I takt med at it-ar­ki­tek­tu­rer­ne bliver mere hybride og omfatter en lang række for­skel­li­ge slutap­pa­ra­ter, cloud-løsninger og servere, bliver trus­sels­bil­le­det stadig mere dynamisk. På denne baggrund er XDR (Extended Detection and Response) en moderne og højty­den­de sik­ker­heds­løs­ning, der består af for­skel­li­ge analyse- og sik­ker­heds­værk­tø­jer. Som et samlet koncept dækker XDR næsten alle niveauer i it-land­ska­bet, udfører sik­ker­heds­a­na­ly­ser i realtid og optimerer dynamiske, hybride re­ak­tio­ner på trus­sels­sce­na­ri­er, der er i konstant udvikling.

Hvad betyder XDR?

XDR (Extended Detection and Response) er be­teg­nel­sen for et nyt sik­ker­heds­kon­cept med en hel­heds­o­ri­en­te­ret tilgang til for­ud­si­gel­se, re­al­tids­de­tek­te­ring og forsvar mod dynamiske cy­ber­trus­ler. I mod­sæt­ning til tra­di­tio­nel­le sik­ker­heds­løs­nin­ger som klassiske an­ti­viruspro­gram­mer fokuserer XDR ikke på for­ud­de­fi­ne­re­de sik­ker­heds­trus­ler såsom vira, ransomwa­re-angreb eller phishing, men på en fleksibel sik­ker­heds­ar­ki­tek­tur, der består af en kom­bi­na­tion af for­skel­li­ge værktøjer såsom Endpoint Security, SIEM: Security In­for­ma­tion & Event Ma­na­ge­ment, NGAV og Managed Security Services. Som regel er XDR SaaS (Software-as-a-Service), dvs. en sik­ker­heds­løs­ning bestående af for­skel­li­ge værktøjer, der tilbydes af en XDR-udbyder.

Målet med XDR er at reagere så flek­si­belt og hurtigt som muligt på he­te­ro­ge­ne, til­pas­nings­dyg­ti­ge trusler på en ad­færds­ba­se­ret og proaktiv måde. For at opnå dette anvender XDR klassiske sik­ker­heds­værk­tø­jer til be­skyt­tel­se mod ransomwa­re, spyware og scareware med fokus på spe­ci­fik­ke slutap­pa­ra­ter og ap­pli­ka­tio­ner. På den anden side dækker for­skel­li­ge kor­re­le­ren­de, kon­tek­st­re­la­te­re­de og au­to­ma­ti­se­re­de ana­ly­se­funk­tio­ner hele IT-laget fra e-mail og cloud-tjenester til netværk og servere. Kunstig in­tel­li­gens og ma­skin­læ­ring kan også anvendes. Det betyder, at der ikke er noget enkelt svar på spørgs­må­let “Hvad betyder XDR?”, da det omfatter en række in­te­gre­re­de værktøjer og koncepter.

Hvorfor er udvidet detektion og respons vigtigt?

Den klassiske op­fat­tel­se af cy­ber­sik­ker­hed bygger på opsporing af og forsvar mod kendte cy­ber­trus­ler og cy­be­ran­greb, f.eks. baseret på malware-sig­na­tu­rer, an­grebs­møn­stre eller sik­ker­heds­sår­bar­he­der. I moderne ar­bejds­mil­jø­er og virk­som­heds­net­værk anvendes der imid­ler­tid i stigende grad stadig mere komplekse kom­bi­na­tio­ner af lokale og mobile enheder, netværk, tjenester og cloud-miljøer bestående af hybrid- og mul­ti­cloud-løsninger.

Dette øger ikke blot virk­som­he­der­nes flek­si­bi­li­tet og ef­fek­ti­vi­tet, men også antallet af trus­sels­sce­na­ri­er, herunder zero-day-angreb. For at være forberedt på komplekse og ved­va­ren­de cy­be­ran­greb på flere niveauer i it-ar­ki­tek­tu­ren eller endda avan­ce­re­de ved­va­ren­de trusler (APT) er der behov for be­ty­de­ligt mere effektive sik­ker­heds­løs­nin­ger. Da ét værktøj ikke længere er til­stræk­ke­ligt til dette, vælger mange virk­som­he­der den ofte SaaS-baserede XDR.

Ved hjælp af en kom­bi­na­tion af flere, sam­men­kob­le­de og kon­tekst­ba­se­re­de værktøjer kan trus­sels­si­tu­a­tio­ner opdages og for­ud­si­ges i realtid. Hvis der alligevel opstår angreb, for­hin­dres og inddæmmes de målrettet for at beskytte følsomme data og net­værk­s­om­rå­der. XDR afværger angreb ved hjælp af alle virk­som­he­dens in­te­gre­re­de sik­ker­heds­løs­nin­ger og beskytter mod da­ta­ty­ve­ri, da­ta­kryp­te­ring, ransomwa­re, malware, fjernsty­ring samt spionage og vi­de­re­di­stri­bu­tion af malware. I stedet for at skulle bruge penge på fjernelse af malware, ud­skift­ning af IT-in­fra­struk­tur eller ud­sen­del­se af advarsler til kunder, der kan ende med at skade din omdømme, genkender og for­hin­drer XDR nød­si­tu­a­tio­ner, før de opstår.

Hvad kan beskyttes med XDR?

For mange sik­ker­hed­s­eks­per­ter betragtes XDR som en vi­de­re­ud­vik­ling af klassisk endpoint-sikkerhed og platforme til endpoint-be­skyt­tel­se (EPP). Endpoint-sikkerhed som del af en stan­dar­di­se­ret platform tilbyder allerede et samlet koncept til be­skyt­tel­se af alle enheder, der er in­te­gre­ret i virk­som­he­dens netværk, fra pc’er, bærbare computere og smartp­ho­nes til servere og routere. XDR går et skridt videre, da det ikke kun fokuserer på de­l­om­rå­der som enheder, men omfatter alle niveauer i IT-ar­ki­tek­tu­ren, når det gælder trus­sels­fore­byg­gel­se og trus­sel­s­a­na­ly­se.

Følgende områder af din IT-in­fra­struk­tur er omfattet af XDR-be­skyt­tel­sen:

  • In­te­gre­re­de lokale og mobile enheder såsom pc’er, printere, scannere, ko­pi­ma­ski­ner, bærbare computere, tablets, smartp­ho­nes og mere
  • Net­værks­kom­po­nen­ter såsom servere, routere, modemer eller switche
  • Cloudtje­ne­ster og clo­ud­lag­ring
  • Da­ta­ba­se­sy­ste­mer og e-mailtje­ne­ster
  • Fysiske og virtuelle servere

Da XDR er et in­tel­li­gent og flek­si­belt sik­ker­heds­kon­cept, kan stort set alle lag og alle græn­se­fla­der, der hører til jeres virk­som­heds­net­værk eller kom­mu­ni­ke­rer med jeres netværk, in­te­gre­res i XDR-be­skyt­tel­ses­om­rå­det.

Hvordan fungerer XDR (Extended Detection and Response)?

Ligesom løsninger til en­heds­sik­ker­hed ko­or­di­ne­rer XDR de værktøjer, den anvender, og viser ana­ly­se­re­sul­ta­ter, rapporter og advarsler via en central ad­mi­ni­stra­tions­kon­sol. Målet er ikke blot at imødegå aktuelle, spe­ci­fik­ke trusler isoleret set, men at foretage en kon­tek­stu­el analyse af an­grebs­da­ta. På den måde kan man drage læring af trus­sels­si­tu­a­tio­ner på et sy­ste­mom­fat­ten­de og bæ­re­dyg­tigt grundlag, genkende akutte og komplekse angreb og endda forudsige frem­ti­di­ge an­grebs­sce­na­ri­er.

For at kunne løse disse opgaver bør en XDR-løsning indeholde følgende egen­ska­ber og funk­tio­ner:

Funktion Funk­tio­ner
Endpoint Security (EDR: Endpoint Detection and Response) Overvåger alle enheder, der er til­slut­tet netværket eller kom­mu­ni­ke­rer med netværket (lokale og mobile) Op­ret­tel­se af trus­sels­da­ta­ba­ser og bru­ger­de­fi­ne­re­de in­di­ka­to­rer på kom­pro­mit­te­ring (IOC’er) Kom­bi­na­tion af klassisk virus-/malwa­re­be­skyt­tel­se og næste ge­ne­ra­tions an­ti­virus­be­skyt­tel­se (NGAV) Ad­mi­ni­stra­tivt styret ap­pli­ka­tions- og ad­gangs­kon­trol (NAC – Network Access Control)
Hand­lings­ba­se­ret og trus­sels­o­ri­en­te­ret XDR-telemetri Sy­stem­over­skri­den­de og net­værks­dæk­ken­de over­våg­ning og analyse af data fra slut­punk­ter, cloud-tjenester, firewalls, servere og mere For­ud­de­fi­ne­re­de skemaer, on­to­lo­gi­er og da­ta­nøj­ag­ti­ge de­tek­tions­mo­del­ler gør det muligt at samle og korrelere hændelser samt au­to­ma­ti­se­re respons og forsvar i realtid. Au­to­ma­ti­se­re­de, for­ud­de­fi­ne­re­de re­ak­tio­ner på trus­sels­sce­na­ri­er, såsom karantæne og ind­dæm­ning af ap­pli­ka­tio­ner, fjernelse af enheder eller blokering af IP-adresser og domæner
In­te­gre­re­de ar­bejds­gan­ge, playbooks og best practices Ved at integrere vel­lyk­ke­de best practices og effektive ar­bejds­gan­ge i tilfælde af angreb kan re­spon­s­ti­der­ne forkortes enormt, og trusler kan fore­byg­ges på et tidligt stadium.
AI og ma­skin­læ­ring AI- og ML-un­der­støt­te­de ana­ly­se­funk­tio­ner og for­svars­sce­na­ri­er genkender og for­hin­drer skjulte eller nye trusler gennem kon­tek­stu­el ak­ku­mu­le­ring af sik­ker­heds­hæn­del­ser og ana­ly­se­da­ta.
Au­to­ma­ti­ske op­da­te­rin­ger og op­gra­de­rin­ger Au­to­ma­ti­ske op­da­te­rin­ger af alle in­te­gre­re­de sik­ker­heds­værk­tø­jer sikrer, at XDR-stra­te­gi­en altid er opdateret i forhold til den aktuelle trus­sels­si­tu­a­tion.

En oversigt over yder­li­ge­re XDR-løsninger

Andre værktøjer, der kan in­te­gre­res i et XDR-koncept, er for eksempel:

  • Data Loss Pre­ven­tion (DLP): Stra­te­gi­er og for­an­stalt­nin­ger til be­skyt­tel­se mod da­ta­ty­ve­ri og da­ta­læka­ger
  • URL-fil­tre­ring: Blokering og ophævelse af blokering af URL’er baseret på for­ud­de­fi­ne­re­de parametre for at beskytte virk­som­he­dens netværk
  • Endpoint-kryp­te­ring: Deling af virk­som­heds­da­ta med au­to­ri­se­re­de brugere gennem da­ta­kryp­te­ring og -de­kryp­te­ring
  • Brow­se­ri­so­le­ring: Kørsel af brow­ser­ses­sio­ner i isolerede miljøer
  • Be­skyt­tel­se mod interne trusler: Brug Zero Trust Network Access (ZTNA) til at advare om mistæn­ke­li­ge ak­ti­vi­te­ter inden for netværket
  • Cloud-sikkerhed: Brug af cloud-firewalls og cloud-web­fil­tre­rings­værk­tø­jer til sikker brug af cloud-tjenester
  • Sand­boxing: Isolering eller ef­ter­lig­ning af ap­pli­ka­tio­ner og domæner for at beskytte kritiske dele af netværket mod angreb
  • E-mail-gateway: Over­våg­ning og kontrol af e-mail-trafik for mistæn­ke­ligt indhold ved hjælp af sikre e-mail-gateways (SEG)

Fordelene ved XDR (Extended Detection and Response)

XDR går ikke blot et, men flere skridt videre, når det gælder in­tel­li­gent, proaktiv cy­ber­sik­ker­hed. Ved at vælge XDR som en SaaS-baseret løsning får du følgende fordele:

Om­fat­ten­de be­skyt­tel­se af for­ret­nings-, kunde- og virk­som­heds­da­ta samt systemer

I mod­sæt­ning til tra­di­tio­nel­le løsninger til be­skyt­tel­se af netværk, systemer og enheder samler XDR for­skel­li­ge sik­ker­heds­værk­tø­jer i en samlet løsning bestående af in­te­gre­re­de tjenester. Denne tilgang erstatter den frag­men­te­re­de trus­sel­s­a­na­ly­se og be­skyt­tel­se, som uaf­hæn­gigt ad­mi­ni­stre­re­de produkter tilbyder, med en strøm­li­net, centralt ad­mi­ni­stre­ret græn­se­fla­de. Denne græn­se­fla­de sam­men­kæ­der og sætter for­skel­li­ge datasæt i sam­men­hæng, hvilket forbedrer trus­sels­de­tek­te­rin­gen. Gennem au­to­ma­ti­se­re­de ar­bejds­gan­ge og re­ak­tio­ner kan an­grebs­ve­je re­kon­stru­e­res, og trusler kan hurtigt og effektivt afværges, isoleres eller inddæmmes. Dette fører til større kontrol og gen­nem­sig­tig­hed samt om­fat­ten­de sikkerhed for din virk­som­hed.

Da­ta­re­du­ce­re­de, hurtige analyser til hand­lings­o­ri­en­te­ret forsvar

Takket være in­te­gre­re­de best practices, for­ud­de­fi­ne­re­de for­svars­sce­na­ri­er og op­da­te­re­de trus­sels­da­ta­ba­ser kan cy­ber­sik­ker­he­den im­ple­men­te­res på en måde, der kræver meget få data. Harmløse af­vi­gel­ser eller ufarlige advarsler filtreres au­to­ma­tisk fra, mens alvorlige trusler pri­o­ri­te­res. AI- og ML-baserede analyser sikrer desuden hurtige og selvlæ­ren­de analyser i realtid, der opdager selv skjulte, so­fi­sti­ke­re­de eller fler­la­ge­de trusler.

Tids- og om­kost­nings­be­spa­rel­ser

Ved at integrere for­skel­li­ge sik­ker­heds­værk­tø­jer i et samlet system kan den ad­mi­ni­stra­ti­ve byrde, der er forbundet med manuelle eva­lu­e­rin­ger ved hjælp af separate værktøjer, reduceres be­ty­de­ligt. Denne in­te­gra­tion mindsker ikke blot ar­bejds­byr­den, men forkorter også den tid, det tager at reagere på akutte trusler, da sik­ker­heds­løs­nin­ger­ne kan gribe ind, før de men­ne­ske­li­ge ope­ra­tø­rer over­ho­ve­det bliver gjort opmærksom på hæn­del­ser­ne.

XDR tilbyder en in­te­gre­ret platform med effektive analyser og vur­de­rin­ger af komplekse sy­stem­da­ta, hvilket reducerer om­kost­nin­ger­ne ved un­der­sø­gel­ser. Endnu vigtigere er det, at den høje, sømløse sikkerhed i komplekse hardware- og softwa­re­mil­jø­er gør det muligt at undgå kostbare og økonomisk be­la­sten­de for­an­stalt­nin­ger såsom sy­stem­rens­ning eller ge­nin­stal­la­tion af in­fi­ce­re­de enheder samt skader på virk­som­he­dens omdømme som følge af da­ta­ty­ve­ri.

For­skel­len mellem XDR og EDR

EDR (Endpoint Detection and Response) XDR (Udvidet reaktion og respons)
Au­to­ma­ti­se­ret over­våg­ning, analyse og forsvar mod cy­ber­trus­ler på endpoint-/slut­punkt­s­ni­veau (ideelt set baseret på en endpoint-be­skyt­tel­ses­plat­form) Kom­bi­na­tion og sam­men­kob­ling af ana­ly­se­da­ta fra for­skel­li­ge niveauer i netværket, herunder endpoint-niveau, på et centralt dashboard samt proaktiv detektion og forsvar mod enkle til komplekse sik­ker­heds­hæn­del­ser
Gå til ho­ved­me­nu­en