Odvětví kybernetické bezpečnosti je plné třípísmenných zkratek (TLA). Často se jedná o pouhé nové marketingové zpracování existující technologie. Nyní je na trhu rušno díky XDR - neboli rozšířeným řešením detekce a reakce jako další sadě efektivních řešení, která se zaměřují na rozšíření možností monitorování, detekce a reakce, s cílem udržet si náskok před neustále se měnícím prostředím hrozeb
Jak jsme se mohli přesvědčit na nedávné konferenci RSA, zdá se, že je to v hledáčku všech.
Analytici předpovídají, že trh XDR vzroste z 985 milionů dolarů v roce 2022 na 2 358 milionů dolarů v roce 2027, což představuje 19,1% CAGR. XDR však není jen další zkratka - přináší skutečné výhody přetíženým týmům kybernetické bezpečnosti, a větší ochranu před hrozbami v dnešních stále více distribuovaných podnikových prostředích.
Ačkoli mnoho dodavatelů kybernetické bezpečnosti naskakuje na vlnu XDR, jen málo společností záměrně navrhlo a cíleně vytvořilo ucelené, nativní řešení XDR, jako to udělal Bitdefender. Místo toho většina z nich spojila dohromady různé bezpečnostní nástroje, včetně technologií pro detekci koncových bodů a reakci na ně (EDR), a řešení pro správu bezpečnostních informací a událostí (SIEM), a nazvala je XDR. Tento přístup však nemůže přinést výhody účelově vytvořeného řešení XDR, jako je jednotná detekční vrstva s integrovanými možnostmi reakce a integrovaným uživatelským prostředím.
Seznámení s písmenkovou polévkou: EDR vs. MDR vs. XDR.
Řešení EDR i řešení řízené detekce a odezvy (MDR) jsou důležité bezpečnostní technologie, a každá z nich má své výhody. Díky monitorování všech koncových bodů v organizaci - například stolních počítačů, pracovních stanic, chytrých telefonů a serverů - řešení EDR účinně pokrývají místa, kde dochází k nejčastějším útokům. Většina útoků, od pokusů o phishing až po neúmyslné stažení malwaru zaměstnanci, se do organizace dostane přes nějaký koncový bod.
Řešení EDR poskytují detekční vrstvu, která analyzuje telemetrii a události přicházející z koncových bodů, provádí jejich analýzu, a v případě, že se jedná o incident, označí je bezpečnostnímu týmu. Služby MDR dělají pro své zákazníky totéž, a zároveň přidávají výhodu nepřetržitého monitorování kvalifikovanými bezpečnostními analytiky, kteří mohou také třídit incidenty a provádět vyšetřování.
EDR i MDR přinášejí organizacím důležité výhody, ale XDR posouvá detekci a reakci na další úroveň.
Výhody XDR
Řešení XDR, které se vyvinulo z řešení EDR, poskytuje organizaci větší pokrytí tím, že zahrnuje telemetrii a informace o událostech z mnohem širšího souboru zdrojů. XDR rozšiřuje pokrytí nad rámec koncových bodů a zahrnuje data ze senzorů a zdrojů v celé síti, například přidává telemetrii ze specifických systémů, jako jsou systémy pro identitu a ověřování, nástroje produktivity (např. Office 365), a dokonce i systémy v cloudu.
XDR toho však nabízí mnohem více než pouhé přidávání zdrojů dat.
Zde je pět klíčových aspektů, které by organizace měly hledat u účelového nativního řešení XDR:
Sdílená detekční vrstva
Jedním z nejdůležitějších rozdílů mezi skutečným řešením XDR, a souborem bezpečnostních nástrojů, které byly jednoduše přejmenovány na XDR, je sdílená detekční vrstva. Jak bylo uvedeno výše, někteří dodavatelé zabezpečení spojí dohromady detekční nástroj pro koncové body, jeden pro síť, samostatný nástroj pro odezvu, a nazvou to řešením XDR. Navíc někteří dodavatelé očekávají, že jejich zákazníci budou tyto různé produkty a detekční logiku, potřebnou pro správu incidentů, integrovat, což jednoduše zvyšuje pracovní zátěž bezpečnostních specialistů.
Skutečné řešení XDR by mělo mít sdílenou detekční vrstvu, která zahrnuje všechny senzory a zdroje dat v rámci celé organizace. Pouze jednotná platforma XDR, postavená na sdílené detekční vrstvě, může organizacím umožnit identifikovat hrozby v různých fázích řetězce útoku a jejich likvidaci, vzájemně korelovat data z různých zdrojů a zajistit lepší porozumění danému incidentu. Bitdefender XDR navíc poskytuje vestavěné možnosti reakce v jakémkoli bodě identifikace hrozby, což umožňuje bezpečnostním analytikům vykonávat svou práci efektivněji a účinněji.
Pokrytí celého řetězce útoku
Díky sdílené vrstvě detekce mohou bezpečnostní týmy odhalit hrozby a zasáhnout v kterémkoli bodě řetězce útoku.
Například u řešení EDR mohou bezpečnostní týmy identifikovat útok pouze v části řetězce exploitace a instalace, které probíhají na koncových bodech. S XDR se však bezpečnostní týmy mohou posunout mnohem dále v řetězci útoků a identifikovat útoky mnohem dříve. Mohou například identifikovat útoky, které jsou ještě v rané fázi rozpoznávání, kdy útočník může testovat autentizační systém organizace, aby zjistil, zda se může dostat dovnitř. Bezpečnostní týmy mohou také odhalit útoky probíhající napříč sítí, například když jsou řídicí a kontrolní systémy využívány k přenosu dat způsobem, jakým by neměly. Se správným řešením XDR se detekce rozšiřuje také na veřejný cloud a systémy produktivity, jako je Office 365, a umožňuje bezpečnostním analytikům odhalit útoky ve fázi jejich doručení, například pokusy o phishing, ransomware doručený e-mailem nebo ve fázi exfiltrace.
Stručně řečeno, jednotná platforma XDR se sdílenou vrstvou detekce, poskytuje bezpečnostním analytikům mnohem širší pokrytí a více možností, jak identifikovat a zastavit hrozby v jakémkoli bodě útočného řetězce.
Vzájemná korelace událostí
Díky jednotné platformě XDR, postavené na sdílené vrstvě detekce, mohou bezpečnostní týmy vzájemně korelovat data a události z různých senzorů a zdrojů v rámci celé organizace, aby identifikovaly související aktivity, a vytvořily si ucelenější obraz incidentu. Mohou například identifikovat související aktivity na základě času, zdroje IP adresy, chování nebo jiných činností. To poskytuje bezpečnostnímu analytikovi mnohem komplexnější analýzu.
Bez této sdílené vrstvy detekce a korelace mezi událostmi mohou být bezpečnostní týmy schopny identifikovat hlavní příčinu útoku pro analýzu po incidentu, ale nemají možnost zastavit probíhající útok díky komplexnímu pohledu na to, co se děje. Sdílená vrstva a křížová korelace událostí v platformě XDR poskytuje kompletní obraz o tom, co se děje, a umožňuje adresnější přístup k zásahu. Bezpečnostní analytici mohou vidět první incident, který se odehrál v řetězci útoku, vrátit se zpět a sledovat tuto cestu, aby útok zastavili dříve, než se rozšíří dál.
Zlepšená reakce na incidenty
Řešení XDR musí také poskytovat bezpečnostním týmům integrované možnosti reakce. Protože XDR poskytuje pokrytí větší části organizace, mohli by bezpečnostní analytici reagovat všude tam, kde byl útok identifikován - ať už na koncových bodech, v síti, v cloudu nebo v aplikacích produktivity. Díky sdílené vrstvě reakce mohou analytici svou odezvu zacílit a přesně vědět, který proces ukončit nebo které stroje odpojit pro zastavení incidentu.
Řešení XDR by mělo poskytovat jak automatické reakce, jako je blokování škodlivých síťových připojení, tak doporučené možnosti manuální reakce na jedno kliknutí, jako je izolace stroje nebo resetování uživatelských pověření. Více bodů pokrytí a schopnost zachytit více souvislostí kolem hrozeb také znamená rychlejší reakci.
Integrované zkušenosti analytiků
Uživatelské prostředí je důležitým aspektem efektivního řešení XDR, a pokud je provedeno správně, může být pro bezpečnostní analytiky významným přínosem. Širší pokrytí, zvýšená detekce a více informací jsou kontraproduktivní, pokud znamenají pouze zvýšení pracovní zátěže pro bezpečnostní tým nebo vytvářejí zbytečný šum.
Bitdefender GravityZone XDR poskytuje bezpečnostním analytikům snadno pochopitelný přehled celého incidentu - včetně zasažených strojů, systémů a senzorů - časovou osu incidentu a další informace v lidsky čitelném shrnutí. Bezpečnostní týmy pak mohou tento souhrn předat zainteresovaným stranám a poskytnout jim tak přehled o situaci. Zároveň mají bezpečnostní týmy možnost proniknout hlouběji do detailů a zobrazit si každého uživatele, aktivitu, událost, systém nebo soubor, který byl v rámci incidentu dotčen. Tato úroveň detailů je užitečná nejen pro analýzu incidentu, ale také pro odstraňování problémů po incidentu a analýzu příčin.
Závěr
Vzhledem k tomu, že se dnes v oblasti kybernetické bezpečnosti vyskytuje celá řada zkratek, není divu, že se lidé ptají, zda je XDR jen dalším módním slovem, nebo zda se jedná o přebal EDR a MDR. Pokud je správně navržen a účelově vytvořen, odpověď zní: "Ne."
Jednotná, nativní platforma XDR, jako je GravityZone, se sdílenou vrstvou pro detekci a reakci, širokým rozsahem pokrytí, korelací napříč událostmi a integrovaným uživatelským prostředím, poskytuje mnohem lepší ochranu před sofistikovanými hrozbami než samotná EDR nebo MDR. Bezpečnostní profesionálové by měli mít tyto aspekty na paměti při hodnocení řešení, aby našli tu správnou platformu XDR pro svou organizaci.
