Σε ένα διαρκώς μεταβαλλόμενο περιβάλλον κυβερνοασφάλειας, οι οργανισμοί πρέπει να προσαρμόζουν την ασφάλειά τους προκειμένου να διασφαλίζονται καλύτερα. Καθώς το περιβάλλον γίνετε πιο περίπλοκο, το ανοικτό XDR έχει αναδειχθεί ως ένα προηγμένο εργαλείο ανίχνευσης και απόκρισης που οι εταιρείες θα πρέπει να εξετάσουν.
Σε αυτό το άρθρο, θα αναλύσουμε τι ακριβώς είναι το open XDR, τι είδους οφέλη μπορείτε να περιμένετε και αν αυτή η τεχνολογία είναι κατάλληλη για την επιχείρησή σας.
Table of Contents
Τι είναι το XDR;
Το XDR σημαίνει eXtended Detection and Response και συνδυάζει την παραδοσιακή ανίχνευση και απόκριση με την ανάλυση κίνησης του δικτύου και άλλες πηγές τηλεμετρίας από τα παραδοσιακά συστήματα διαχείρισης πληροφοριών και συμβάντων ασφαλείας (SIEM).
Με την αξιοποίηση της τηλεμετρίας και των δεδομένων ασφαλείας από πολλαπλές πηγές ασφαλείας, συμπεριλαμβανομένων των παραδοσιακών εργαλείων ανίχνευσης και απόκρισης τελικών σημείων, οι οργανισμοί είναι καλύτερα εξοπλισμένοι για να ανιχνεύσουν μια ασυνήθιστη συμπεριφορά και να κατανοήσουν πώς και αν έχει συμβεί μια παραβίαση.
Επιλογές του XDR:
Οι λύσεις XDR ποικίλλουν ανάλογα με τον προμηθευτή, αλλά πολλές αξιοποιούν αναλύσεις και δεδομένα από διάφορα στοιχεία back-end και front-end. Αυτά περιλαμβάνουν:
- Firewalls (virtual and on-premise)
- Network data
- Endpoint data
- Cloud services
- Email systems
- Endpoint detection and response (EDR) tools
- Identity and access management solutions
- Intrusion and prevention systems
- Cloud access security brokers (CASB)
Κάθε λύση XDR είναι διαφορετική και αν βρίσκεστε στην αγορά, θα πρέπει να εξετάσετε προσεκτικά τον τρόπο με τον οποίο το εργαλείο θα ενσωματωθεί στο περιβάλλον σας.
Τι είναι το Open XDR;
Το Open XDR, που αναφέρεται επίσης ως everything XDR, είναι μια προσέγγιση XDR που δεν εξαρτάται από τον προμηθευτή και ενσωματώνει το υπάρχον περιβάλλον ασφαλείας του πελάτη, ενσωματώνοντας όλα τα εργαλεία ασφαλείας του ως μέρος της συλλογής και ανάλυσης δεδομένων. Ονομάζεται “Open” XDR επειδή ακολουθεί μια ανοικτή προσέγγιση, συγκεντρώνοντας δεδομένα από όλες τις πηγές. Το παραδοσιακό ή
XDR, από την άλλη πλευρά, προσφέρει μια πλατφόρμα “όλα σε ένα” και δεν ενσωματώνει τρίτους προμηθευτές.Το ανοικτό XDR αναφέρεται επίσης ως υβριδικό XDR (για να αποφευχθούν οι συνειρμοί ανοικτού κώδικα). Ως σχετικά νέα λύση, το Open XDR ποικίλλει σε μεγάλο βαθμό μεταξύ των διαφόρων προμηθευτών που προσφέρουν την συγκεκριμένη προσέγγιση.
Πώς λειτουργεί το Open XDR;
Το Open XDR, σε αντίθεση με τις παραδοσιακές λύσεις XDR που ενσωματώνουν δεδομένα μόνο από την εγγενή τεχνολογική λειτουργία ενός προμηθευτή, έχει σχεδιαστεί για την εισαγωγή δεδομένων ασφαλείας από όλες τις διαθέσιμες πηγές. Αυτές οι λύσεις χρησιμοποιούν συχνά ανάλυση δεδομένων με τεχνητή νοημοσύνη για την εξαγωγή των σωστών πληροφοριών σχετικά με την ασφάλεια.
Το Open XDR αξιοποιεί το υπάρχον εργαλείο EDR ή SIEM ενός οργανισμού, συγκεντρώνοντας δεδομένα από on-prem, cloud καθώς και άλλες υβριδικές πηγές. Δεν έχει σχεδιαστεί για να αντικαταστήσει κάποια συγκεκριμένη τεχνολογία αλλά αντίθετα, τοποθετείται πάνω στην υπάρχουσα στοίβα ασφάλειας μιας εταιρείας, συγκεντρώνοντας τη συλλογή και την ανάλυση δεδομένων.
Πέντε πλεονεκτήματα του Open XDR:
Οι λύσεις Open XDR έχουν σχεδιαστεί για τη συγκέντρωση, τον εξορθολογισμό και τη συγκέντρωση της διαδικασίας συλλογής δεδομένων, επιτρέποντας στους οργανισμούς να εξοικονομούν κόστος και να βελτιώνουν τις πληροφορίες ασφαλείας τους. Δείτε τι μπορούν να περιμένουν οι οργανισμοί.
1.Centralized security data
Το Open XDR έχει σχεδιαστεί για να συγκεντρώνει δεδομένα από όλες τις πηγές ασφαλείας, παρέχοντας στους οργανισμούς μια ενιαία πλατφόρμα δεδομένων ασφαλείας αντί να χρειάζεται να συγκεντρώνουν δεδομένα από διαφορετικές πηγές χειροκίνητα.
2.Streamlined detection and response
Επειδή οι πληροφορίες μπορούν να βρεθούν σε μια ενιαία πηγή, οι αναλυτές ασφαλείας μπορούν εύκολα να εντοπίσουν έναν πιθανό εισβολέα ή μια ύποπτη συμπεριφορά που μπορεί να είναι σημάδι παραβίασης. Αυτό καθιστά τον χρόνο αντίδρασης πολύ ταχύτερο, μειώνοντας την έκθεση σε κίνδυνο και μειώνοντας τη ζημία που μπορεί να έχει μια εισβολή.
3.Scalability is possible
Η φύση των
σας επιτρέπει να ενσωματώσετε νέα εργαλεία και τεχνολογίες ασφαλείας και να τα ενσωματώσετε και να τα συνδέσετε εύκολα με την ανοικτή λύση XDR. Καθώς το τμήμα ασφαλείας σας κλιμακώνεται και εισάγεται νέα τεχνολογία, αυτό είναι ένα βασικό πλεονέκτημα που αξίζει να τονιστεί.4. Μειωμένη χρήση πόρων
Ένα
μπορεί να απελευθερώσει χρόνο και χρήμα απλοποιώντας τη διαδικασία διαχείρισης των προμηθευτών. Με τους αναλυτές ασφαλείας να έχουν ένα ενιαίο σημείο πρόσβασης μέσω του XDR, μια εταιρεία μπορεί να εξοικονομήσει πολύτιμους πόρους.5. Συνεχής βελτιστοποίηση των εργαλείων ασφαλείας
Επειδή ένα open XDR εισάγει δεδομένα ασφαλείας σε πραγματικό χρόνο, μπορείτε να δείτε αν ένα υπάρχον εργαλείο σταματά να συλλέγει δεδομένα ή αν παράγει ψευδώς θετικά αποτελέσματα. Αυτό βοηθά να διασφαλίσετε ότι η τεχνολογία σας λειτουργεί και βελτιστοποιείται σε συνεχή βάση.
Open XDR vs. native XDR: ποια λύση είναι η καλύτερη;
Δεν πρέπει όλοι οι οργανισμοί να χρησιμοποιούν ένα open XDR, και το ίδιο ισχύει και για τις πιο παραδοσιακές, εγγενείς λύσεις XDR. Ακολουθούν μερικά από τα βασικά χαρακτηριστικά που πρέπει να εξετάζουν οι οργανισμοί όταν επιλέγουν μεταξύ του open XDR ή native XDR.
Πότε θα πρέπει να επιλέξετε το Open XDR;
Το open XDR είναι η καλύτερη λύση για έναν οργανισμό με μεγάλο εύρος ασφαλείας και καλά εξοπλισμένο περιβάλλον ασφαλείας. Αυτό μπορεί να περιλαμβάνει λύσεις EDR και SIEM. Σε αυτή την περίπτωση, ένα open XDR διορθώνει αυτό που πιθανώς αποτελεί πρόκληση για την υπηρεσία – τη διαχείριση πολλαπλών προμηθευτών και πηγών δεδομένων ασφαλείας.
Πότε πρέπει να επιλέξετε native XDR;
Η επιλογή του open XDR είναι τόσο αποτελεσματική όσο και οι πηγές δεδομένων που την τροφοδοτούν. Εάν το περιβάλλον ασφαλείας σας είναι μικρό ή έχετε μόνο λίγες πηγές δεδομένων, τότε μια λύση native XDR μπορεί να σας βοηθήσει στην επέκταση της τρέχουσας τεχνολογικής δραστηριότητάς σας, εισάγοντας νέες πηγές των δεδομένων ασφαλείας.
Open XDR έναντι EDR και SIEM
Μπορεί να προσπαθείτε να επιλέξετε μεταξύ μιας λύσης open XDR και μιας λύσης EDR ή SIEM, αλλά αυτές οι επιλογές είναι αρκετά διαφορετικές και μπορεί να βρεθείτε με τη λάθος επιλογή για τον οργανισμό σας.
Ένα EDR ή SIEM είναι διαφορετικά είδη πηγών ασφαλείας που βοηθούν έναν οργανισμό να ανιχνεύσει αν το δίκτυό του έχει παραβιαστεί. Για να το θέσουμε απλά, οι διαφορές μεταξύ των δύο είναι κυρίως από πού προέρχονται τα δεδομένα.
Όπως υποδηλώνει και το όνομα, τα EDR συλλέγουν πληροφορίες από διάφορα τελικά σημεία ενός δικτύου, συνήθως με τη μορφή ενός agent που είναι εγκατεστημένος σε ένα μηχάνημα. Τα EDR ακολουθούν μια προσέγγιση προς τις συσκευές – συλλέγοντας, συσχετίζοντας και ενδεχομένως προειδοποιώντας για ασυνήθιστη δραστηριότητα που προέρχεται από μια συγκεκριμένη συσκευή.
Αυτά τα εναύσματα μπορεί να είναι συνδέσεις σε ασυνήθιστες διευθύνσεις IP, η συσκευή να εκτελεί παράξενες αναζητήσεις DNS, πρόσβαση ή αλλαγές σε διάφορα κλειδιά μητρώου και νέες, απροσδόκητες ή ασυνήθιστες κλήσεις συστήματος, διεργασίες ή συμπεριφορά των εφαρμογών.
Σε αντίθεση με τις παραδοσιακές λύσεις προστασίας από ιούς, τα EDR χρησιμοποιούν
και για να εντοπίζουν κακόβουλη συμπεριφορά σε μια συγκεκριμένη συσκευή. Στη συνέχεια, τα EDRs χρησιμοποιούν αυτές τις πληροφορίες για συσχετισμό ή εύρεση απειλών σε άλλες συσκευές που εκτελούν τον EDR agent.Ωστόσο, τα EDR συχνά στερούνται το ευρύτερο πλαίσιο του τι συμβαίνει στο δίκτυο, στα περιμετρικά τείχη προστασίας ή στους
, στο Active Directory ή σε οποιαδήποτε συσκευή στην οποία δεν μπορεί να εγκατασταθεί ένας agent.Από την άλλη πλευρά, ένα SIEM είναι λίγο πιο εκτεταμένο και δεν περιορίζεται μόνο στα τελικά σημεία. Συλλέγει πληροφορίες από τείχη προστασίας, διακομιστές, αρχεία καταγραφής και ενδεχομένως από τις ίδιες τις πηγές EDR. Πολλά εργαλεία SIEM προσφέρουν δυνατότητες αναζήτησης αρχείων καταγραφής για την εύρεση απειλών, καθώς και έτοιμους κανόνες συσχέτισης με βάση τα δεδομένα που είναι σε θέση να συλλέξουν.
Το Open XDR λειτουργεί καλύτερα όταν συγκεντρώνει δεδομένα από πολλαπλές πηγές, όπως ένα EDR και ένα εργαλείο SIEM. Αυτός είναι ο λόγος για τον οποίο συνιστούμε στους οργανισμούς να εξετάσουν μια λύση Open XDR μόνο αφού το περιβάλλον τους το απαιτήσει, αντί να ξεκινήσουν κατευθείαν με το Open XDR.