Kategorie řešení pro rozšířenou detekci a reakci (Extended Detection and Response, XDR), která je motivována potřebou získat bohatší kontext pro detekci hrozeb, získává v roce 2021 na "trhu" velký ohlas. V posledních měsících analytická komunita v oboru zrychlila své výzkumné úsilí v této oblasti, aby pomohla nasměrovat trh ke společnému chápání XDR.
Analytička společnosti Forrester Allie Mellenová nedávno vydala publikaci Introducing The Forrester New Tech: XDR (Extended Detection And Response) - souboj mezi precedentem a inovací. The New Tech: Poskytovatel´rozšíření detekce a odezvy (XDR), Q3 2021 pomáhá pracovníkům s rozhodovacími pravomocemi se orientovat v "povyku" kolem XDR, objasnit a definovat schopnosti nových dodavatelů XDR. Společnost Forrester se ve zprávě zabývá trhem, definicemi a segmentací 29 dodavatelů podle velikosti a jejich schopností.
Co je to XDR?
Jak je pro nově vznikající kategorii technologií typické, ne všichni dodavatelé, kteří se hlásí ke schopnostem XDR, je také plní, což způsobuje zmatek u koncových uživatelů i v celém odvětví. Mellenová byla jednou z prvních analytiků, kteří zaujali pevné stanovisko k definici XDR v příspěvku na blogu Forrester z dubna 2021, kde definovala XDR jako "evoluci EDR, která optimalizuje detekci, vyšetřování, reakci a odhalování hrozeb v reálném čase. XDR sjednocuje bezpečnostně relevantní detekce koncových bodů s telemetrií z bezpečnostních a podnikových nástrojů, jako je analýza a viditelnost sítě (NAV), zabezpečení e-mailu, správa identit a přístupu, zabezpečení cloudu a další. Jedná se o cloudově nativní platformu postavenou na infrastruktuře velkých dat, která poskytuje bezpečnostním týmům flexibilitu, škálovatelnost a možnosti automatizace."
Zpráva New Tech ze srpna 2021 dále objasnila její postoj, kde uvedla, že legitimní řešení XDR "začínají u koncového bodu a zaměřují se na výstrahy s vysokou přesností, kontextové vyšetřování, rychlost a úplnost reakce, a vyhledávání hrozeb". Tento přístup se promítá do rozšíření (stávajících) možností detekce a reakce na koncové body pomocí:
korelace a automatizovaná analýza příčin na základě širšího kontextu (telemetrie koncových a nekoncových bodů).
jednotný pohled na telemetrii ze všech zdrojů pro hlubší zkoumání.
rozšířený soubor (automatizovaných) reakčních opatření.
Ve zprávě New Tech Mellen uvádí, že nabídky dodavatelů, které popisují funkce jako "získání úplnějšího přehledu o útocích" a "reakce na incidenty v jediné konzoli", neodpovídají definici XDR a patří do jiných kategorií, jako jsou platformy pro bezpečnostní analýzu.
Nativní XDR vs. hybridní XDR
Ačkoli je mnoho řešení XDR postaveno na základech detekce a odezvy na koncové body (EDR), zdaleka se nejedná o homogenní kategorii. Zatímco podpora koncových bodů (pracovních stanic, serverů, cloudových pracovních zátěží) je zpravidla vyvinuta nativně každým poskytovatelem, ostatní zdroje telemetrie (non-endpoint telemetrie) tomu tak být nemusí. V závislosti na tom, zda jsou další zdroje telemetrie součástí portfolia stejného dodavatele, či nikoli, klasifikuje Forrester řešení XDR jako "nativní" nebo "hybridní". Tím, že je plně domácí, se nativní přístup XDR spoléhá na těsné sladění vlastního portfolia dodavatele a silnější integraci mezi prvky poskytujícími telemetrii. Naproti tomu hybridní XDR se spoléhá na integraci s dodavateli třetích stran, kteří shromažďují telemetrii mimo koncové body a provádějí akce odezvy.
Obě metody poskytují zákazníkům své vlastní výhody. Nativní XDR jako přímý vývoj z EDR s integrovanými a připravenými integracemi pro další (nekoncové) zdroje telemetrie. Tento typ XDR je proto pravděpodobně rychlejší na pořízení a nasazení, a v konečném důsledku poskytuje kratší dobu zhodnocení. Očekává se také, že nativní řešení XDR bude zahrnovat vyšší stupeň automatizace a bude provozně méně složité, což bude vyžadovat méně a méně starších bezpečnostních zdrojů. Společnost Forrester ve své zprávě naznačuje, že z řešení Native XDR budou nejvíce těžit organizace s menšími a méně vyspělými bezpečnostními týmy. Alternativou je hybridní XDR, který nabízí vyšší flexibilitu a více možností integrace s různými třetími stranami, což umožňuje bezpečnostním týmům využívat nástroje podle vlastního výběru. Díky tomu je Hybrid XDR volbou vhodnou pro větší a vyspělejší bezpečnostní týmy.
Kde začít - eXtended EDR (XEDR)
Společnost Bitdefender je ve zprávě společnosti Forrester uvedena jako zástupce dodavatele "Native XDR". Naším cílem je umožnit zákazníkům využívat výhody XDR a zároveň se vyhnout zvýšení složitosti a provozních nákladů. Prostřednictvím toho, co nazýváme eXtended EDR neboli XEDR, nabízí společnost Bitdefender bezpečnostní analýzu a korelaci bezpečnostních událostí na úrovni organizace. Tím se rozšiřují hranice bezpečnostní analýzy za hranice samotného koncového bodu tím, že se korelují události ze všech koncových bodů v infrastruktuře organizace. To zvyšuje schopnost řešení odhalovat sofistikované (a často skryté) hrozby a poskytovat jednotný pohled na bezpečnostní incidenty, které se týkají více koncových bodů.
Komplexní útok, který využívá více částí infrastruktury, může zůstat bez povšimnutí. Toto je ukázka společnosti Bitdefender, jak řešení Detekce a reakce dokáže propojit jednotlivé body a předložit bezpečnostnímu analytikovi celkový obraz.
Forrester ve své zprávě New Tech uvádí, že nejjednodušší cestou, jak začít s XDR, je "implementovat EDR a umožnit bezpečnostnímu týmu, aby EDR postupně rozvíjel přidáváním další telemetrie podle potřeby".
Bitdefender XEDR byl navržen s ohledem na tento přístup a umožňuje zákazníkům postupně přidávat telemetrii mimo koncové body, aby poskytl více kontextu pro bezpečnostní incidenty a odhalil složitější útoky. Bitdefender Network Sensor je prvním dodatečným zdrojem telemetrie zabudovaným do XEDR. Prověřuje šifrovaný nebo nešifrovaný síťový provoz pomocí kombinace strojového učení, analýzy chování a analýzy hrozeb, aby odhalil kybernetické hrozby, které ovlivňují všechny subjekty z prostředí (včetně IOT a BYOD).
Podívejte se na webovou stránku Bitdefender EDR, kde najdete další informace o tom, jak vám eXtended EDR může pomoci udržet krok s dnešními pokročilými útoky. Požádejte o zkušební verzi zdarma a vyzkoušejte řešení ve svém vlastním prostředí.
Co bude dál s XDR?
Ve zprávě New Tech společnost Forrester předpovídá, že "diferencovaná technologie XDR v krátkodobém horizontu nahradí detekci koncových bodů a reakci na ně (EDR), a v dlouhodobém horizontu nahradí SIEM."
To se dá očekávat, protože mechanismy pro korelaci událostí napříč koncovými body nahrazují analýzu jednotlivých koncových bodů současné generace řešení EDR. Jak ukazuje řešení Bitdefender XEDR, nová bezpečnostní analytická řešení také nativně podporují další telemetrii z jiných než koncových zdrojů.
Řešení Endpoint Detection and Response přerůstá v eXtended Detection and Response a zpráva New Tech doporučuje bezpečnostním profesionálům, aby při hodnocení možností XDR zvážili "řešení EDR, ze kterého se vyvinulo, jako indikátor hodnoty".
Vize společnosti Forrester Research XDR jako "EDR+" se rychle stává jedním z nejuznávanějších (a velmi potřebných) objasnění tohoto termínu v oboru. Společnost Bitdefender oceňuje významné investice společnosti Forrester do výzkumu XDR, které umožňují oddělit reklamní šumy od reality, a oceňujeme nabídnuté vodítko při definování naší nabídky XDR, která řeší bolestivé body našich zákazníků a pomáhá jim získat přidanou hodnotu při vstupu na tento nově vznikající trh.
Comments