lǐng)域的快速發(fā)展,終端與網(wǎng)絡(luò)的邊界開始擴(kuò)張,各類應(yīng)用和數(shù)據(jù)愈加復(fù)雜,數(shù)據(jù)泄密風(fēng)險顯著提升。產(chǎn)業(yè)進(jìn)入安全應(yīng)用場景爆炸期,針對信息化的安全防護(hù)重心出現(xiàn)各類細(xì)分,一方面需要針對泛終端、新邊界、云計(jì)算等新的信息化基礎(chǔ)設(shè)施進(jìn)行安全防護(hù),另一方面,需要圍繞上層的身份、數(shù)據(jù)、應(yīng)用和行為等構(gòu)建新的防御體系,這些領(lǐng)域不論是軟硬件形態(tài),還是技術(shù)路線,都和以往安全行業(yè)所提供的產(chǎn)品存在很大的不同。
本文在以端點(diǎn)為中心的結(jié)果很明確的情況下,將端點(diǎn)保護(hù)“強(qiáng)者”——Cortex XDR 與 CrowdStrike進(jìn)行比較,助力企業(yè)安全體系建設(shè)作出最優(yōu)選擇。
最佳保護(hù)
在未知惡意軟件方面,Cortex XDR的行為威脅防護(hù)功能和AI驅(qū)動的分析在現(xiàn)實(shí)世界的MITRE ATT&CK 評估和AV-Comparatives測試中都優(yōu)于 CrowdStrike。通過跟蹤活動鏈的順序并在這些動作發(fā)生時將情境應(yīng)用于這些動作,行為威脅防護(hù)能夠自動準(zhǔn)確地識別和阻止高度規(guī)避性的復(fù)雜攻擊。結(jié)合基于技術(shù)的漏洞利用防護(hù)、全球威脅情報和云輔助分析,Cortex XDR可提供更好、更強(qiáng)大的保護(hù)。CrowdStrike 對基于哈希的保護(hù)和IoC的依賴只側(cè)重于已知攻擊和事后檢測。
明顯優(yōu)越的檢測
在檢測和可視性方面,Cortex XDR豐富的遙測收集和廣泛的基于云的分析檢測模塊可識別整個攻擊生命周期中的惡意活動,并為分析師提供解決問題所需的數(shù)據(jù)。而在MITRE第4輪中,CrowdStrike在109次分析檢測中僅發(fā)現(xiàn)了94次,其中還有11次延遲檢測。延遲可能會產(chǎn)生重大后果。實(shí)時檢測意味著更快的響應(yīng)時間,以及對企業(yè)的影響更小。
更快、更完整的調(diào)查和響應(yīng)
Cortex XDR自動將警報分組到事件中,提供威脅建模,收集完整的情境并構(gòu)建時間線和攻擊序列,從而了解攻擊的根本原因和影響。客戶研究表明,Cortex XDR可以將安全警報減少 98% 以上*,并將調(diào)查時間縮短88%。**此外,一鍵修復(fù)可加速所有受影響端點(diǎn)的攻擊恢復(fù)。CrowdStrike更多地依賴分析師來調(diào)查攻擊并從攻擊中恢復(fù)。事件單獨(dú)呈現(xiàn),響應(yīng)單獨(dú)完成,補(bǔ)救手動完成,自動化程度有限。最終的結(jié)果可能是更多的風(fēng)險、更低的效率和延遲的恢復(fù)。
*基于對Cortex XDR客戶環(huán)境的分析。
**Palo Alto Networks SOC分析顯示調(diào)查時間從40分鐘減少到5分鐘。
Palo Alto Networks Cortex XDR®的端點(diǎn)保護(hù)在獨(dú)立第三方評估中始終優(yōu)于CrowdStrike EDR。
在MITRE ATT&CK第3輪評估中,Palo Alto Networks Cortex XDR®阻止了100%的攻擊,而 CrowdStrike只阻止了 70%。
在MITRE ATT&CK第4輪評估中,Cortex XDR以 98%的技術(shù)級檢測率領(lǐng)先于CrowdStrike的71%,再次證明了其在端點(diǎn)保護(hù)和檢測方面的領(lǐng)先地位。