XDR: nowy bat na hakerów

Jeszcze do niedawna ochrona urządzeń końcowych kojarzyła się przede wszystkim z oprogramowaniem antywirusowym. Wprawdzie antywirusy przeszły w ostatnich latach metamorfozę i powstrzymują dużo więcej złośliwego kodu niż kiedykolwiek, aczkolwiek wciąż nie radzą sobie z atakami bez plikowymi czy wielowektorowymi. Dlatego też kilka lat temu producenci wprowadzili zupełnie nowe narzędzie w postaci EDR (Endpoint Detection and Response). W odróżnieniu od antywirusów nie skupia się ono na identyfikacji złośliwego oprogramowania, lecz na detekcji nieprawidłowych działań. EDR zapewnia szczegółowy wgląd w strukturę IT przedsiębiorstwa i wszelkich działań realizowanych w firmowej sieci. Oprogramowanie tej klasy spotkało się z bardzo dobrym przyjęciem na rynku, dlatego też producenci postanowili pójść za ciosem, wprowadzając na rynek systemy XDR (Extended Detection and Response).

Czym jest XDR?

Jak to zwykle bywa w przypadku wschodzącej kategorii technologii, niemal wszyscy dostawcy systemów bezpieczeństwa deklarują posiadanie takiego rozwiązania. Nie inaczej wygląda to w przypadku XDR. Dlatego też analitycy Forrester podjęli się definicji tej klasy oprogramowania, według której XDR jest wynikiem ewolucji EDR i optymalizuje wykrywanie zagrożeń, ich badanie oraz poszukiwanie w czasie rzeczywistym. Ponadto ujednolica i automatycznie koreluje informacje pochodzące z punktów końcowych, poczty elektronicznej, serwerów, obciążeń chmury i sieci.  Takie podejście pozwala na szybsze identyfikowanie zagrożeń i efektywniejsze analizowanie zdarzeń oraz reagowanie na przestrzeni wielu warstw zabezpieczeń. XDR jest zbudowany na infrastrukturze Big Data, co umożliwia korelację i automatyczną analizę przyczyn źródłowych w oparciu o szerszy kontekst, wychodzący poza telemetrię punktów końcowych.

Natywny XDR czy hybrydowy XDR

Forrester dzieli rozwiązania XDR na natywne oraz hybrydowe. Pierwsze z wymienionych opierają się na ścisłym dopasowaniu portfolio dostawcy i silniejszej integracji między własnymi elementami zapewniającymi telemetrię. Z kolei hybrydowe XDR bazuje na połączeniu autorskich systemów z zewnętrznymi dostawcami w celu zbierania danych telemetrycznych niezwiązanych z urządzeniami końcowymi. Natywny XDR jest szybszy we wdrożeniu, a tym samym zapewnia krótszy czas uzyskania korzyści. Rozwiązanie natywne oferuje wyższy stopień automatyzacji i jest łatwiejsze w obsłudze. Analitycy Forrester sugerują, że mniejsze organizacje z ograniczoną liczbą specjalistów ds. bezpieczeństwa powinny postawić na XDR natywny, zaś większe firmy z rozbudowanymi działami IT na hybrydowy.

•  Najłatwiejszą ścieżką dla firm, które chcą rozpocząć pracę z XDR jest wdrożenie EDR i umożliwienie zespołowi ds. bezpieczeństwa stopniowej ewolucji poprzez dodawanie w razie potrzeby dodatkowych systemów telemetrycznych. Nasz system Bitdefender XEDR zaprojektowano z myślą o umożliwieniu użytkownikom dodawania telemetrii wykraczającej poza punkty końcowe. Pierwszym dodatkowym źródłem telemetrii wbudowanym w XEDR jest Bitdefender Network Sensor, który kontroluje zaszyfrowany lub nieszyfrowany ruch sieciowy przy użyciu kombinacji uczenia maszynowego, analizy zachowań i inteligencji zagrożeń. - wyjaśnia Mariusz Politowicz, z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Analitycy w raporcie dotyczącym XDR wzięli pod lupę 29 dostawców systemów bezpieczeństwa.  Forrester prognozuje, że technologia XDR zastąpi w niezbyt odległej przyszłości systemy EDR, a w dłuższej perspektywie czasu oprogramowanie SIEM (Security Information and Event Management). 

Źródło: marken.com.pl; bitdefender.pl