Rövid ismertető magyarul
Az XDR (eXtended Detection and Response) összegyűjti és automatikusan korrelálja az adatokat több biztonsági rétegen - e-mail, végpont, kiszolgáló, cloud workload és hálózat - keresztül. Ez lehetővé teszi a fenyegetések gyorsabb észlelését, valamint a biztonsági elemzés révén a jobb kivizsgálási és válaszadási időt.
A célzott támadások megpróbálják elkerülni az észlelést. Elrejtőznek a silo szemléletű biztonsági rendszerek és az összekapcsolt megoldások riasztásai között. Majd szépen alssan továbbterjednek. Eközben a túlterhelt biztonsági elemzők szűk, szeparált, egy-egy rendszerből származó események, riasztások alapján próbálnak vizsgálódni és priorizálni.
Az XDR az észlelés és a válaszadás holisztikus megközelítésével bontja le ezeket a silo rendszereket. Az XDR összegyűjti és korrelálja az észleléseket. Ezen minden rétegből származó adatok kontextusba helyezve segítik a SOC csapatok munkáját, automatizált elemzésekkel pedig gyorsabban észleli a fenyegetéseket. Ennek eredményeképpen a biztonsági elemzők többre képesek, és a vizsgálatok révén gyorsabban tudnak cselekedni.
Short summary
Stealthy threats evade detection. They hide between security silos and disconnected solution alerts, propagating as time passes. In the meantime, overwhelmed security analysts try to triage and investigate with narrow, disconnected attack viewpoints.
XDR breaks down these silos using a holistic approach to detection and response. XDR collects and correlates detections and deep activity data across multiple security layers – email, endpoint, server, cloud workloads, and network. Automated analysis of this superset of rich data detects threats faster. As a result, security analysts are equipped to do more and take quicker action through investigations.
Infobox
-
tudta-e Ön, hogy az előrejelzések alapján az XDR piac az elkövetkező 5 évben 20 %-ot fog nőni?
-
tudta-e Ön, hogy ugyan vannak részben on-premise XDR megoldások, de a legtöbb gyártó már SaaS alapú megközelítést alkalmaza a nagyon nagy számítási igény miatt?
-
tudta-e Ön, hogy az XDR platform nem a SIEM rendszerek kiváltására képes hanem azok működését segíteni?
-
tudta-e Ön, hogy ugyan a gyártók folyamatosan finomhangolják megoldásaikat, de a false-positive riasztások száma még mindig magas?
-
tudta-e Ön, hogy egy XDR platform kiépítése hónapokban mérhető, azaz meglehetősen komplex a feladat?
Gartner elemzés
Sajnos XDR kategóriában még nincs Gartner értékelés, hiszen ennek pont az a lényege, hogy minden egyes védelmi kategóriát külön kellene elemezni. Azonban a legfontosabb vektor még mindig a végpontvédelem, ezért a Gartner "Endpoint Protection Platform" értékelése látható lent.
Kérdések, melyek segíthetnek eldönteni, hogy teljeskörű védelemmel rendelkezik-e a hálózata
- Ön képes az összes védelmi megoldását összefogni, és egyetlen helyen látni az összes riasztást, észlelést, incidenst?
- mennyire túlterheltek a SOC csapatának tagjai, számukra segíséget nyújana-e egy részben automatizálható biztonsági platform?
- van-e olyan megoldása, mely akár valósidőben képes segíteni a biztonsági nyomozást, bizonyítékok gyűjtését több komponensről?
- képes-e Ön az IoC (Indicator of Compromise) objektumait automatizáltan kezelni, megosztani rendszerei között?
- képes-e a MITRE AT&CK framework segítségével a támadásairól további háttérinformációkat gyűjteni?
- a különböző IT megoldásait érintő támadásokhoz tud-e kill chain-t készíteni,a hol látható a teljes támadási spektrum?
Általunk forgalmazott megoldások
- FortiEDR - végpontvédelmi és hálózati modul, mely segít a teljes környezetben észlelni és elhárítani a célzott támadásokat
- Trellix MVISION EDR - szoftveres kliens, hálózati, web és mail oldali oldali védelem, az ismeretlen támadások ellen
- Trend Micro Vision One - szoftveres kliens, hálózati, mail, web, cloud resource, mobil oldali célzott támadások elleni védelmi platform
