Объяснение XDR и его компонентов — «Открытый XDR против родного XDR»
11 марта 2022 г.Ключевые компоненты XDR и различия между ними
Расширенное обнаружение и реагирование, придуманное Palo Alto Networks в 2018 году, представляет собой эволюцию обнаружения и реагирования конечных точек, но определения значительно различаются. Cybereason предсказал, что более двух третей компаний будут инвестировать в XDR в течение следующего года. Поскольку инерция рынка растет, самое время рассмотреть различные XDR.
У компаний есть несколько вариантов продуктов расширенного обнаружения и реагирования (XDR). Но в целом существует в основном два типа XDR — открытый и нативный или гибридный и закрытый. Поскольку XDR все еще является новорожденным, дальнейшее выделение типов XDR не помогло бы, но запутало бы целевых пользователей.
Что такое XDR? У каждого свой ответ
Как следует из названия, инструменты XDR представляют собой расширение традиционных платформ EDR. Придуманный Ниром Зуком, техническим директором Palo Alto Networks, в 2018 году XDR стремится разрушить традиционные разрозненные хранилища и обеспечить обнаружение и реагирование на все данные. источники. Таким образом, согласно Palo Alto Networks:
- «XDR обеспечивает гораздо более надежное представление о сетях, облачных рабочих нагрузках, серверах и конечных точках. Одно из ограничений, которое мы видим при сосредоточении внимания исключительно на EDR (конечные точки) по сравнению с XDR (конечные точки, облако, сети и т. д.), заключается в том, что требуется, чтобы группа безопасности выполняла работу вручную, которую XDR автоматизирует».*
В то время как его конкурент, Checkpoint, сказал другое. Не упоминая EDR, они определили XDR в сообщении на своем веб-сайте:
«Решения XDR обеспечивают прозрачность всей инфраструктуры организации, включая конечные точки, облачную инфраструктуру, мобильные устройства и многое другое»,
«Эта единая панель обзора и управления упрощает управление безопасностью и применение согласованных политик безопасности на предприятии».
Интересно, что аналитические фирмы смотрят на XDR под другим углом; Gartner описал XDR как:
«Инструмент обнаружения угроз безопасности и реагирования на инциденты на основе SaaS, ориентированный на конкретного поставщика, который естественным образом интегрирует несколько продуктов безопасности в единую систему обеспечения безопасности».
Кажется, что ни у кого из них нет единого определения одного и того же термина XDR, но все они говорили о таких вещах, как «интеграция», «видимость» и «управление». давайте сделаем еще один шаг, чтобы изучить определение.
XDR как расширение EDR
Одна школа XDR заявила, что это эволюция обнаружения и реагирования на конечных точках (EDR). В основном это поставщики систем безопасности, которые вложили значительные средства в продукты EDR и стремятся расширить возможности телеметрии для обеспечения максимальной видимости в среде. Примеры этой школы XDR включают:
- Crowdstrike Falcon XDR,
- Trend Micro Vision ONE.
EDR выявляет бреши в системе безопасности по мере их возникновения на рабочих станциях и других конечных устройствах. Благодаря XDR компании получают аналитику и телеметрию за пределами конечных точек. XDR на основе SaaS собирает данные об угрозах из сети, облака, серверов, систем электронной почты и других инструментов безопасности, таких как:
- Управление идентификацией и доступом (IAM),
- Межсетевой экран,
- Система предотвращения вторжений (IPS) и
- Брокер безопасности облачного доступа (CASB).
Поскольку все собранные данные загружаются на единую платформу, группы безопасности полностью игнорируют ландшафт угроз. Кроме того, с помощью машинного обучения (ML) и поведенческого анализа XDR предоставляет возможности автоматического реагирования, что позволяет службам безопасности быстрее реагировать на угрозы.
XDR как обновление SIEM на основе SaaS
Что происходит со всеми другими поставщиками систем безопасности, у которых нет продуктов Endpoint? Затем XDR становится еще одним набором инструментов.
Gartner описал XDR как:
«Инструмент обнаружения угроз безопасности и реагирования на инциденты на основе SaaS, ориентированный на конкретного поставщика, который естественным образом интегрирует несколько продуктов безопасности в единую систему обеспечения безопасности».
Согласно Gartner, четыре основные функции системы XDR:
- Набор типовых продуктов безопасности, интегрированных «из коробки»
- Централизация и нормализация данных в центральном хранилище для анализа и запросов
- Повышенная чувствительность обнаружения за счет согласованной работы продуктов безопасности.
- Коррелированные возможности реагирования на инциденты, которые могут изменить состояние отдельных продуктов безопасности в рамках процесса восстановления.
Вторая школа XDR, как и решения SIEM и SOAR, предназначена для интеграции с широким спектром средств безопасности и ИТ-инструментов. Тем не менее, XDR отличается от продуктов SIEM и SOAR уровнем встроенных интеграций, доступных при развертывании, и фокусом на случаях использования для обнаружения угроз и реагирования на инциденты.
Несмотря на то, что продукты SIEM существуют уже давно, многие организации не полностью развернули инструменты SIEM. Или они используют SIEM только для хранения журналов и соблюдения требований.
Примеры продуктов этой школы XDR включают:
- Exabeam Fusion XDR и
Многие организации считают, что использование SIEM для обнаружения угроз и реагирования на них требует значительных ресурсов, и невозможно справиться с возникающими угрозами. Часто группы безопасности перегружены чрезмерными, нескоординированными предупреждениями, которые слишком часто остаются без внимания. Им трудно разрабатывать правила обнаружения и применять контекстуальные индикаторы для объединения нескольких сигналов или обеспечения полной возможности реагирования на инциденты.
Таким образом, некоторые поставщики считали, что они специально создавали продукты XDR, чтобы устранить этот пробел. Они сосредоточены на обеспечении эффективного обнаружения и реагирования на целевые и сложные атаки по всей поверхности атаки, включая встроенную поддержку UEBA, анализ угроз и аналитику.
В некоторых случаях XDR может стать экономичной и гибкой альтернативой SIEM, особенно тем, которые построены на основе современных облачных озер данных. В этих случаях XDR может предложить экономичное, всегда актуальное хранилище данных в сочетании с расширенной аналитикой , что служит полной заменой SIEM.
Объединение обеих школ
В идеале группы безопасности используют XDR для улучшения обнаружения угроз, расследования и реагирования на них. С добавлением XDR они могут быть более активными и менее реагировать на потенциальные угрозы. Независимо от того, покупает ли компания XDR как супер EDR или SIEM; он должен быть в состоянии смягчить:
- низкая эффективность обнаружения
- высокий уровень ложноположительных результатов
- множество оповещений для центра безопасности
- время, потраченное на устранение угроз
В большинстве компаний расследования нарушений безопасности занимают слишком много времени. Службы безопасности могут реагировать либо быстро, либо полностью, но одновременно делать и то, и другое очень сложно.
XDR может решить эти проблемы путем объединения нескольких продуктов безопасности в единую платформу обнаружения и реагирования на инциденты безопасности, которая помогает, предоставляя контекст и видимость каждого инцидента. Кроме того, в нем рассматривается недостающее звено между обнаружением и реагированием — «расследование инцидента».
Это позволяет использовать практический подход к автоматизированному реагированию с помощью SOAR и сценариев исправления. Кроме того, некоторые инструменты XDR предлагают прямую интеграцию с SOAR, повышая эффективность этих инструментов, а некоторые разрабатывают встроенные возможности реагирования.
Открытый XDR против собственного XDR
По мере появления рынка XDR мы наблюдаем создание двух разных стилей XDR — Open XDR и Native XDR. Open XDR ориентирован на сторонние интеграции, а Native XDR предоставляет универсальную платформу.
Что такое Open XDR?
Изображение с сайта maxpixel.net | CC0
Forrester определяет гибридный XDR как:
- «Платформа XDR, которая опирается на интеграцию с третьими лицами для сбора других форм телеметрии и выполнения ответных действий, связанных с этой телеметрией».*
Во-первых, «Open XDR» не означает инструменты с открытым исходным кодом. Вот почему некоторые организации предпочитают гибридный XDR, а не Open XDR, а продукты Open XDR в первую очередь предназначены для интеграции с другими инструментами аналитики безопасности.
Вместо того, чтобы разрывать и заменять существующие инструменты безопасности, пользователи работают с основным продуктом XDR, который подключается к существующей настройке и обеспечивает плоскость централизованного управления. Примеры продуктов Open XDR включают:
- Exabeam Fusion XDR и
Как пояснил инсайдеры кибербезопасности, Open XDR работает с инструментами, которые организации уже используют. вложили капитал и усилия, поэтому команды безопасности могут продолжать использовать эти технологии без необходимости их замены. Кроме того, открытый XDR может использовать несколько инструментов безопасности, поставщиков и типов телеметрии, интегрированных в единую платформу обнаружения и реагирования, централизующую анализ поведения.
Одним из недостатков является то, что компаниям необходимо убедиться, что выбранный ими инструмент Open XDR имеет достаточно интеграций. Нестандартные продукты безопасности или продукты, которые служат конкретным потребностям, могут остаться на обочине. Продавцы не могут создавать ссылки для всех продуктов.
Что такое Native XDR?
Изображение Ивана Радича с flickr.com | (CC BY 2.0)
Forrester определяет собственный XDR как:
- «Комплект XDR, который интегрируется с другими инструментами безопасности из их портфолио для сбора других форм телеметрии и выполнения ответных действий, связанных с этой телеметрией».*
Для собственного XDR предложения поставщиков собирают все данные телеметрии. Примеры собственных платформ XDR включают:
Собственный компонент XDR интегрируется с остальными продуктами безопасности этого поставщика. В результате специалистам по безопасности не нужно беспокоиться об интеграции, поскольку вся аналитика и обнаружение угроз выполняются на одной платформе. Однако внедрение Native XDR может оказаться сложной задачей, поскольку группам безопасности необходимо настроить существующие инструменты в пользу одной новой и полной платформы. Кроме того, недостатком является отсутствие сторонних возможностей интеграции.
Платформа Native XDR не может взаимодействовать с решениями, предлагаемыми ее поставщиком. Это бремя вряд ли побудит организации отказаться от своих существующих инвестиций в безопасность и заменить их аналогами поставщика, поскольку они потеряют деньги в этом процессе.
Заключительные слова — Еще один тип XDR
В недавнем опросе Enterprise Strategy Group (ESG):
- 73% ИТ-специалистов и специалистов по безопасности заявили, что в их организациях уже есть поставщик управляемого обнаружения и реагирования (MDR) или
- находятся в процессе работы над внедрением услуг MDR
- Более половины этих респондентов выразили мнение, что поставщик MDR может лучше справляться с обнаружением угроз и реагированием на них для своей организации, чем они могли бы делать это самостоятельно.
Еще один шаг — это управляемый XDR или MXDR. В идеале MXDR не просто предоставляет управляемую услугу. Это также расширяет навыки существующих сотрудников, функциональность, которая помогает упростить все процессы и операции безопасности, сокращая количество ручных задач.
В конце концов, по мере развития XDR количество типов XDR будет сужаться.
Самым большим препятствием для XDR в 2021 году является то, что потенциальные клиенты не понимают его и то, как он помогает службам безопасности. Поэтому поставщики должны показать группам безопасности, чем XDR отличается от EDR, SIEM и SOAR. Благодаря большему количеству отзывов и внедрению вариантов использования мы, наконец, увидим более точное направление того, каким станет XDR в 2022 году.
Спасибо за чтение. Да пребудет с вами информационная безопасность🖖.
Также опубликовано [Здесь] (https://vocal.media/01/xdr-explained-open-xdr-vs-native-xdr)
Оригинал