Проширеното откривање и одговор (XDR) е безбедносно решение кое ги обединува превенцијата, откривањето и одговорот на заканите.
Решенијата XDR внесуваат податоци од алатките за безбедносна технологија на компаниите за да им овозможат на тимовите на безбедносните оперативени центри (SOC) на компаниите побрзо откривање, истражување и одговор на заканите.
Клучните способности за XDR вклучуваат откривање безбедносните инциденти, автоматизирање на способностите за одговор, како и интегрирање на разузнавачките и телеметриските податоци од повеќе извори со безбедносната аналитика за корелација и контекстуализирање на безбедносните предупредувања. XDR решенијата треба да вклучуваат минимум два природни безбедносни сензори и беспрекорно да се интегрираат со безбедносниот екосистем на вашата организација.
Примарните предности на XDR се:
Подобрена, консолидирана видливост: Податоците се внесуваат од решенијата за безбедност, така што автоматската анализа може да ги искористи наодите од обемните податоци со кои располага, а во спротивно би зависела од бавните, рачни процеси. Решенијата обично вклучуваат единствена точка на видливост за да се обединат наодите во една конзола.
Побрзи истраги, попродуктивни тимови за безбедност: XDR дава приоритет на заканите и го намалува обемот на предупредувања со користење на аналитика и корелации, па тимовите можат да се фокусираат на најкритичните настани и да ја искористат автоматизацијата за решавање на познати или повторувани настани.
Пониски вкупни трошоци: XDR вендорите, со широката палета на вградени карактеристики овозможуваат заштеда на трошоците, со стандардизирање на безбедносенite оџак од еден продавач, кој обично е интегриран out of the box. Организациите со големи опкружувања може да отклучуваат податоци преку алатки на вендори на XDR решенија кои нудат отворени интеграции.
XDR консолидира повеќе производи во кохезивен, унифициран безбедносен систем за откривање и одговор на инциденти.
Зошто на претпријатијата им е потребна XDR безбедност?
На SOC оперативците им е потребна платформа која интелигентно ги обединува сите релевантни безбедносни податоци и ги открива напредните противници. Бидејќи противниците користат посложени тактики, техники и процедури (TTP) за успешно заобиколување и искористување на традиционалните безбедносни контроли, организациите се обидуваат да обезбедат зголемен број на ранливи дигитални средства и внатре и надвор од традиционалниот мрежен периметар.
Безбедносните тимови се преоптеретени со години. Со зголемените барања за работа од дома, оптоварувањето на ресурсите е зголемено. Од безбедносните професионалци повторно се бара да ја засилат заштитата, со исти или помалку ресурси, како и со строги буџетски ограничувања. Компаниите имаат потреба од унифицирани и проактивни безбедносни мерки за да го одбранат целиот пејзаж на технолошки средства, кои ги опфаќаат крајните точки, мобилните, мрежните уреди и облачните решенија, без преоптоварување на персоналот и ресурсите за внатрешно управување.
Поради лошите актери, вклучувајќи ги индивидуалните напаѓачи, хакерските групи, софистицираните напаѓачи на национално ниво, па дури и потенцијално злонамерните инсајдери кои постојано бараат жртви, менаџерите за безбедност на компаниите се оставени да синхронизираат премногу различни безбедносни алатки и сетови на податоци од повеќе производители. Специјалистите за безбедност се борат со морето податоци, што резултира со преоптоварување на алармирањето, со премногу лажни позитиви и мала интеграција на податоците со алатките за анализа или одговор на инцидентите, и сето тоа под огромен оперативен стрес.
Одговорните за безбедност и управување со ризици на компаниите треба да ги земат предвид безбедносните предности и целокупната вредност на продуктивноста на решението XDR.
Како функционира XDR?
XDR внесува, корелира и контекстуализира повеќе струи на телеметрија. XDR може да анализира и тактики, техники и процедури (TTP) и други вектори на закана, за да ги направи сложените безбедносни операции подостапни за безбедносните тимови кои немаат ресурси за силно приспособени решенија за точки. XDR ги отстранува застрашувачките циклуси на откривање и истражување и се фокусира на контекстот на заканите за побрзо да одговори на истите и обезбеди континуитет на бизнисот.
Безбедноста XDR обезбедува напредни способности за откривање и одговор на закани, вклучувајќи:
- Откривање и одговор на насочени напади
- Вградена поддршка за анализа на однесувањето на корисниците и технолошките средства
- Разузнавачки информации за закани, вклучително и споделени разузнавачки информации за локални закани, вклучително и разузнавачки извори за закани стекнати надворешно
- Намалување на потребата да се бркаат лажни позитиви со автоматско поврзување и потврдување на предупредувањата
- Интегрирање на релевантни податоци за побрза, попрецизна класификација на инцидентите
- Централизирана конфигурација и зголемени способност за проценка на приоритетите на активностите
- Централизиран интерфејс за извршување истраги и одговор на настаните
- Playbooks со автоматизација за аналитичарите за воспоставување најдобри практики
- Мулти-векторска, мулти-вендорска аналитика
- Автоматизација и оркестрација за насочување на многубројите SOC процеси
Кои се придобивките од XDR?
- Откривањето на денешните напредни закани бара повеќе од збирка точки решенија.
- XDR безбедноста обезбедува напредни способности за откривање и одговор на закани, вклучувајќи:
- Конвертирање на големиот број на предупредувања во многу помал број инциденти на кои треба да им се даде приоритет за рачна истрага
- Обезбедување интегрирани опции за одговор на инциденти кои имаат неопходен контекст од сите безбедносни компоненти за брзо решавање на предупредувањата
- Обезбедување опции за одговор кои ги надминуваат контролните точки на инфраструктурата, вклучувајќи ги мрежите, облачните решенија како и крајните точки, обезбедувајќи сеопфатна заштита.
- Обезбедување на автоматизација за повторливите задачи со цел да се подобри продуктивноста
- Редукција на тренинзи и подигање на поддршката за ниво 1, преку соделување на заедничкото искуство во управувањето и работниот тек низ безбедносните компоненти
- Обезбедување употреблива и висококвалитетна содржина за откривање која бара многу малку подесувања
XDR ги подобрува критичните функции на кибер-безбедносните тимови кога реагираат на напад во нивната околина:
-
Откривање
Идентификување на повеќе и позначајни закани со комбинирање на телеметрија на крајната точка со растечката листа на безбедносни контроли, како и безбедносни настани, собрани и анализирани од безбедносните информации и аналитичките платформи.
-
Истражување
Здружувањето човек-машина ги корелира сите релевантни информации за заканите и применува безбедносни активности согласно потребите за да помогне во идентификацијата на основната цел на нападот.
-
Препораки
Им обезбедува на аналитичарите препораки за понатамошната истрага преку дополнителни прашања, но и нуди релевантни активности за одговор, кои најефективно би го подобриле ограничувањето или санирањето на откриените ризици или закани.
-
Лов
Обезбедување на можности за пребарување со сензорска телеметрија низ складиштата на податоци од повеќе добавувачи во потрага по сомнителни однесувања на заканите, дозволувајќи им на ловците на закани да лоцираат и да преземат акција врз основа на постоечките искуства и препораки.
Која е разликата помеѓу XDR, MDR и EDR?
EDR (Endpoint Detection and Response) обезбедува откривање и одговор за крајните точки. Многу организации започнуваат со EDR и напредуваат до XDR.
MDR (Managed Detection and Response) обезбедува откривање и одговор како управувана услуга.
XDR (Extended Detection and Response) обезбедува откривање и одговор преку повеќе безбедносни контроли и извори на податоци.
Trellix XDR
Trellix XDR ја поедноставува видливоста и ја рационализира анализата, со внесување податоци од природните безбедносни контроли на Trellix низ крајната точка, мрежата, податоците и безбедноста на облакот. Решението внесува податоци од повеќе од 1 милијарда сензори за повеќевекторско откривање. Можете исто така да ги искористите безбедносните контроли што не се на Trellix користејќи отворени интеграции за да собирате податоци од над 1.000 извори од трети страни за да може вашиот тим да ги отклучи и да добие повеќе од податоците што веќе ги поседувате.
Детекцијата се овозможува со помош на корелација меѓу продавачите и повеќе вектори за закана за да се создаде контекст. Познатите и рутински закани се елиминираат со автоматизирани одговори. Разузнавањето за поретки или нови активни закани се создава со помош на увидите од Напредно истражувачки центар на Trellix и мрежата од над 1 милијарда глобални сензори. Појавените закани со потенцијално масивно влијание се откриваат и се приоритизираат со помош на аналитика управувана од вештачка интелигенција, која им помага на тимовите да останат чекор напред пред еволуирачкиот пејзаж на закани.
