Det mangler ikke "buzzwords" rundt datasikkerhet, og det kan være vanskelig å vite forskjellen mellom hva som virkelig er nytt og hva som er "same shit, new wrapping".
XDR står for eXtended Detection and Response. I følge Gartner, som kom opp med begrepet i 2020, er XDR - et "threat hunting og respons system". XDR-løsninger samler flere sikkerhetsprodukter (levert av en og samme leverandør) for å få mer nøyaktig trusseljakt og kortere responstid på hackerangrep. WatchGuard kaller sin XDR-løsning THREATSYNC. Les mer.
XDR øker sikkerhet fordi den får enheter og systemer til å snakke sammen. XDR samler og viser alt som kjører på pc'er, servere og brannmurer på en helhetlig måte slik at sikkerhetsteamet kan se prosesser som kjører i en sammenheng. Da blir det enklere å oppdage uvanlig atferd og stoppe trusler før de gjør skade. Alt som kjører vises på én enkel "Cloud Console". Med XDR er det mulig å oppdage trusler både på enheter som har beskyttelse og på de som ikke har beskyttelse. Verktøyet bruker "cross-domain data" til å oppdage trusler som er usynlige på endepunkter og perimeteren i IT-miljøet.
Ved å sette data fra hele IT-miljøet i sammenheng kan XDR-verktøyet lettere klassifisere og oppdage når tilsynelatende legitime prosesser faktisk er "IoC - Indicators of Compromise". Automatisert klassifiseringen med tilsvarende respons (som er en del av XDR) sparer IT-teamet for mye tid og arbeid. Systemet vil slette en fil, isolere et endepunkt, eller blokkere en IP-adresse automatisk - uten at IT-avdelingen må gripe inn.
XDR er en naturlig utvikling av Endpoint Detection and Response (EDR). XDR forbedrer beskyttelsen ved å inkludere, ikke bare endepunkter, men også, nettverket, e-post o.l. så lenge du har integrerte sikkerhetsprodukter fra den samme leverandøren. (Med WatchGuard er det WiFi Aksesspunkter, Firebox Brannmurer og AuthPoint Flerfaktor-autentisering som kan integreres med WatchGuard sin XDR-løsning.)
Med XDR skjer disse EDR prosessene på tvers av integrerte sikkerhetsprodukter:
Atferd på tvers av hele IT-miljøet, ikke bare endepunkter, vurderes i sammenheng for sikrere og raskere deteksjon av trusler.
Den største forskjellen mellom SIEM (Security Information and Event Management) og XDR er at SIEM mangler evne til å analysere og automatisere.
Du kan si at XDR endrer hele sikkerhetsstrategien fra reaktiv til proaktiv. XDR kan sette i gang "response-actions" ved å samle data fra forskjellige kilder. Den kan analysere prosesser i sammenheng, og deretter - hvis du har WatchGuard XDR - klassifisere de med 100% sikkerhet. Dersom en hendelse viser seg å være en trussel, får den en "alvorlighets-vurdering" med tilsvarende respons. Responsen - som er basert på "alvorlighets-vurderingen" - programmeres inn på forhånd. Man kan også programmere verktøyet til å kjøre den samme responsen dersom lignende hendelser skjer i fremtiden.
SIEM, derimot, er passiv og kan kun informere IT-teamet med varsler - som deretter må vurderes manuelt i hvert enkelt tilfelle. OBS! Hvis en bedrift trenger SIEM for å overholde regler eller oppbevare data over lengre tid, kan XDR brukes på toppen av eksisterende SIEM.
XDR ville sannsynligvis ha oppdaget ABB og British Airways angrepene i en tidlig fase. Hvis du begynner fra scratch med datasikkerhet for din bedrift er det veldig lurt å vurdere integrerte produkter fra den samme leverandøren. Har du allerede en annen type databeskyttelse er det godt å vite at EDR, som er den viktigste delen av XDR, kan bygges på toppen av eksisterende løsninger!