През последните двадесет години платформите за управление на информация и събития в областта на сигурността (SIEM) са едно от ключовите решения за управление на киберсигурността, тъй като помагат на екипите по сигурността да централизират дейностите по откриване на атаки и заплахи. Сега индустрията за киберсигурност се ориентира към нов тип решения, известни като разширено откриване и реагиране (XDR).
Тъй като двете технологии са сходни и имат припокриващи се възможности, много хора все още не знаят по какво се различават. Изборът на правилното решение обаче е от решаващо значение за изграждането на ефективна и устойчива архитектура за сигурност, която поддържа нуждите, които клиентите изискват от MSP.
Основни разлики между XDR и SIEM
Съществената разлика между XDR и SIEM е, че последният прилага по-общ подход, което го прави по-малко ефективен от платформите XDR, които са тясно специализирани в корелирането на информация за сигурността и могат да откриват атаки и заплахи със значително по-малко усилия. Инструментите SIEM позволяват на организациите да събират логове и сигнали от множество решения. Тази технология обаче не включва анализ или автоматизация, за разлика от XDR, която включва елементи на EDR и MDR, формирайки цялостно решение, което подобрява откриването и реакцията. XDR използва данните, събрани от SIEM, за да осигури по-управляемо ниво на сигналите и данните, което го прави идеално допълнение към технологията SIEM.
Освен това може да се каже, че XDR предлага алтернатива на традиционните реактивни подходи, които осигуряват многопластова видимост на атаките, като EDR, NDR и анализ на поведението на потребителите (UBA) или дори SIEM. Той е в състояние да реализира действия за реагиране, като получава данни от различни източници, корелира ги и ги класифицира автоматично, за да генерира откриване. След като заплахата бъде открита, тя получава оценка за критичност, въз основа на която се извършва конкретно действие, което може да бъде програмирано да бъде извършено и след това или в бъдеще, когато възникне ситуация, отговаряща на същите критерии. За сравнение, SIEM е пасивна и информира потребителите чрез генериране на сигнали, които трябва да бъдат управлявани от квалифициран персонал.
Следващите четири точки подчертават основните разлики между двете решения:
1. Цел:
Повечето решения SIEM осигуряват централизирано управление на логовете и възможности за анализ на организацията. Това включва генериране на сигнали, корелиране на данни от множество избрани решения и възможност за анализ след събития. SIEM може да се използва и за мониторинг на съответствието, ограничаване и по-обстойно отчитане.
XDR се фокусира върху използването на събраните данни за подобряване на откриването и реагирането на заплахи. Неговата цел е да идентифицира, разследва и предприема подходящи действия за бързо и ефективно разрешаване на инциденти.
2. Сложност на управлението:
Тъй като са по-отворени, решенията SIEM често изискват значителни усилия за управление, за да се свържат с източниците на данни, да се корелират събитията и да се конфигурират предупрежденията. Като се има предвид обемът на информацията, която обработват за централизирана видимост, те произвеждат голям обем отделни сигнали, които трудно се класифицират и приоритизират.
За разлика от тях решенията XDR са проектирани така, че да се интегрират по-лесно в архитектурата за сигурност на компанията. Предимството, което предоставя това, е, че намалява броя на съответните сигнали, които в противен случай могат да бъдат пренебрегнати. Чрез внедряването на автоматична корелация на данните от различните нива на сигурност сигналите могат да бъдат потвърждавани автоматично, като по този начин се намалява времето, необходимо на анализаторите по сигурността да оценяват сигналите и рисковете и да решават на какво трябва да се обърне внимание и да се извърши допълнително разследване. Освен това централизираното конфигуриране, което генерира тежест на сигналите, помага да се определи приоритетът на действията, които трябва да се предприемат. XDR също така изисква по-малко часове за обучение и предоставя унифицирано управление и опит за работа с множество компоненти за сигурност.
3. Съхранение на данни:
Докато решенията SIEM действат като централно хранилище на данни за компании за сигурност като MSP и позволяват дългосрочно съхранение, XDR обикновено получава достъп до данни от други източници, които съхранява временно единствено за целите на анализа.
4. Отзивчивост:
Въпреки че повечето настоящи SIEM решения имат и някои възможности за реагиране, по принцип те са инструмент за анализ на данни, който може да предостави на MSP данни и предупреждения, необходими за идентифициране на заплахите, атакуващи организацията. XDR разширява тези възможности и може да поддържа и координира усилията за реагиране в рамките на едно и също решение.
Как MSP могат да насочат клиентите си да изберат решенията, които най-добре отговарят на техните нужди
Доставчиците на управлявана киберсигурност се нуждаят от лостове, тъй като се конкурират, за да отговорят на променящите се изисквания за сигурност на своите клиенти. Като добавят към офертата си решения като XDR и SIEM, те могат да помогнат на организациите да укрепят сигурността си, като същевременно подобрят собствената си оперативна ефективност. За да добавят стойност чрез тези решения обаче, те трябва да могат да насочват клиентите си и да препоръчват най-подходящото за техните нужди.
SIEM може да бъде полезен инструмент, ако клиентът разполага с времето и ресурсите, които да му отдели. Например, ако компанията има изисквания за съответствие и управление на оперативния риск, в допълнение към откриването на заплахи, тя може да се нуждае от SIEM, за да отговори на тези по-широки изисквания за отчитане и събиране на данни.
Ако компанията вече използва решение SIEM, препоръчително е да включи решение XDR, за да допълни и засили възможностите за реакция на екипа.
Основното предизвикателство, което SIEM поставя, е умората от предупрежденията. Тези решения генерират голям брой сигнали, включително фалшиво положителни, така че ако клиентът разполага с малък екип, необходимостта да класифицира и разследва всички тях може да стане непосилна. Тъй като това е по-широкообхватно и по-сложно решение, разходите са по-високи, което по-умерените компании може да не могат да си позволят.
XDR е идеално решение за малки и средни по големина компании, тъй като спестява ресурси, време и разходи. Но е важно да се подчертае, че това е по-специализирано решение, докато SIEM е по-широкообхватно и може да корелира по-различни данни, включително други решения извън защитната стена и крайните точки, като например прокси или логове на приложения. Независимо от това автоматизацията елиминира голяма част от работата, изисквана от решението SIEM, и тази технология не изисква толкова високо ниво на специализация от екипа, което е добре дошло, като се има предвид настоящият недостиг на специализирани таланти в областта на киберсигурността. До известна степен едно XDR решение като ThreatSync на WatchGuard решава някои от основните предизвикателства, поставени от SIEM решенията, но в крайна сметка всичко ще зависи от възможностите и ситуацията на отделния клиент.
WatchGuard
