Datatrusler er i stadig utvikling, og XDR gir en dramatisk forbedring av undersøkelses- og responstidene til sikkerhetsteam. Som med alle nye tilnærminger kan det imidlertid oppstå forvirring om hva XDR er, hvordan det skiller seg ut fra tradisjonelle sikkerhetsløsninger og hvilke sikkerhetsresultater brukerne kan forvente fra det. Les videre for å finne ut mer.
Utvidet oppdagelse og respons, eller XDR, er sikkerhetsteknologi med flere lag som sikrer IT-infrastruktur. Den gjør dette ved å innhente og koordinere flere sikkerhetslag, inkludert endepunkter, apper, e-post, nettskyer og nettverk, for å gi bedre innsyn i en organisasjons teknologimiljø. Dette gjør at sikkerhetsteam raskt og effektivt kan oppdage, undersøke og reagere på datatrusler.
XDR betraktes som en mer avansert versjon av oppdagelse og respons på endepunkter (EDR). Mens EDR fokuserer på endepunkter, fokuserer XDR bredere på flere kontrollpunkter for sikkerhet for å oppdage trusler raskere ved hjelp av dype analyser og automasjon.
Datasikkerheten utvikles og utvides i et voldsomt tempo. Det siste tiåret har vi sett en stor økning i verktøy for oppdagelse av og respons på trusler, som alle prøver å ligge i forkant av de siste datatruslene. Med økningen i fjernarbeid og flere forretningsfunksjoner som flyttes til nettskyen, er ikke oppdagelse og respons alltid så lett som man skulle tro – særlig fordi katastrofale brudd kan komme fra hvor som helst, og når som helst.
I dette svært risikable digitale miljøet er det helt avgjørende å vite hvordan man skal takle datatrusler på en konsekvent og helhetlig måte. Sikkerhetsteam må sette sin lit til dypere integrering og mer automasjon for å ligge i forkant av datakriminelle.
Her er noen av særpregene ved dagens trusselbilde:
Siden kriminelle bruker mer avanserte teknikker for å utnytte tradisjonelle sikkerhetskontroller, sliter organisasjoner med å sikre utsatte digitale ressurser både i og utenfor tradisjonelle nettverksperimetere. Sikkerhetsteam under press på grunn av overgangen til fjernarbeid har ført til en økt knapphet på ressurser. Organisasjoner trenger proaktive, samlede sikkerhetstiltak for å forsvare de teknologiske ressursene, inkludert eldre endepunkter, mobilenheter, nettverk og skybaserte arbeidsbelastninger, uten at ansatte og interne ressurser overveldes.
Ledere innen bedriftssikkerhet og risikostyring vurderer derfor fordelene og produktivitetsverdien man får med XDR-sikkerhet.
XDR effektiviserer sikkerheten ved å forbedre oppdagelse og respons gjennom å forene innsyn og kontroll på tvers av endepunkter, nettverk og nettskyen.
Ved å forene data fra isolerte sikkerhetsløsninger får man bedre innsyn i trusler, slik at tiden det tar å identifisere og svare på et angrep reduseres. XDR legger til rette for avanserte undersøkelser av og jakt på trusler på tvers av flere domener fra en og samme konsoll.
I store trekk er det tre aspekter ved hvordan XDR-sikkerhet fungerer:
XDR-teknologi er nyttig for å vise analytikerne hvilke handlinger en angriper utførte, ved å avsløre rekkefølgen av prosesser før det endelige angrepet. Angrepskjeden berikes med informasjon fra ressursinventaret, for eksempel sårbarheter relatert til ressursen, ressursens eier eller eiere, rolle i bedriften og observerbart omdømme fra trusselinformasjon.
Siden sikkerhetsteam ofte får store mengder varsler hver dag, er automatisering av sorteringsprosessen og å gi analytikere kontekstuell informasjon den beste måten å håndtere prosessen på. Med XDR kan sikkerhetsteam bruke tiden sin effektivt ved å fokusere på varsler som potensielt kan forårsake mest skade.
XDR koordinerer isolerte sikkerhetsverktøy som forener og effektiviserer analyse, undersøkelser og respons. Dette gir betydelige fordeler for organisasjoner, inkludert:
Konsolidert innsyn i trusler:
XDR-sikkerhet gir anonymiserte data ved et endepunkt, kombinert med nettverks- og programkommunikasjon. Dette inkluderer informasjon om tilgangstillatelser, åpnede filer og programmer som er i bruk. Full synlighet på tvers av systemet gjør at du kan oppdage og blokkere angrep raskere.
Forbedrede forhindringsmuligheter:
Trusselinformasjon og adaptiv maskinlæring gir sentralisert konfigurering og herding med veiledning for å hindre mulige angrep.
Effektiv respons:
Omfattende innsamling og analysering av data gjør at sikkerhetsteam kan spore en angrepsvei og rekonstruere angriperens handlinger – noe som øker sjansen for å identifisere gjerningsmennene. Dataene gir også verdifull informasjon du kan bruke til å styrke forsvarsmekanismene.
Bedre kontroll:
Muligheten til å sette opp både blokkeringslister og klareringslister for trafikk og prosesser sikrer at kun godkjente handlinger og brukere får tilgang til systemet.
Økt produktivitet:
Sentralisering reduserer mengden varsler og gjør dem mer nøyaktige, noe som betyr færre falske positive som må gjennomgås. XDR er en forent plattform i stedet for en kombinasjon av løsninger for flere punkter. Dette gjør det enklere å håndtere, samtidig som det reduserer antall grensesnitt sikkerhetsteamet trenger tilgang til under en respons.
Gjenopprett verter etter en hendelse:
XDR kan hjelpe sikkerhetsteam med å gjenopprette systemer raskere etter et angrep, både ved å fjerne skadelige filer og registernøkler og ved å gjenopprette skadde filer og registernøkler ved hjelp av forslag til utbedring.
XDR-teknologi egner seg til en rekke ansvarsoppgaver knyttet til nettverkssikkerhet. Det nøyaktige bruksområdet avhenger av behovene til organisasjonen og modenheten til sikkerhetsteamet. Eksempler på bruksområder:
Sortering:
XDR kan brukes som hovedverktøy for aggregering av data, overvåking av systemer, oppdagelse av hendelser og varsling av sikkerhetsteam.
Undersøkelse:
Organisasjoner kan bruke XDR-løsninger som lagre med informasjon om hendelser. De kan bruke denne informasjonen kombinert med trusselinformasjon til å undersøke hendelser, bestemme seg for en respons og lære opp sikkerhetspersonell.
Jakt etter trusler:
Dataene som samles inn av XDR-løsninger kan brukes som en grunnlinje i jakten på trusler. Data som brukes til og samles inn under jakten på trusler kan igjen brukes til å skape ny trusselinformasjon for å styrke sikkerhetsprotokoller og -systemer.
Utvidet oppdagelse og respons gir verdi ved å samle flere sikkerhetsverktøy til én konsekvent plattform for oppdagelse av og respons på sikkerhetshendelser. Dette er hovedfordelene med XDR:
De viktigste fordelene er i hovedsak forbedret beskyttelse, deteksjon og respons, forbedret produktivitet for sikkerhetspersonell og lavere totale eierkostnader for effektiv oppdagelse av og respons på sikkerhetstrusler.
Her er noen av de viktigste tingene du bør se etter i en XDR-løsning:
Kontroll-agnostikk:
Muligheten til å integrere flere teknologier uten bindingstid med leverandører.
Maskinbasert korrelasjon og oppdagelse:
For å forenkle tidsriktige analyser av store datasett og redusere antall falske positive.
Forhåndsbygde datamodeller:
For å integrere trusselintelligens og automatisere oppdagelse og respons, uten behov for at programvareingeniører må programmere eller lage regler.
Produksjonsintegrering:
I stedet for at de må skifte ut SIEM-løsninger (Security Information and Event Management), SOAR-teknologi (Security Orchestration And Response) og saksbehandlingsverktøy, bør en XDR-løsning integrere dem slik at organisasjonen får mest mulig utbytte av investeringen sin.
Integrering med sikkerhetsvalidering:
Når XDR og sikkerhetsvalidering jobber sammen, er sikkerhetsteamene mer bevisste på hvor godt sikkerhetstiltakene deres fungerer, hvor sikkerhetshullene er og hvilke handlinger som må iverksettes for å ta tak i ytelsesavvik.
XDR skiller seg ut fra andre sikkerhetsverktøy ved å sentralisere, normalisere og korrelere data fra flere kilder – for å gi full synlighet og avdekke avanserte trusler.
XDR-teknologi samler inn og analyserer data fra flere kilder for å gjøre en bedre jobb med å validere varsler, noe som reduserer falske positive og øker påliteligheten. Dette sparer sikkerhetsteamene tid og muliggjør raskere, mer automatisert respons.
XDR er forskjellig fra EDR. EDR-systemer hjelper organisasjoner med å håndtere trusler ved å fokusere på nåværende aktivitet ved alle endepunkter, ved å bruke avansert maskinlæring for å forstå denne aktiviteten og spesifisere responser og ved å bruke automasjon for å reagere raskt der det trengs.
XDR-systemer bygger på dette prinsippet ved å integrere datastrømmer fra andre steder enn endepunkter, for eksempel nettverk, e-post, skybaserte arbeidsbelastninger, programmer, enheter, identitet, dataressurser, Tingenes Internett og muligens andre. Disse ekstra elementene gjør det mulig å oppdage flere trusler, brudd og angrep, og å svare mer effektivt på dem, fordi du kan drive frem flere handlinger på tvers av en bredere infrastruktur og ikke bare ved endepunkter. XDR gir også dypere innsikt i nøyaktig hva som skjer.
Noen organisasjoner prøver å takle datatrusler ved å bruke en kombinasjon av EDR- og SIEM-løsninger (Security Information and Event Management). Mens SIEM-løsninger samler inn overflatiske data fra mange kilder, samler XDR i midlertid inn dypere data fra målrettede kilder. Dette gjør at XDR kan gi mer kontekst for hendelser, og eliminerer behovet for manuell fininnstilling eller dataintegrering. Varselkildene er en del av XDR-løsningen, noe som eliminerer integrering og vedlikehold for overvåking av varsler sammenlignet med en SIEM-løsning.
Til syvende og sist er det slik at jo lenger en trussel blir værende i nettverket til en organisasjon, jo flere muligheter har en angriper til å skade systemer og stjele verdifull data. Dette betyr at det er helt avgjørende å reagere så raskt som mulig på alt som oppfattes som trusler. Sikkerhetsteam trenger bedre metoder for å vite når det finnes trusler – i tillegg til raskere måter å fremheve og nøytralisere dem på når de oppstår – for å minimere potensielle tap. Det er først og fremst denne utfordringen XDR er utformet for å løse.
Dette er noen av de ofte stilte spørsmålene om XDR-sikkerhet, XDR-teknologi og XDR-datasikkerhet:
XDR betyr utvidet oppdagelse og respons, og refererer til teknologi som overvåker og reduserer datasikkerhetstrusler. XDR samler inn og korrelerer data automatisk på tvers av flere sikkerhetslag – inkludert endepunkt-, nettverks- og skydata – for å fremskynde oppdagelsen av trusler og muliggjøre raskere og mer nøyaktig respons.
XDR er en proaktiv tilnærming til oppdagelse av og respons på trusler. Ved å gi innsyn i alle data, og ved å bruke analyser og automasjon, kan XDR ta tak i dagens datasikkerhetstrusler. XDR samler inn data fra e-post, endepunkter, servere, skybaserte arbeidsbelastninger og nettverk, for så å analysere disse dataene for å identifisere trusler. Trusler blir deretter prioritert, jaktet ned og løst for å hindre sikkerhetsbrudd.
Oppdagelse og respons ved endepunkter (EDR) fokuserer på kontinuerlig overvåking og trusseloppdagelse, sammen med en automatisert respons. Det begrenses imidlertid av at det bare kjører disse funksjonene på endepunktnivå. Til sammenligning har XDR de samme prioritetene som EDR, men går lengre enn endepunkter for å inkludere skybaserte arbeidsbelastninger, programmer, brukeridentiteter og selve nettverket i sin helhet.
Relaterte produkter:
Videre lesning: