Chcete začít používat XDR? XEDR může být tím nejlepším místem, kde začít



Každé tři až pět let se objeví nový termín z oblasti kybernetické bezpečnosti. V roce 2021 to bude eXtended Detection and Response (XDR). V roce rok 2017 byla detekce a reakce na koncové body (EDR) považována za "svatý grál" kybernetické obrany.


Předpokládalo se, že všechny naše problémy v oblasti kybernetické bezpečnosti vyřeší EDR. První osvojitelé mohli vidět potenciál, ale také zažít nedostatky, které jsou pro novou kategorii řešení běžné. EDR trpělo zejména problémy s přesností a dalšími problémy s výkonem, což mělo za následek (v mnoha případech) záplavu upozornění na incidenty, s nimiž se musely vypořádat nepřipravené a personálně poddimenzované týmy bezpečnostních operací.


Postupem času se však tento humbuk z velké části vytratil, EDR dozrála a nyní skutečně prokázala svou hodnotu. EDR je dnes klíčovou součástí solidní bezpečnostní architektury a má zásadní význam - zejména v boji proti cíleným a komplexním útokům. Ačkoli zkušenosti s EDR ukázaly, že díky němu se úsilí o prevenci nestalo zastaralým, jak se původně tvrdilo. Ve skutečnosti zdůraznila potřebu většího zaměření na prevenci, aby se snížil počet bezpečnostních incidentů zjištěných pomocí EDR. První generace řešení EDR také ukázala omezení při uplatňování korelace bezpečnostních událostí za hranicemi jednoho koncového bodu. Toto omezení ponechává tíhu rekonstrukce skládačky složitých útoků na bedrech stejně personálně poddimenzovaných týmů IT a bezpečnostních operací.


Rozšířená detekce a odezva slibuje zlepšení situace díky dvěma klíčovým doplňkům k současnému systému EDR:

  • Korelace událostí na úrovni organizace, která omezí roztříštěný pohled na komplexní bezpečnostní incidenty.

  • Přidání dalších zdrojů telemetrie kromě koncových bodů, jako je síť nebo identita, pro vytvoření širšího obrazu o útocích.

I když to teoreticky vypadá skvěle a zní to jednoduše, v praxi není snadné tato vylepšení provést, zejména ve stejnou dobu. První uživatelé XDR i průmysloví analytici uznávají, že eXtended Detection and Response je významným příslibem, ale zároveň před ním varují. Většina obav se týká nezralosti řešení, nedostatku odvětvových standardů z hlediska funkcí, obav z uvíznutí u dodavatele zabezpečení na dlouhou dobu (lock-in). To vše jsou rizika, která lze očekávat u kategorie řešení, která se teprve vytváří.


Součástí debaty dosud také nebylo, do jaké míry mohou řešení XDR efektivně využívat organizace, které nemají významné týmy pro bezpečnostní operace (což platí zejména pro střední a menší podniky). Vzhledem k tomu, že dodavatelé rozšířené detekce a reakce mají různé základní funkce (zabezpečení sítě, zabezpečení koncových bodů, SIEM) a slouží organizacím různých velikostí, stále není jasné, kolik a jaký typ personálu je potřeba k efektivnímu provozu nových řešení.


Je tedy vhodné položit si pragmatickou otázku: Existuje způsob, jak využít koncepty XDR stravitelnějším způsobem? Jak lze přejít z EDR na XDR a přitom nepřidávat další specializované bezpečnostní pracovníky nebo nezatěžovat již existující personál? XEDR představuje skvělou možnost, jak začít.



Co je XEDR (eXtended Detection and Response)?


Systém eXtended Endpoint Detection and Response (XEDR) nativně začleňuje funkce XDR, jako je bezpečnostní analýza a korelace bezpečnostních událostí na úrovni organizace, do systému EDR. XEDR rozšiřuje hranice bezpečnostní analytiky za hranice samotného koncového bodu a koreluje události ze všech koncových bodů v infrastruktuře organizace. Na podnikovou infrastrukturu nepohlíží jako na souhrn koncových bodů, jak by to dělal EDR, místo toho zaujímá celistvou perspektivu a infrastrukturu považuje za jeden celek složený z více prvků (koncových bodů).


Cesta eXtended EDR nabízí tři důležité výhody:

  • Poskytuje výhody XDR zaměřené na to, kde jsou nejdůležitější: na koncová zařízení. Proč jsou koncové body nejdůležitější? Protože zde se nacházejí data (servery/kontejnery) a zde dochází k interakci uživatelů (pracovní stanice). Koncové body jsou ve srovnání s ostatními prvky infrastruktury vystaveny mnohem vyššímu riziku.

  • Umožňuje postupnou integraci dalších (nekoncových) telemetrických zdrojů v průběhu času, aby se zvýšily možnosti detekce a viditelnosti hrozeb. Tím se snižuje technologické riziko běžné v nové kategorii řešení a podporuje se integrace nových zdrojů (širší perspektiva), aniž by se ztratilo to, co EDR umí velmi dobře: hloubka perspektivy.

  • Zachovává (a možná i snižuje) požadavky na dovednosti a počet zaměstnanců, což většině organizací umožňuje zvýšit jejich kybernetickou odolnost bez dodatečných provozních nákladů.


Pokud se ohlédneme za zkušenostmi s EDR, XDR dosáhne plné zralosti až časem a pravděpodobně nebude umět vše, co se od něj očekává. Pokud však lze v první fázi pomocí XEDR zmírnit současná rizika spojená s přijetím XDR pro většinu organizací, pak se jedná o pragmatičtější přístup, který může lépe a rychleji vyřešit problém odhalování a zvládání komplexních kybernetických incidentů.