Решенията за киберсигурност са се развили от основни технологии за разследване и откриване до решения за поведенчески анализ, които позволяват откриване и реагиране в реално време. Въпреки това, за да бъдат наистина ефективни, те трябва да защитават и от аномално поведение, което може да изглежда безобидно само по себе си, но след придобиване на по-широка представа чрез корелация и контекстуализиране на откритията се оказва инцидент, на който трябва да се реагира възможно най-скоро.
Терминът “откриване и реагиране” обхваща технологии, които се стремят да осигурят по-голяма видимост, по-големи възможности за идентифициране и по-ефективно реагиране на заплахите в широка атакуваща повърхност. Тъй като EDR и XDR звучат подобно, може да възникне объркване.
EDR срещу XDR
Основната разлика между двете решения е, че XDR е естествената еволюция на EDR, тъй като разширява неговите възможности. Задълбоченият поглед разкрива други ключови разлики, описани по-долу:
1- Събиране на данни:
EDR събира телеметрия, която може да включва специфични видове и обем на дейностите, извършвани от крайната точка и всички, с които тя комуникира, както в рамките на организацията, така и извън нея. Както и видовете данни и файлове, преминаващи към и от тази крайна точка. XDR, от друга страна, събира данни от повече източници. Той допълва телеметрията от решението за EDR, като я съпоставя с други източници, като например мрежов трафик или активност на идентичността, като съпоставя тези данни и представя по-широк контекст.
2 – Анализ на данните:
В случая на EDR данните за крайни точки се изпращат на механизъм за анализ на EDR, който открива аномално поведение и го съпоставя с индикатори за атака (IoA), показващи, че може да са налице известни видове злонамерена дейност. Събирайки други данни от средата, XDR е в състояние да идентифицира естеството и източника на всяка открита злонамерена дейност с важно ниво на достоверност, като по този начин намалява фалшивите положителни резултати и увеличава надеждността и точността.
3 – Откриване на заплахи и реакция:
Технологията EDR използва изкуствен интелект (AI), машинно обучение (ML) и усъвършенстван анализ на файлове, за да анализира поведението на устройствата и да идентифицира усъвършенствани заплахи и зловреден софтуер. Тя разполага и с механизми за автоматичен отговор с действия като изпращане на сигнали за сигурност, изолиране на устройството от мрежата и премахване или прекратяване на потенциални заплахи. Същевременно технологията XDR, чрез използване на кръстосани домейни и корелация на наблюдаваните дейности от различни продукти за сигурност, осигурява контекст на заплахите, оценява и открива злонамерени сценарии, които биха могли да бъдат индикатори за компрометиране (IoC), като намалява средното време за откриване (MTTD) и бързо съдържа въздействието, сериозността и обхвата на заплахите. XDR също така дава възможност за оркестрирана междудомейнна реакция на местно ниво, като например съвместна реакция на крайни точки и мрежи, изолиране на крайни точки и блокиране на външния IP адрес, свързан с инцидента.
EDR или XDR: кое от двете отговаря по-добре на нуждите на вашите клиенти?
Макар да е вярно, че EDR и XDR обхващат общи случаи на употреба, те са различни и отговарят на специфични нужди. Когато обмислят приемането или препоръчването на едно от тези решения за своите клиенти, MSP трябва да оценят текущото положение и възможностите на клиентите си, за да предложат варианта, който най-добре отговаря на техните нужди. Елементите, които трябва да се оценят, включват:
ИТ инфраструктура: Първата стъпка е да се определи кои активи трябва да бъдат защитени. Решението XDR е идеално за средни по големина компании с ограничен персонал и недостиг на автоматизирани инструменти, което означава, че те трябва да прекарват дълго време в ръчно сортиране на откритията, управление на сигналите и достъп до множество конзоли, за да съберат тази информация и да я контекстуализират, така че да знаят как да действат, когато се сблъскат със заплаха.
Необходими познания по безопасност: Решенията EDR и XDR изискват известни познания за ефективното им внедряване и управление, както и опит в областта на сигурността и лова на заплахи. Ако компанията използва управлявани услуги, това може да не е толкова важно, тъй като тя разполага с квалифициран персонал за внедряване на всяка от тези технологии. MSP, които съветват компаниите кои решения да приемат, трябва да направят препоръка въз основа на нуждите на клиента, информираността за кибератаките и колко служители и каква инфраструктура разполага предприятието.
Въз основа на тези ключови критерии MSP могат да насочват организациите при внедряването на решения и услуги. В WatchGuard предоставяме нашите инструменти за откриване и реагиране на крайни точки (Endpoint Detection and Response – EDR) и XDR на нашите партньори с WatchGuard ThreatSync, така че те да могат да ги използват за предоставяне на услуги с добавена стойност или да ги препоръчват на крайните клиенти, защото макар и двете решения да осигуряват висока степен на автоматизация на откриването и реагирането, ThreatSync отива още по-далеч, като разширява тези възможности, организирайки откриването и реагирането в множество решения за сигурност.
watchguard.com