Wraz z rozwojem oprogramowania ransomware, ataków bezplikowych i phishingu, liderzy IT i bezpieczeństwa zwracają się ku nowemu podejściu do przeciwdziałania zaawansowanym zagrożeniom: Extended Detection and Response (XDR).

Chociaż wśród liderów branży, społeczności analityków i ekosystemu dostawców jest dużo szumu, XDR jest wciąż ewoluującą koncepcją i jako taka pojawia się wiele ważnych pytań, które mogą brzmieć zaskakująco prymitywnie:

    „Co oznacza XDR?”

    „Czym różni się XDR od technologii i koncepcji, które pojawiły się przed nim?”

    „Jakie są zalety XDR?”

Proste, ale ważne pytania, które pomogą zrozumieć koncepcję.

Jako jeden z protoplastów XDR, w Sophos często jesteśmy proszeni o wyjaśnienie tematu. Przeczytaj nasz poniższy artykuł, aby zapoznać się z omówieniem niektórych z najczęściej zadawanych pytań dotyczących XDR.

Aby zapoznać się z opisem platformyi XDR przez firmę Gartner, zapraszamy do pobrania bezpłatnej  kopii raportu „Innovation Insight for Extended Detection and Response”.

 Zapoznaj się również z artykułem „Zrozumieć XDR – najnowszą ewolucję w wykrywaniu zagrożeń i reagowaniu na nie”


Co oznacza XDR?

Obecnie w użyciu są trzy powszechne interpretacje XDR.

Firmy analityczne, takie jak Gartner i Forrester, opisują to jako „rozszerzone wykrywanie i reagowanie”. „Rozszerzone” oznacza, że ​​jego zakres wykracza poza punkt końcowy, łącząc dane bezpieczeństwa z wielu źródeł.

Inna interpretacja jest taka, że ​​„X” oznacza wykrywanie i odpowiedź „międzywarstwową” lub „międzyproduktową”; chodzi tutaj o to, że dane są łączone z wielu produktów lub warstw bezpieczeństwa.

Trzecia interpretacja polega na spojrzeniu na „X” jako rodzaj zmiennej matematycznej zastępującej wszelkie źródła danych, które można podłączyć do równania (np. urządzenie końcowe, sieć, chmura, przesyłanie wiadomości itp.).

 

Co to jest XDR?

Czy XDR to produkt? Platforma? Serwis? Odpowiedź brzmi: tak.

XDR może być spakowany i dostarczony jako narzędzie lub zestaw narzędzi, które Ty i Twój zespół wdrażacie, administrujecie i obsługujecie, lub jako usługa zarządzana świadczona przez zespół ekspertów korzystających z zastrzeżonego lub wyselekcjonowanego stosu technologicznego.

 

Można go nawet zaimplementować w modelu hybrydowym, w którym niektórymi funkcjami zarządza wewnętrzne centrum operacji bezpieczeństwa (SOC), a innymi zewnętrzny zespół specjalistów. Dlatego ze względu na prostotę najłatwiej jest myśleć o XDR jako podejściu, które może przybierać różne formy.

Mając to na uwadze, prostą definicją XDR byłoby:

Podejście, które ujednolica informacje z wielu produktów zabezpieczających, aby zautomatyzować i przyspieszyć wykrywanie, badanie i reagowanie na zagrożenia w sposób, którego nie mogą zapewnić pojedyncze rozwiązania punktowe.

Jeśli śledzisz Sophos przez jakiś czas, ta definicja może brzmieć znajomo i nie bez powodu. Jedną z mocnych stron produktów Sophos w ciągu ostatnich kilku lat jest Synchronized Security: zestaw funkcji, które umożliwiają urządzeniom końcowym, sieci, smartfonom, Wi-Fi, e-mail i produktom szyfrującym udostępnianie informacji w czasie rzeczywistym i automatyczne reagowanie na incydenty.

Jednym z takich przykładów Synchronized Security jest Security Heartbeat ™, funkcja uznana w raporcie Gartner 2020 Magic Quadrant dla zapór sieciowych, która umożliwia XG Firewall i urządzeniom końcowym, zabezpieczonym przez Intercept X, komunikowanie się ze sobą, aby zapobiec rozprzestrzenianiu się zagrożeń w sieci lub poza nią.

XDR reprezentuje ewolucję funkcji Synchronized Security w szybko rozwijającą się kategorię rynkową, jaką jest obecnie.

 

Czym różni się XDR od SIEM lub SOAR?

XDR to kolejny akronim, który można dodać do aktualnego alfabetu terminologii związanej z bezpieczeństwem. Dobra wiadomość jest taka, że ​​jeśli znasz już te terminy, nie jest przesadą, aby zobaczyć, gdzie XDR poprawia schemat.

XDR ma wiele podobieństw funkcjonalnych z narzędziami SIEM (zarządzanie informacjami o bezpieczeństwie i zdarzeniami) i SOAR (orkiestracja zabezpieczeń, automatyzacja i reagowanie). Niektórzy mówią nawet o XDR jako o swego rodzaju duchowym następcy SIEM i SOAR.

Podstawowe różnice sprowadzają się jednak do podstawowego celu narzędzi SIEM i SOAR oraz skupienia się XDR na wykrywaniu zagrożeń i reagowaniu na nie. Podstawową właściwością, dzięki której narzędzia SIEM są cenne, jest ich zdolność do gromadzenia i analizowania zdumiewających ilości zdarzeń w dziennikach i innych danych z różnych źródeł.

Ponownie, jest to funkcjonalnie podobne do tego, co osiąga się dzięki XDR. Ale podczas gdy SIEM to przede wszystkim narzędzie do wyszukiwania - wymagające od użytkowników zadawania wielu pytań (często na różne sposoby) i gromadzenia odpowiedzi w celu wyciągnięcia wniosków - XDR jest w stanie automatycznie reagować na zagrożenia lub, w przypadkach, gdy automatyczna odpowiedź nie może być przeprowadzane, przyspieszając prowadzone przez analityków poszukiwania zagrożeń i dochodzenia w celu skrócenia czasu reakcji.

Podobnie, chociaż platformy SOAR mogą dodawać pomoc maszynową dla operatorów bezpieczeństwa poprzez tworzenie playbooków (tj. przepływów logicznych, które mogą wyzwalać akcje skryptowe, gdy zostaną spełnione określone warunki), nie utworzą tych procesów lub przepływów pracy za Ciebie.

Tak więc, chociaż SOAR może pomóc w zarządzaniu alertami, wymaga znacznych początkowych inwestycji we wdrażanie, a także bieżącego utrzymania (dostrajania) wykonywanego przez doświadczonych analityków bezpieczeństwa w celu w celu zbudowania skutecznego zarządzania przypadkami i skryptów (playbooks) reagowania na incydenty.

Czy podejście XDR można osiągnąć za pomocą SIEM lub SOAR lub ich kombinacji? Na pewno. Ale wypełnienie luk w funkcjonalności wymagałoby znacznych inwestycji w narzędzia, ludzi i procesy.

 

Jaki jest wpływ XDR na biznes?

W przypadku liderów w zakresie bezpieczeństwa, IT i zarządzania ryzykiem, funkcje XDR zmniejszają złożoność konfiguracji zabezpieczeń, wykrywania zagrożeń i reagowania, umożliwiając organizacjom zapobieganie skutecznym atakom ze strony zaawansowanych adwersarzy.

Podobnie XDR szybko zyskał uznanie wśród najwyższej kadry zarządzającej (C-suite) za zapewnienie dokładniejszych funkcji wykrywania i zapobiegania przy niższym całkowitym koszcie posiadania (TCO).

Klienci twierdzą, że bez funkcji podobnych do XDR, które są dostępne dzięki Synchronized Security, musieliby podwoić liczbę pracowników ds. bezpieczeństwa, aby utrzymać ten sam poziom ochrony. Mówią nam również, że doświadczają mniej incydentów związanych z bezpieczeństwem i mogą szybciej identyfikować i reagować na pojawiające się problemy.

XDR, dostarczany jako produkt lub usługa zarządzana, spodoba się liderom bezpieczeństwa i IT dysponującym ograniczonymi zasobami, którzy dążą do obniżenia całkowitego kosztu i złożoności programu bezpieczeństwa oraz ulepszenia możliwości wykrywania zagrożeń i reagowania na nie.

 

Co dalej z Sophos XDR?

W nadchodzących tygodniach będziemy informować o kolejnych etapach rozwoju Sophos XDR. W międzyczasie wypróbuj jeden z kluczowych składników XDR, wykrywanie i reagowanie na urządzeniach końcowych (EDR), korzystając z bezpłatnej wersji próbnej programu Intercept X.

 

Przeczytaj bezpłatny raport!

„Podstawową propozycją produktu XDR jest zwiększenie produktywności operacji bezpieczeństwa oraz zwiększenie możliwości wykrywania i reagowania poprzez włączenie większej liczby komponentów bezpieczeństwa w ujednoliconą całość, która oferuje wiele strumieni telemetrii, prezentując opcje dla wielu form wykrywania i jednocześnie umożliwiając wiele metod odpowiedzi."

Gartner, „Innovation Insight for Extended Detection and Response” (2020)

Gartner Innovation Insight for Extended Detection and Response, Peter Firstbrook, Craig Lawson, 19 marca 2020 r

Firma Gartner nie promuje żadnego dostawcy, produktu ani usługi przedstawionych w swoich publikacjach badawczych i nie zaleca użytkownikom technologii wybierania tylko tych dostawców, którzy mają najwyższe oceny lub inne oznaczenia. Publikacje badawcze firmy Gartner zawierają opinie organizacji badawczej firmy Gartner i nie powinny być interpretowane jako stwierdzenia faktów. Firma Gartner zrzeka się wszelkich gwarancji, wyraźnych lub dorozumianych, w odniesieniu do tych badań, w tym wszelkich gwarancji przydatności handlowej lub przydatności do określonego celu.

GARTNER jest zastrzeżonym znakiem towarowym i usługowym firmy Gartner, Inc. i / lub jej podmiotów zależnych w Stanach Zjednoczonych i na całym świecie i jest używany w niniejszym za zgodą. Wszelkie prawa zastrzeżone.

 

Oryginalna treść artykułu, którego autorem jest Eric Kokonas z firmy Sophos: https://news.sophos.com/en-us/2021/02/12/what-is-extended-detection-and-response-xdr-common-questions-answered/

Zapoznaj się również z artykułem „Zrozumieć XDR – najnowszą ewolucję w wykrywaniu zagrożeń i reagowaniu na nie”

__________________________________________________

Zainteresowały Cię rozwiązania Sophos?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl