XDR i EDR to technologie, o których w branży bezpieczeństwa IT mówi się coraz cześciej. Jakie są jednak różnice między tymi podejściami i w czym leży siła poszczególnych technologii?
Silne strony i zalety rozwiązań EDR
Rozwiązania EDR (Endpoint Detection and Response) gromadzą i analizują dane z punktów końcowych, by identyfikować niestandardowe zachowania, prowadzić badania dotyczące incydentów i generować alerty wskazujące na zagrożenia. EDR daje zespołom IT możliwość szybkiego reagowania i neutralizowania zagrożeń.
Anton Chuvakin z organizacji Gartner definiuje EDR jako „kategorię narzędzi i rozwiązań skupiających się na wykrywaniu podejrzanej aktywności bezpośrednio na hostach systemu informatycznego”[1].
Upraszczając, EDR to nowa generacja rozwiązań do walki ze złośliwym oprogramowaniem, które nie opierają się już wyłącznie na sygnaturach podczas wykrywania niebezpiecznego zachowania. EDR rozszerza wykrywanie anomalii o proces analizy behawioralnej.
XDR: „na koniec świata i jeszcze dalej!”
XDR (eXtended Detection Response) to ewolucja i rozszerzenie podejścia EDR.
Wg Gartnera, „XDR to technologia chmurowa obejmująca wiele rozwiązań i zaawansowanych narzędzi analitycznych, które korelują alerty z różnych źródeł do postaci incydentów – od pojedynczych śladowych sygnałów po bardziej precyzyjne werdykty. XDR ma na celu zredukowanie rozrostu liczby narzędzi bezpieczeństwa, unikanie przeładowania alertami, zmniejszenie wydatków i eliminację problemów związanych z integracją. XDR to rozwiązanie często stosowane przez zespoły SOC, które mogą dzięki niemu sprawnie zarządzać technologiami bezpieczeństwa i jeszcze efektywniej wykorzystywać potencjał narzędzi SIEM lub SOAR”[2].
Podczas gdy EDR wykrywa zagrożenia na poziomie punktu końcowego, XDR idzie znacznie dalej – ma możliwość gromadzenia i wykrywania anomalii oraz potencjalnie niebezpiecznej aktywności na takich zasobach jak serwery, chmura, sieci itd.
Poza szerszym zakresem źródeł, XDR oferuje także zaawansowane funkcje, pozwalające np. zwiększać poziom kontekstualizacji poprzez połączenie z bazą wiedzy o cyberzagrożeniach (CTI – Cyber Threat Intelligence), co znacznie zwiększa możliwości w zakresie przewidywania ataków i automatyzacji reakcji.
Dlaczego warto wybrać rozwiązanie firmy TEHTRIS?
Unikatowa technologia XDR opracowana przez firmę TEHTRIS pozwala na centralizację i konsolidację danych gromadzonych w różnych scenariuszach i z użyciem sensorów rozmieszczonych w infrastrukturze IT.
Cechą szczególną platformy firmy TEHTRIS jest holistyczne podejście do wykrywania. Platforma integruje wszystkie moduły ochrony: SIEM, EDR, MTD, DNS FW, NTA i więcej. Moduły te łączą się między sobą i uzupełniają swoje możliwości, co daje technologii XDR unikatowe możliwości w zakresie analizy i nadawania kontekstu. To jednak nie koniec możliwości rozwiązania TEHTRIS XDR Platform – pozwala ono także na integrowania rozwiązań innych producentów, co dodatkowo rozszerza powierzchnię ochrony.
Ogromne możliwości zapewniające pełną ochronę
Jak to działa w praktyce? Oto przykład. Jeżeli TEHTRIS wykryje dziwny i ukryty kod, platforma podda go analizie. Jeżeli okaże się, że jest to znane zagrożenie, zostanie ono zneutralizowane. Jeżeli mechanizmy ochrony zdecydują, że jest to coś nieznanego lub podejrzanego, moduł SOAR („dyrygent” całej platformy) przeszuka bazę wiedzy o cyberzagrożeniach (CTI – Cyber Threat Intelligence) i przeprowadzi analizę z użyciem antywirusa, piaskownicy oraz sztucznej inteligencji, by zdecydować, czy badany obiekt jest legalnym programem czy nie. Jeżeli nie jest, platforma automatycznie zatrzyma i zniszczy zagrożenie.
[1] Gartner “Named Endpoint Threat Detection & Response-Anton Chuvakin”26 juillet 2013
[2] Craig Lawson, Peter Firstbrook, Paul Webber -Market Guide for Extended Detection and Response -Published 8 November 2021
Źródło: tehtris.com/en/blog/xdr-vs-edr-understanding-the-differences-and-their-advantages