Co je XDR a jakou roli hraje v moderní kyberbezpečnosti?

XDR je zkratka pro kategorii produktů Extended Detection and Response, což je přístup k zabezpečení, který rozšiřuje možnosti EDR (Endpoint Detection and Response) o integrovanou detekci a reakci nejen na koncových bodech, ale také na aplikačních sadách, uživatelských profilech, lokálních datových centrech i pracovních zátěžích hostovaných v cloudu.

Podle analytické společnosti Gartner je XDR „nástroj pro detekci bezpečnostních hrozeb a reakci na incidenty založený na SaaS, který nativně integruje více bezpečnostních produktů do uceleného systému bezpečnostních operací.“ Definice XDR od společnosti Forrester Research je o něco obsáhlejší: „XDR je evoluce EDR, která optimalizuje detekci, vyšetřování, reakci a odchytávání hrozeb v reálném čase. XDR sjednocuje bezpečnostně relevantní detekce koncových bodů s telemetrií z bezpečnostních a podnikových nástrojů, jako je analýza a viditelnost sítě (NAV), zabezpečení e-mailu, správa identit a přístupu, zabezpečení cloudu a další. Jde o cloudově nativní platformu postavenou na infrastruktuře velkých dat, která poskytuje bezpečnostním týmům flexibilitu, škálovatelnost a možnosti automatizace.“

Většina platforem XDR je integrována se zpravodajstvím o hrozbách, aby bylo možné odhalit indikátory známých útoků, ale pouze pokročilejší řešení využívají umělou inteligenci (AI) a strojové učení (ML) k automatické korelaci telemetrie z těchto různorodých prostředků, aby bylo možné identifikovat útoky, které nemusely být nikdy předtím zaznamenány.

XDR nabízí důležitý přehled nad celým řetězcem útoku, ať už vznikl kdekoli, a přesně odhaluje, jak útok probíhal a která aktiva a uživatelé byli zasaženi, a také nabízí možnosti automatizované a řízené reakce, které řešení pro správu bezpečnostních informací a událostí (SIEM) nemohou poskytnout a řešení pro orchestraci, automatizaci a reakci zabezpečení (SOAR) je těžko zajišťují ve velkém bez manuálních zásahů bezpečnostních analytiků a týmů pro reakci na incidenty.

Předností XDR je, že bezpečnostní týmy nemusejí individuálně zkoumat příval výstrah z řady jednotlivých řešení, takže mohou rychle odpovědět na otázku, zda jde skutečně o útok. Systém XDR to dělá automaticky díky korelaci telemetrie, která odhaluje časový průběh útoku od jeho příčiny, a umožňuje tak bezpečnostním týmům reagovat rychleji a efektivněji.

Výhody XDR

Platforma XDR poskytuje organizacím, které ji nasadí, řadu výhod. Zaprvé shromažďuje bezpečnostní telemetrii z různých částí infrastruktury organizace. Taková funkce eliminuje potřebu řešení SIEM nebo SOAR a zlepšuje přehled bezpečnostních týmů o distribuovaných sítích organizací.

XDR neposkytuje množství nekontextuálních výstrah o hrozbách. Automaticky poskytuje hluboký kontext a korelace, takže členové bezpečnostních týmů nemusejí ručně třídit a prověřovat nepodložená upozornění a přebírat se nadměrným množstvím falešně pozitivních výsledků.

Rovněž odbourává informační sila, která by jinak bránila bezpečnostním týmům získat jednotný pohled na infrastrukturu organizace. Toho dosahuje integrací funkcí firewallů, antivirových řešení, EDR, správy identit a přístupu (IAM), ochrany cloudového pracovního zatížení (CWPP) a dalších bezpečnostních technologií do svého přístupu k detekci a reakci.

XDR umožňuje organizacím efektivní přístup k zabezpečení zaměřenému na provoz. Jde o reaktivní postoj, kdy se bezpečnostní týmy neustále snaží udržet krok s příchozími výstrahami o hrozbách. Bezpečnostní specialisté přitom musí zkoumat upozornění na hrozby a hledat relevantní souvislosti, protože se snaží ručně poskládat celý řetězec útoku, což může vyžadovat prošetření několika falešně pozitivních případů.

Naproti tomu přístup zaměřený na provoz se zaměřuje na řetězce chování, které tvoří celou sekvenci útoku, což umožňuje bezpečnostním týmům ukončit celý útok jako celek namísto nápravy izolovaných prvků útoku. Například detekce a odstranění části malwaru na koncovém bodě stěží zabrání opětovnému zneužití kompromitovaných uživatelských pověření a neřeší přetrvávání útočníka v síti.

Významnou výhodou XDR jsou také automatizované reakci. Bezpečnostní týmy se díky XDR nemusejí uchylovat k manuálním procesům reakce. Vyspělá platforma XDR by měla týmům umožnit sestavení detekčních a reakčních příruček, pomocí kterých mohou automatizovat klíčové kroky pro reakci na útoky.

Řada bezpečnostních řešení není schopná držet krok se stále komplikovanějšími a agresivnějšími kybernetickými hrozbami. Množství sofistikovaných hrozeb, jako jsou ransomware a útoky nultého dne, stále roste a ukázalo se, že úspěšný boj proti těmto hrozbám je pro mnoho organizací velmi nákladný. Aby jim organizace mohly čelit, musí zavést proaktivní přístup, který zahrnuje prevenci, detekci a reakci. XDR by mohla být ta správná cesta.