13.06.23 15:40 | Endepunktsikkerhet XDR - hva er det?

Det mangler ikke "buzzwords" rundt datasikkerhet, og det kan være vanskelig å vite forskjellen mellom hva som virkelig er nytt og hva som er "same shit, new wrapping". 

XDR står for eXtended Detection and Response. I følge Gartner, som kom opp med begrepet i 2020, er XDR - et "threat hunting og respons system". XDR-løsninger samler flere sikkerhetsprodukter (levert av en og samme leverandør) for å få mer nøyaktig trusseljakt og kortere responstid på hackerangrep. WatchGuard kaller sin XDR-løsning THREATSYNC. Les mer.

XDR øker sikkerhet fordi den får enheter og systemer til å snakke sammen. XDR samler og viser alt som kjører på pc'er, servere og brannmurer på en helhetlig måte slik at sikkerhetsteamet kan se prosesser som kjører i en sammenheng. Da blir det enklere å oppdage uvanlig atferd og stoppe trusler før de gjør skade. Alt som kjører vises på én enkel "Cloud Console". Med XDR er det mulig å oppdage trusler både på enheter som har beskyttelse og på de som ikke har beskyttelse. Verktøyet bruker "cross-domain data" til å oppdage trusler som er usynlige på endepunkter og perimeteren i IT-miljøet.

Ved å sette data fra hele IT-miljøet i sammenheng kan XDR-verktøyet lettere klassifisere og oppdage når tilsynelatende legitime prosesser faktisk er "IoC - Indicators of Compromise". Automatisert klassifiseringen med tilsvarende respons (som er en del av XDR) sparer IT-teamet for mye tid og arbeid. Systemet vil slette en fil, isolere et endepunkt, eller blokkere en IP-adresse automatisk - uten at IT-avdelingen må gripe inn.

HVA ER FORSKJELLEN MELLOM EDR og XDR?

XDR er en naturlig utvikling av Endpoint Detection and Response (EDR). XDR forbedrer beskyttelsen ved å inkludere, ikke bare endepunkter, men også, nettverket, e-post o.l. så lenge du har integrerte sikkerhetsprodukter fra den samme leverandøren. (Med WatchGuard er det WiFi Aksesspunkter, Firebox Brannmurer og AuthPoint Flerfaktor-autentisering som kan integreres med WatchGuard sin XDR-løsning.)

Med XDR skjer disse EDR prosessene på tvers av integrerte sikkerhetsprodukter:

• Forebygging - ZERO TRUST strategi
• Oppdagelse - THREAT HUNTING
• Etterforskning- 100% klassifisering av alt som kjører
• Respons - automatisk håndtering av trusler

Atferd på tvers av hele IT-miljøet, ikke bare endepunkter, vurderes i sammenheng for sikrere og raskere deteksjon av trusler.

HVA ER FORSKJELLEN MELLOM SIEM og XDR?

Den største forskjellen mellom SIEM (Security Information and Event Management) og XDR er at SIEM mangler evne til å analysere og automatisere. 

Du kan si at XDR endrer hele sikkerhetsstrategien fra reaktiv til proaktiv. XDR kan sette i gang "response-actions" ved å samle data fra forskjellige kilder. Den kan analysere prosesser i sammenheng, og deretter - hvis du har WatchGuard XDR - klassifisere de med 100% sikkerhet. Dersom en hendelse viser seg å være en trussel, får den en "alvorlighets-vurdering" med tilsvarende respons. Responsen - som er basert på "alvorlighets-vurderingen" - programmeres inn på forhånd. Man kan også programmere verktøyet til å kjøre den samme responsen dersom lignende hendelser skjer i fremtiden. 

SIEM, derimot, er passiv og kan kun informere IT-teamet med varsler - som deretter må vurderes manuelt i hvert enkelt tilfelle. OBS! Hvis en bedrift trenger SIEM for å overholde regler eller oppbevare data over lengre tid, kan XDR brukes på toppen av eksisterende SIEM.

OPPSUMMERING

• XDR står for eXtended Detection and Response
  
  
• XDR overvåker prosesser fra mange kilder i IT-miljøet - ikke bare endepunkter - og setter disse i sammenheng for mer nøyaktig klassifisering
  
  
• XDR er et proaktiv verktøy og vil slette en fil, isolere et endepunkt, eller blokkere en IP-adresse automatisk dersom den viser seg å være en trussel
  
  
• XDR er designet for MSP - Managed Service Providers - en nøyaktig og tidsbesparende løsning
  
  
• XDR har én enkel sky-konsoll som viser ALT som kjører i IT-miljøet