+48 22 439 03 20 biuro@greeneris.com
W branży cyberbezpieczeństwa można spotkać się z wieloma skrótami i akronimami. Na skutek powstawania co raz to nowszych zagrożeń pochodzących z różnych wektorów, wiele organizacji skłania się ku rozwiązaniom typu Extended Detection and Response, w skrócie XDR. I chociaż rozwiązania XDR zyskały mocno w ostatnim roku to jednak wziąć ewoluują i powstaje wokół nich wiele dyskusji.

  • Co to jest XDR?
  • Czym XDR różni się od EDR?
  • SIEM i SOAR – czy to jest to samo?

Jako lider na rynku EDR i pionier w rozwijającej się technologii XDR, często jesteśmy proszeni i wyjaśnienie różnic pomiędzy tymi dwoma systemami. Ten post ma na celu odpowiedzieć na wiele pytań dotyczących różnic pomiędzy systemami EDR, XDR, SIEM i SOAR.

Co to jest jest EDR?

EDR umożliwia organizacjom monitorować punkt końcowe pod kątem podejrzanego zachowania i rejestrować każdą aktywność czy zdarzenie. System następnie koreluje te informacje w celu wykrycia występowania zaawansowanych zagrożeń, gdzie następnie uruchamia zautmatyzowane działania mające na celu zatrzymanie zagrożenia. Tego typu akcją może być uruchomienie skryptu czy też odizolowanie hosta z sieci.

Co to jest jest XDR?

XDR to rozwinięcie systemu EDR. Podczas gdy EDR zbiera i koreluje dane z punktów końcowych, XDR rozszerza ten zakres poza punkty końcowe, zapewniając wykrywanie i analizę informacji także w sieciach, serwerach, chmurze, SIEM i wielu innych. Takie podejście zapewnia ujednolicony widok na pełne spektrum możliwych wektorów ataku.

XDR automatycznie zbiera i koreluje dane z wielu wektorów, umożliwiając szybsze wykrywanie zagrożeń, co z kolei pomaga zespołom ds. bezpieczeństwa na szybszą reakcję. Przygotowane integracje i wstępnie dostrojone mechanizmy wykrywania w wielu różnych produktach i platformach pomagają zwiększyć produktywność, wykrywanie zagrożeń i analizę.

Upraszczając, XDR wykracza poza punkty końcowe, aby móc podejmować decyzje na podstawie większej ilości danych i podejmować akcje w całym środowisku oddziałując na pocztę, sieć, tożsamość i inne elementy.

Czym różni się XDR od SIEM?

Kiedy mówimy o XDR, wiele osób myśli, że jest to technologia rozszerzająca możliwości SIEM, czyli narzędzia do zarządzania informacjami i zdarzeniami bezpieczeństwa. Jednak XDR i SIEM to dwie odrębne technologie.

System SIEM zbiera, analizuje i przechowuje duże ilości danych z całego środowiska organizacji. SIEM to bardzo rozbudowane narzędzie, które oprócz gromadzenia danych z niemal każdego źródła w organizacji, oferuje także zarządzanie nimi, dopasowywanie wzorców, mechanizmy heurystyczne wykrywania, UEBA czy też wykrywanie wskaźników IOC.
Należy jednak pamiętać ze SIEM wymaga dużego wysiłku wdrożeniowego, gdzie ważne jest odpowiednie dopasowanie do środowiska. Analitycy mogą być przytłoczeni liczbą danych, powodując że pewne alerty będą pomijane. Ponadto SIEM to nadal pasywne narzędzie analityczne, które nie chroni aktywnie urządzeń w organizacji.

Platforma XDR ma na celu rozwiązać problemy z którymi borykają się systemy SIEM w zakresie skutecznego wykrywania i reagowania na ataki, oferując analizę dynamiczną, profilowanie zachowań, threat intelligence i analitykę.

Czym różni się XDR od SOAR?

Platformy SOAR czyli Security Orchestration & Automated Response są często używane przez zespoły bezpieczeństwa i służą do tworzenia i uruchamiania wieloetapowych playbooków, które automatyzują działania w ekosystemach rozwiązań bezpieczeństwa poprzez interfejs API. Z kolei XDR umożliwia integrację za pośrednictwem Marketplace i zapewnia mechanizmy automatyzacji prostych akcji.
SOAR to narzędzie skomplikowane i kosztowne, wymagające wykwalifikowanego personelu do obsługi i utrzymania. XDR ma być uproszeniem SOAR, prostym, intuicyjnym rozwiązaniem, które zapewni możliwość działania w integracji z innymi rozwiązaniami bezpieczeństwa.

Dlaczego XDR zdobywa popularność?

XDR pozwala zastąpić rozwiązania powodujące „silosowatość” środowiska i pomaga organizacjom rozwiązywać problemy związane z bezpieczeństwem z ujednoliconego punktu widzenia. Dzięki bogatemu zbiorowi danych pochodzących z całego środowiska, XDR umożliwia szybsze, głębsze i bardziej efektywne wykrywanie zagrożeń i reagowanie na nie w porównaniu do systemów EDR.
XDR integruje różne mechanizmy kontroli bezpieczeństwa, aby zapewnić zautomatyzowane lub obsługiwane jednym kliknięciem akcje w zakresie zapewnienia bezpieczeństwa, takie jak blokowanie dostępu, wymuszanie 2FA w przypadku naruszenia, blokowanie domen oraz plików. Wykonuje to poprzez reguł stworzonych przez użytkownika lub poprzez wbudowaną inteligencję reagowania predykcyjnego.
Takie kompleksowe podejście prowadzi do wielu korzyści:

  • Redukcja średniego czasu do wykrycia – MRRD
  • Skrócenie średniego czasu analizy – MTTI
  • Skrócenie średniego czasu odpowiedzi – MTTR
  • Poprawa widoczności w całym obszarze ochrony

Co więcej dzięki sztucznej inteligencji i automatyzacji, XDR pomaga zredukować potrzebny czas do obsługi przez personel. Rozwiązanie XDR może proaktywnie i szybko wykrywać zaawansowane i nowoczesne zagrożenia, zwiększając produktywność personelu i przynosząc wiele korzyści w przedsiębiorstwie.

SentinelOne

Singularity XDR Platform