Доставчиците на управлявани услуги (MSP) трябва да са подготвени да защитават клиентите си от съвременни заплахи и за целта трябва да следят различните източници на данни, като внедряват решения, които са предназначени да подобрят сигурността на клиентите им чрез ефективно откриване и проактивни реакции на потенциални инциденти.
Именно тук влизат в действие технологии като SOAR (Security Orchestration, Automation, and Response – оркестриране, автоматизиране и реагиране на сигурността) или XDR (Extended Detection and Response – разширено откриване и реагиране), които помагат за автоматизиране, оркестриране и реагиране на заплахите за киберсигурността. Макар че и двете решения имат сходни възможности по отношение на функционалността, съществуват значителни разлики, които трябва да се разберат, когато се оценява стойността, която те могат да предоставят на MSP.
4 основни разлики между XDR и SOAR
Платформите SOAR често са разширение на решенията SIEM, така че те са предназначени да добавят възможности за оркестрация, автоматизация и реагиране към тези инструменти, което води до цялостна платформа за разузнаване на заплахите. SOAR предоставя наръчници с подробно описание на стъпките, които трябва да се предприемат при възникване на инцидент, чрез автоматизиране на най-често използваните от анализаторите работни процеси и подпомагане на внедряването на междинен софтуер за сигурност, който позволява комуникация между различните инструменти за сигурност.
XDR комбинира като минимум данни за крайни точки и мрежи, за да подобри откриването, разследването и реагирането на заплахи, което му позволява да осигури усъвършенствано откриване и автоматизирано реагиране, за да смекчи атаките възможно най-рано, като същевременно избягва допълнителните разходи за решение SOAR. Тъй като се добавят инструменти за сигурност, като например за сигурност на крайни точки, мрежова сигурност или услуги за удостоверяване, а комуникацията между тях корелира и контекстуализира откритията, това увеличава видимостта и като следствие – наличните възможности на XDR. В резултат на тази интеграция получавате единна консолидирана платформа за сигурност, която обединява откриването на заплахи и реагирането, което намалява времето, усилията и допълнителната сложност на управлението на множество независими решения.
Тези две технологии си приличат, но между тях има и съществени разлики, като например:
Фокус:
Решенията SOAR се фокусират върху оркестрирането и автоматизирането на процесите за реагиране на инциденти в областта на киберсигурността. Целта на тази оркестрация е да рационализира и подобри ефективността на екипите по сигурността чрез автоматизиране на ръчни и повтарящи се задачи, в допълнение към интегрирането на различни инструменти и процеси.
За разлика от това, една от основните силни страни на XDR е интегрирането на различни продукти от един и същ доставчик, което му позволява да открива злонамерено поведение и да намалява времето за откриване на заплахи и за реакция. Интегрирането на различни инструменти за сигурност корелира и контекстуализира данните за сигурността, като създава по-сигурни открития, отколкото при тези, създадени в изолирани и несвързани решения. Това води до по-малък брой сигнали, които също са с висока степен на приложимост, като намаляват времето, необходимо на бизнеса да реагира и да отстрани текуща атака.
Обхват:
Основната цел на SOAR е да рационализира и координира действията за реагиране чрез автоматизирани работни потоци, докато XDR се фокусира върху откриването и реагирането на напреднали заплахи в множество вектори на атака, като крайни точки, мрежи и облак. Тя има за цел да осигури по-голяма видимост и интегрирана корелация на данните за по-ефективно откриване. В този смисъл, и за разлика от SOAR, той идентифицира и реагира на заплахи за киберсигурността, преди те да се превърнат в инциденти, като открива подозрителни модели и потенциални рискове.
Източник на данни:
В платформата SOAR интеграцията между инструментите е доста сложна, тъй като обикновено включва голям брой инструменти, които не са свързани помежду си. Това води до проблеми с видимостта, нископриоритетни открития и дори до фалшиви положителни резултати. Така че, за да може един SOAR инструмент да бъде конфигуриран и откриван правилно, той трябва да бъде настройван редовно, което много компании не могат да си позволят поради настоящия недостиг на таланти и липсата на експертен опит в сектора на киберсигурността. От друга страна, XDR решава този проблем, като свързва тези инструменти или силози чрез интегриране на продукти за сигурност, осигурява много по-усъвършенстван анализ на данните за откриване и реагиране на заплахи и осигурява по-висока видимост на средите и подобрена мащабируемост.
Функционалности / автоматизация:
SOAR се фокусира върху автоматизирането на работните процеси за реагиране на инциденти, но има за цел да бъде по-всеобхватна, включително предварително дефинирано изпълнение на действия, възлагане на задачи и управление на инциденти. XDR, от друга страна, включва високо ниво на автоматизация, но се фокусира повече върху проактивното откриване на заплахи чрез усъвършенстван анализ и корелация на данните в реално време, като предлага възможности за съдебно разследване и реагиране на инциденти.
Какви са предимствата на XDR за MSP?
Едно решение за XDR като ThreatSync на WatchGuard има за цел да покрие много от случаите на употреба, разглеждани от SOAR, но по по-прост, мащабируем и евтин начин. То подобрява позицията на клиентите по отношение на сигурността, като предлага на MSP по-голяма видимост и контекстуална представа за заплахите за киберсигурността, подобрява разширеното откриване на заплахи чрез кръстосани препратки към телеметрията от различни продукти и дава възможност за автоматичен или ръчен отговор на кибератаки – всичко това от едно решение. В случая с ThreatSync тази възможност е включена в унифицираната платформа за сигурност на WatchGuard и следователно не изисква допълнителни разходи нито от партньора, нито от неговите клиенти. Резултатът е съкратено време за откриване и реагиране на инциденти със сигурността при по-ниски разходи.