Im dalej w las… tym bardziej XDR

Home / Aktualności / Im dalej w las… tym bardziej XDR

Czy możemy precyzyjnie odpowiedzieć na atak? Czy możemy w pełni usunąć przeciwnika, nie powodując nadmiernych przestojów w biznesie? Dziś bardziej niż kiedykolwiek organizacje potrzebują nowego podejścia do wykrywania i reagowania na zagrożenia. Podejścia zakładającego zrozumienie i dostosowanie się do nowoczesnego przedsiębiorstwa, które obejmuje: urządzenia, tożsamości, sieć i SaaS.

Odpowiedzią wydaje się być XDR (Extended Detection and Response),nowy trend definiowany jako „specyficzne dla dostawcy narzędzie do wykrywania zagrożeń i reagowania na incydenty, które łączy wiele produktów zabezpieczających w bezpieczny system operacyjny” . Z założenia XDR ma poprawiać operacje bezpieczeństwa w następujących obszarach:

  1. ZAKRES: punkty końcowe, sieć, instancje w chmurze i krytyczne aplikacje (aplikacje SaaS, poczta elektroniczna, itp.) oraz otwarta architektura dla łatwej integracji technologii stron trzecich.
  1. WBUDOWANE THREAT INTELLIGENCE: Rozwiązania XDR muszą dostarczać aktualnych i szczegółowych informacji o zagrożeniach i robić to w kontekście alertów bezpieczeństwa oraz infrastruktury organizacji, branży, lokalizacji itp.
  1. ANALITYKA: Rozwiązania XDR muszą zapewniać dokładną analitykę cross-domain, aby wykrywać cyberataki w całym łańcuchu aktywności przeciwnika.
  1. AUTOMATYKA: XDR musi pomagać w automatyzacji procesów w takich obszarach jak badanie zagrożeń, IR i ograniczanie ryzyka.
  1. DETEKCJA I ZARZĄDZANIE INCYDENTAMI: XDR musi zapewnić widoczność i wspólne UI dla różnych ról analityków SOC i przypadków użycia.

W dzisiejszym artykule odpowiemy na kilka pytań, które najczęściej padają od klientów zainteresowanych wdrożeniem XDR.

Często pojawiają się pytania:

„Jakie produkty wchodzą w skład XDR”

Wbrew pozorom nie jest łatwo znaleźć odpowiedzi na to pytanie. Większość raportów mówi o „platformie” i możliwościach wykrywania w „chmurze, sieci i na urządzeniach końcowych”. Biorąc pod uwagę powyższe 5 punktów – wzorcowy XDR powinien posiadać:

  • Technologie detekcji i prewencji: EDR, NDR, SWG, CASB, ZTNA, ESG
  • Analitykę: SIEM, Threat Intelligence, Machine Learning, AI
  • Automatykę: SOAR, UEBA, UAM, Triage & Incident Response Management

Powyższe należy rozpatrywać jako funkcjonalność bardziej niż punktowe rozwiązanie tego samego vendora zintegrowane w ramach XDR. XDR powinien de facto łączyć funkcjonalności powyższych technologii w sposób pozwalający danemu przedsiębiorstwu osiągnąć najwyższą wartość z jego wdrożenia. Czyli najwyższy możliwy stopień mityzacji ryzyka informatycznego.

„Czym XDR się różni od SIEM?”

W przeciwieństwie do narzędzi SIEM lub zarządzania logami, XDR obiecuje doświadczenie skoncentrowane na wartości bezpieczeństwa – lepsze wykrywanie, łatwiejsze dochodzenie, szybsze reagowanie. To zalety podejścia skoncentrowanego na operacjach. Tak więc XDR może się wyróżniać:

  • lepszym dostępem do wewnętrznej dokumentacji
  • znajomością dziwnych, niestandardowych formatów logów
  • wykorzystaniem wewnętrznych API.

Według Gartnera, główna różnica polega na tym, że jest on natywnie zintegrowany z produktami, zazwyczaj od tego samego dostawcy, co pomaga w zapewnieniu lepszych możliwości wykrywania i reagowania. Jeżeli przyjrzymy się bliżej natywnej integracji – „out-of-the-box” – z innymi produktami bezpieczeństwa… oznacza ona dwie rzeczy w kontekście bezpieczeństwa:

  1. jak zbierasz dane (logi, telemetria, aktywność)
  1. jak wykonujesz działania odpowiedzi (blokowanie, wyłączanie, zamykanie, tworzenie biletów, itp.)

Jeśli wszystkie produkty zabezpieczające pochodzą od tego samego producenta, XDR będzie łatwiejszy do skonfigurowania i dostarczy mniej fałszywych pozytywów. Tu warto dodać, że projekty SIEM często kończą się niepowodzeniem właśnie na tym etapie. W branży spotkaliśmy się ze stwierdzeniem, że XDR to „next-gen SIEM” – i jest to do pewnego stopnia prawda. Jednak o ile SIEM był narzędziem do wykrywania i to stanowiło o jego jakości, o tyle XDR dodaje „Response” i konkuruje również na tej płaszczyźnie.

„Czy XDR nadaje się do wdrożenia w średnim przedsiębiorstwie, bez wydzielonego SOC-u?”

Oczywiście to zależy. Jednak informacja o tym, że XDR to narzędzie tylko do wdrożenia przez ogromne korporacje jest nieco przesadzona. Duże i średnie przedsiębiorstwa, które posiadają w swoim departamencie IT komórkę odpowiedzialną za bezpieczeństwo – mogą z powodzeniem obsługiwać XDR. W końcu jedną z jego kluczowych wartości jest automatyzacja czynności śledczych. Inne powody, dla których MŚP mogą być zainteresowane to:

  • MŚP nierzadko nie mają zasobów – zarówno ludzkich jak i systemowych – do efektywnego zarządzania alertami generowanymi przez kilka rozwiązań punktowych
  • Powyższy brak zasobów przedkłada się na brak odpowiedniej korelacji pomiędzy alertami bezpieczeństwa – co utrudnia następujące po nich fazy triage i incident response
  • Wysoki koszt, złożoność i bieżące utrzymanie systemów SIEM i SOAR sprawiają, że są one praktycznie nieosiągalne dla sektora MŚP

Niemniej – dla małych przedsiębiorstw, gdzie analityk bezpieczeństwa to najczęściej jedna z ról generalnego administratora systemów… XDR to zazwyczaj za dużo (widzieliśmy natomiast przypadki, że budżet pozwalał kupić kilka rozwiązań – i wtedy automatyzacja zapewniania przez XDR faktycznie była wsparciem dla zespołu bezpieczeństwa u klienta).

Mimo obietnicy jaką składa, w branży wciąż jednak istnieją wątpliwości, czy XDR jest najlepszym sposobem na maksymalizację efektywności z bezpieczeństwa a także czy dostępne obecnie produkty XDR w pełni odpowiadają otaczającemu je szumowi.

Wdrożenie z pewnością XDR niesie ze sobą następujące korzyści:

  • Wyeliminowanie silosów w celu uzyskania widoczności wszystkich źródeł danych – w chmurze i w lokalnej infrastrukturze przedsiębiorstwa
  • Ujednolicenie przepływów pracy w celu zapewnienia bezproblemowej obsługi przez pracowników bezpieczeństwa IT
  • Automatyzację powtarzających się czynności w celu szybszego i sprawniejszego sprawdzania i reagowania na incydenty

Podsumowując – XDR to ekosystem rozwiązań (nie musi ale może być np. jednym produktem w rozumieniu pozycji w katalogu), które mają: zebrać dane, skorelować, wyciągnąć wnioski i zareagować. Połączenie wszystkiego w jeden pakiet sprawia, że aktualizacje i integracja pomiędzy różnymi elementami oprogramowania są znacznie łatwiejsze do zarządzania, zwłaszcza w przypadku, gdy wcześniej używano wielu rozwiązań zabezpieczających. Posiadanie jednego interfejsu do przeglądania różnych komponentów sieciowych ułatwia również pracownikom działu bezpieczeństwa IT utrzymanie kontroli w środowisku organizacji. Mając do dyspozycji tylko jedno narzędzie, a nie wiele oddzielnych pakietów oprogramowania od różnych dostawców, działania związane z cyberbezpieczeństwem mogą być prowadzone bardziej efektywnie.

Powiązane artykuły

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.