IT-ark­ki­teh­tuu­rien muut­tues­sa yhä hybri­di­sem­mik­si ja si­säl­lyt­täes­sä yhä mo­ni­puo­li­sem­pia pää­te­lait­tei­ta, pil­vi­pal­ve­lui­ta ja pal­ve­li­mia, po­ten­ti­aa­lis­ten uhkien toi­min­taym­pä­ris­tö muuttuu yhä dy­naa­mi­sem­mak­si. Tässä ti­lan­tees­sa XDR (Extended Detection and Response) on moderni ja tehokas tie­to­tur­va­rat­kai­su, joka koostuu eri­lai­sis­ta analyysi- ja tie­to­tur­va­työ­ka­luis­ta. Ko­ko­nais­kon­sep­ti­na XDR tar­kas­te­lee lähes kaikkia IT-ym­pä­ris­tön tasoja, suorittaa re­aa­liai­kai­sia tie­to­tur­va-ana­lyy­se­ja ja optimoi dy­naa­mi­sia, hybri­di­siä rea­goin­ti­toi­mia jat­ku­vas­ti muut­tu­viin uh­kas­ke­naa­rioi­hin.

Mitä XDR tar­koit­taa?

XDR (Extended Detection and Response) edustaa uu­den­lais­ta tie­to­tur­va­kon­sep­tia, jossa so­vel­le­taan ko­ko­nais­val­tais­ta lä­hes­ty­mis­ta­paa dy­naa­mis­ten ky­be­ruh­kien en­nus­ta­mi­seen, re­aa­liai­kai­seen ha­vait­se­mi­seen ja tor­jun­taan. Toisin kuin pe­rin­tei­set tie­to­tur­va­rat­kai­sut, kuten klassiset vi­rus­tor­jun­taoh­jel­mat, XDR ei keskity ennalta mää­ri­tel­tyi­hin tie­to­tur­vauh­kia, kuten viruksiin, ki­ris­tys­oh­jel­miin tai tie­to­jen­ka­las­te­luun, vaan jous­ta­vaan tie­to­tur­va-ark­ki­teh­tuu­riin, joka koostuu eri­lais­ten työ­ka­lu­jen yh­dis­tel­mäs­tä, kuten pää­te­lait­tei­den tie­to­tur­vas­ta, SIEM: Security In­for­ma­tion & Event Ma­na­ge­ment, NGAV ja Managed Security Services. Yleensä XDR on SaaS (Software-as-a-Service), eli tie­to­tur­va­rat­kai­su, joka koostuu XDR-pal­ve­lun­tar­joa­jan tar­joa­mis­ta eri­lai­sis­ta työ­ka­luis­ta.

XDR:n ta­voit­tee­na on reagoida mah­dol­li­sim­man jous­ta­vas­ti ja nopeasti mo­ni­muo­toi­siin, muut­tu­viin uhkiin käyt­täy­ty­mi­seen pe­rus­tu­val­la ja en­na­koi­val­la tavalla. Tämän saa­vut­ta­mi­sek­si XDR hyödyntää pe­rin­tei­siä tie­to­tur­va­työ­ka­lu­ja suo­jau­tuak­seen ki­ris­tys­oh­jel­mil­ta, va­koi­luoh­jel­mil­ta ja pe­lot­te­luoh­jel­mil­ta kes­kit­tyen tiet­tyi­hin pää­te­lait­tei­siin ja so­vel­luk­siin. Toisaalta erilaiset kor­re­loi­vat, kon­teks­tiin liittyvät ja au­to­ma­ti­soi­dut ana­lyy­si­toi­min­not kattavat koko IT-kerroksen säh­kö­pos­tis­ta ja pil­vi­pal­ve­luis­ta verk­koi­hin ja pal­ve­li­miin. Myös tekoälyä ja ko­neop­pi­mis­ta voidaan hyödyntää. Tämä tar­koit­taa, että ky­sy­myk­seen ”Mitä XDR tar­koit­taa?” ei ole yk­sin­ker­tais­ta vastausta, sillä se kattaa joukon useita in­tegroi­tu­ja työkaluja ja kon­sep­te­ja.

Miksi laa­jen­net­tu ha­vait­se­mi­nen ja reagointi on tärkeää?

Pe­rin­tei­nen käsitys ky­ber­tur­val­li­suu­des­ta perustuu tun­net­tu­jen ky­be­ruh­kien ja ky­ber­hyök­käys­ten ha­vait­se­mi­seen ja tor­ju­mi­seen, esi­mer­kik­si hait­taoh­jel­mien tun­nis­tei­den, hyök­käys­mal­lien tai tie­to­tur­va-aukkojen pe­rus­teel­la. Ny­ky­ai­kai­sis­sa työym­pä­ris­töis­sä ja yri­tys­ver­kois­sa käytetään kuitenkin yhä mo­ni­mut­kai­sem­pia yh­dis­tel­miä pai­kal­li­sia ja mo­bii­li­lait­tei­ta, verkkoja, pal­ve­lui­ta sekä hybri­di­pil­vi- ja mo­ni­pil­vi­rat­kai­suis­ta koostuvia pil­vi­pal­ve­lu­ko­ko­nai­suuk­sia.

Tämä lisää paitsi yritysten jous­ta­vuut­ta ja te­hok­kuut­ta myös uh­kas­ke­naa­rioi­den määrää, mukaan lukien nol­la­päi­vä­hyök­käyk­set. Jotta voidaan varautua mo­ni­mut­kai­siin ja jatkuviin ky­ber­hyök­käyk­siin IT-ark­ki­teh­tuu­rin useilla tasoilla tai jopa ke­hit­ty­nei­siin ja pit­kä­kes­toi­siin uhkiin (APT), tarvitaan huo­mat­ta­vas­ti te­hok­kaam­pia tie­to­tur­va­rat­kai­su­ja. Koska yksi työkalu ei enää riitä tähän, monet yritykset va­lit­se­vat usein SaaS-pohjaisen XDR-ratkaisun.

Yh­dis­tä­mäl­lä useita keskenään kom­mu­ni­koi­via ja kon­teks­tiin pe­rus­tu­via työkaluja uh­ka­ti­lan­teet voidaan havaita ja ennustaa re­aa­lia­jas­sa. Jos hyök­käyk­siä kuitenkin tapahtuu, ne estetään koh­den­ne­tus­ti ja ra­joi­te­taan herkän datan ja verk­koa­luei­den suo­jaa­mi­sek­si. XDR torjuu hyök­käyk­set yri­tyk­se­si kaikkien in­tegroi­tu­jen tie­to­tur­va­rat­kai­su­jen avulla ja suojaa tietojen va­ras­ta­mi­sel­ta, tietojen sa­lauk­sel­ta, ki­ris­tys­oh­jel­mil­ta, hait­taoh­jel­mil­ta, etä­oh­jauk­sel­ta sekä va­koi­lul­ta ja hait­taoh­jel­mien le­vit­tä­mi­sel­tä. Sen sijaan, että joudut käyt­tä­mään rahaa hait­taoh­jel­mien poistoon, IT-infra­struk­tuu­rin uusi­mi­seen tai asiak­kail­le lä­he­tet­tä­viin va­roi­tuk­siin, jotka voivat va­hin­goit­taa maineesi, XDR tunnistaa ja estää hä­tä­ti­lan­teet ennen kuin ne ehtivät syntyä.

Mitä XDR:llä voidaan suojata?

Monien tie­to­tur­va-asian­tun­ti­joi­den mielestä XDR on pe­rin­tei­sen pää­te­lait­tei­den tie­to­tur­van ja pää­te­lait­tei­den suo­jausa­lus­to­jen (EPP) jat­ko­ke­hi­tys. Pää­te­lait­tei­den tie­to­tur­va osana stan­dar­doi­tua alustaa tarjoaa jo ko­ko­nais­val­tai­sen konseptin kaikkien yri­tys­verk­koon in­tegroi­tu­jen pää­te­lait­tei­den suo­jaa­mi­seen, PC:istä, kan­net­ta­vis­ta tie­to­ko­neis­ta ja äly­pu­he­li­mis­ta pal­ve­li­miin ja rei­tit­ti­miin. XDR menee askeleen pi­dem­mäl­le, sillä se ei keskity vain pää­te­lait­tei­den kal­tai­siin osa-alueisiin, vaan kattaa uhkien ehkäisyn ja ana­ly­soin­nin osalta IT-ark­ki­teh­tuu­rin kaikki tasot.

XDR-suojaus kattaa seuraavat IT-infra­struk­tuu­ri­si osa-alueet:

  • In­tegroi­dut kiinteät ja mo­bii­li­lait­teet, kuten tie­to­ko­neet, tu­los­ti­met, skannerit, ko­pio­ko­neet, kan­net­ta­vat tie­to­ko­neet, tabletit, äly­pu­he­li­met ja muut
  • Verk­ko­kom­po­nen­tit, kuten pal­ve­li­met, rei­tit­ti­met, modeemit tai kytkimet
  • Pil­vi­pal­ve­lut ja pil­vi­tal­len­nus
  • Tie­to­kan­ta­jär­jes­tel­mät ja säh­kö­pos­ti­pal­ve­lut
  • Fyysiset ja vir­tu­aa­li­set pal­ve­li­met

Koska XDR on älykäs ja joustava tie­to­tur­va­kon­sep­ti, käy­tän­nös­sä mikä tahansa kerros ja mikä tahansa rajapinta, joka kuuluu yri­tyk­se­si verkkoon tai on yh­tey­des­sä verkkoon, voidaan in­tegroi­da XDR-suo­jausa­lu­ee­seen.

Miten XDR (Extended Detection and Response) toimii?

Kuten pää­te­lait­tei­den tie­to­tur­va­rat­kai­sut, myös XDR koordinoi käyt­tä­mi­ään työkaluja ja esittää ana­lyy­si­tu­lok­set, raportit ja hä­ly­tyk­set kes­ki­te­tyn hal­lin­ta­kon­so­lin kautta. Ta­voit­tee­na ei ole pel­käs­tään torjua yk­sit­täi­siä, ajan­koh­tai­sia uhkia eril­li­si­nä ta­pauk­si­na, vaan suorittaa hyök­käys­tie­to­jen kon­teks­tu­aa­li­nen analyysi. Näin voidaan oppia uh­ka­ti­lan­teis­ta koko jär­jes­tel­män laa­jui­ses­ti ja kes­tä­väl­lä tavalla, tunnistaa vakavat ja mo­ni­mut­kai­set hyök­käyk­set ja jopa ennustaa tulevia hyök­käyss­ke­naa­rioi­ta.

Näiden tehtävien suo­rit­ta­mi­sek­si XDR-ratkaisun tulisi sisältää seuraavat omi­nai­suu­det ja toiminnot:

Toiminto Omi­nai­suu­det
Pää­te­lait­tei­den tie­to­tur­va (EDR: Endpoint Detection and Response) Valvoo kaikkia verkkoon kyt­ket­ty­jä tai verkon kanssa viestiviä pää­te­lait­tei­ta (pai­kal­li­sia ja mobiileja) Uhkien tie­to­kan­to­jen ja käyttäjän mää­rit­te­le­mien vaa­ra­merk­kien (IOC) luominen Pe­rin­tei­sen virus- ja hait­taoh­jel­ma­suo­jauk­sen sekä uuden su­ku­pol­ven vi­rus­tor­jun­nan (NGAV) yh­dis­tel­mä Hal­lin­nol­li­ses­ti hal­lin­noi­tu sovellus- ja pää­syn­hal­lin­ta (NAC – Network Access Control)
Toi­min­ta­poh­jai­nen ja uh­ka­kes­kei­nen XDR-te­le­met­ria Jär­jes­tel­mien välinen ja verkkojen laajuinen seuranta ja ana­ly­soin­ti pää­te­lait­teis­ta, pil­vi­pal­ve­luis­ta, pa­lo­muu­reis­ta, pal­ve­li­mis­ta ja muista lähteistä peräisin olevista tiedoista Ennalta mää­ri­tel­lyt skeemat, on­to­lo­giat ja da­ta­tar­kat tun­nis­tus­mal­lit mah­dol­lis­ta­vat ta­pah­tu­mien ni­put­ta­mi­sen, kor­re­loin­nin sekä re­aa­liai­kai­sen rea­goin­nin ja puo­lus­tuk­sen au­to­ma­ti­soin­nin. Au­to­ma­ti­soi­dut, ennalta mää­ri­tel­lyt reaktiot uh­ka­ti­lan­tei­siin, kuten so­vel­lus­ten ka­ran­tee­niin aset­ta­mi­nen ja eris­tä­mi­nen, pää­te­lait­tei­den pois­ta­mi­nen tai IP-osoit­tei­den ja verk­ko­tun­nus­ten estäminen
In­tegroi­dut työnkulut, ohjeistot ja parhaat käytännöt In­tegroi­mal­la toimivat parhaat käytännöt ja tehokkaat työnkulut hyök­käys­ti­lan­tei­siin voidaan vas­te­ai­ko­ja lyhentää huo­mat­ta­vas­ti ja uhkia ehkäistä jo var­hai­ses­sa vaiheessa.
Tekoäly ja ko­neop­pi­mi­nen Te­ko­ä­lyl­lä ja ko­neop­pi­mi­sel­la tuetut ana­lyy­si­toi­min­not ja puo­lus­tuss­ke­naa­riot tun­nis­ta­vat ja estävät piileviä tai uusia uhkia ke­rää­mäl­lä tur­val­li­suus­poik­kea­mia ja ana­lyy­si­tie­to­ja kon­teks­tu­aa­li­ses­ti.
Au­to­maat­ti­set päi­vi­tyk­set ja ver­sio­päi­vi­tyk­set Kaikkien in­tegroi­tu­jen tie­to­tur­va­työ­ka­lu­jen au­to­maat­ti­set päi­vi­tyk­set var­mis­ta­vat, että XDR-strategia on aina ajan tasalla nykyisen uh­ka­ti­lan­teen suhteen.

Katsaus muihin XDR-rat­kai­sui­hin

Muita työkaluja, jotka voidaan in­tegroi­da XDR-kon­sep­tiin, ovat esi­mer­kik­si:

  • Tietojen me­ne­tyk­sen estäminen (DLP): Stra­te­giat ja toi­men­pi­teet tietojen var­kauk­sien ja tie­to­tur­va­louk­kaus­ten tor­ju­mi­sek­si
  • URL-suodatus: URL-osoit­tei­den estäminen ja eston pois­ta­mi­nen ennalta mää­ri­tel­ty­jen pa­ra­met­rien pe­rus­teel­la yri­tys­ver­kon suo­jaa­mi­sek­si
  • Pää­te­lait­tei­den salaus: Yri­tys­tie­to­jen jakaminen val­tuu­te­tuil­le käyt­tä­jil­le tietojen salauksen ja salauksen pur­ka­mi­sen avulla
  • Selaimen eris­tä­mi­nen: Selaimen is­tun­to­jen suo­rit­ta­mi­nen eris­te­tyis­sä ym­pä­ris­töis­sä
  • Sisäisten uhkien torjunta: Zero Trust Network Access (ZTNA) -tekniikan käyttö epäi­lyt­tä­vien toi­min­to­jen ha­vait­se­mi­sek­si verkossa
  • Pil­vi­pal­ve­lu­jen tie­to­tur­va: Pil­vi­pa­lo­muu­rien ja pil­vi­poh­jais­ten verk­ko­suo­da­tus­työ­ka­lu­jen käyttö pil­vi­pal­ve­lui­den tur­val­li­seen käyttöön
  • Sand­boxing: So­vel­lus­ten ja verk­ko­tun­nus­ten eris­tä­mi­nen tai jäl­jit­te­le­mi­nen verkoston kriit­tis­ten osien suo­jaa­mi­sek­si hyök­käyk­sil­tä
  • Säh­kö­pos­tiyh­dys­käy­tä­vä: Säh­kö­pos­ti­lii­ken­teen seuranta ja tar­kis­ta­mi­nen epäi­lyt­tä­vän sisällön varalta tur­val­lis­ten säh­kö­pos­tiyh­dys­käy­tä­vien (SEG) avulla

XDR:n (Extended Detection and Response) edut

XDR menee älykkään ja en­na­koi­van ky­ber­tur­val­li­suu­den saralla paitsi yhden, vaan useam­man­kin askeleen pi­dem­mäl­le. Va­lit­se­mal­la XDR:n SaaS-poh­jai­se­na rat­kai­su­na saat seuraavat edut:

Yrityksen, asiak­kai­den ja hen­ki­lös­tön tietojen sekä jär­jes­tel­mien kattava suojaus

Toisin kuin pe­rin­tei­set verkko-, jär­jes­tel­mä- ja pää­te­lait­tei­den suo­jaus­rat­kai­sut, XDR yhdistää mo­ni­puo­li­set tie­to­tur­va­työ­ka­lut he­te­ro­gee­ni­sek­si pal­ve­lu­ko­ko­nai­suu­dek­si. Tämä lä­hes­ty­mis­ta­pa korvaa eril­lis­ten tuot­tei­den tarjoaman ha­ja­nai­sen uhkien ana­ly­soin­nin ja suo­jauk­sen vir­ta­vii­vai­sel­la, kes­ki­te­tys­ti hal­lin­noi­dul­la käyt­tö­liit­ty­mäl­lä. Käyt­tö­liit­ty­mä yhdistää ja kon­teks­tua­li­soi erilaisia tie­to­ko­ko­nai­suuk­sia, mikä parantaa uhkien ha­vait­se­mis­ta. Au­to­ma­ti­soi­tu­jen työn­kul­ku­jen ja reak­tioi­den avulla hyök­käys­rei­tit voidaan re­kon­struoi­da ja uhat torjua, eristää tai hillitä nopeasti ja te­hok­kaas­ti. Tämä parantaa hallintaa ja lä­pi­nä­ky­vyyt­tä sekä tarjoaa kattavan tie­to­tur­van yri­tyk­sel­le­si.

Tie­to­mää­rää su­pis­ta­vat, nopeat analyysit toi­min­ta­kes­keis­tä puo­lus­tus­ta varten

In­tegroi­tu­jen parhaiden käy­tän­tö­jen, ennalta mää­ri­tel­ty­jen puo­lus­tuss­ke­naa­rioi­den ja ajan­ta­sai­sien uhkien tie­to­kan­to­jen ansiosta ky­ber­tur­val­li­suus voidaan toteuttaa erittäin vä­häi­sel­lä tie­to­mää­räl­lä. Vaa­rat­to­mat poik­kea­mat tai epäi­lyt­tä­vät hä­ly­tyk­set suo­da­te­taan au­to­maat­ti­ses­ti pois, ja vakavat uhat asetetaan etusi­jal­le. Tekoälyn ja ko­neop­pi­mi­sen tukemat analyysit takaavat myös nopeat ja it­seop­pi­vat re­aa­liai­kai­set analyysit, jotka ha­vait­se­vat jopa pii­lo­te­tut, ke­hit­ty­neet tai mo­ni­ta­soi­set uhat.

Ajan ja kus­tan­nus­ten säästöt

Yh­dis­tä­mäl­lä erilaiset tie­to­tur­va­työ­ka­lut yh­te­näi­sek­si jär­jes­tel­mäk­si voidaan huo­mat­ta­vas­ti vähentää eril­lis­ten työ­ka­lu­jen ma­nu­aa­li­seen ar­vioin­tiin liittyvää hal­lin­nol­lis­ta työmäärää. Tämä in­tegroin­ti ei ai­noas­taan vähennä työmäärää, vaan myös lyhentää kii­reel­li­siin uhkiin rea­goi­mi­seen kuluvaa aikaa, sillä tie­to­tur­va­rat­kai­sut voivat ryhtyä toi­men­pi­tei­siin jo ennen kuin ih­mi­so­pe­raat­to­rit saavat edes il­moi­tus­ta ta­pah­tu­mis­ta.

XDR tarjoaa in­tegroi­dun alustan, joka mah­dol­lis­taa mo­ni­mut­kais­ten jär­jes­tel­mä­tie­to­jen tehokkaan ana­ly­soin­nin ja ar­vioin­nin, mikä alentaa tut­ki­mus­ten kus­tan­nuk­sia. Vielä tär­keäm­pää on, että mo­ni­mut­kai­sis­sa lait­teis­to- ja oh­jel­mis­to­ym­pä­ris­töis­sä kor­kea­ta­soi­nen ja saumaton tie­to­tur­va auttaa vält­tä­mään kalliita ja ta­lou­del­li­ses­ti raskaita toi­men­pi­tei­tä, kuten jär­jes­tel­mien puh­dis­ta­mis­ta tai tartunnan saaneiden pää­te­lait­tei­den uu­del­lee­na­sen­nus­ta, sekä tie­to­var­kauk­sis­ta johtuvaa yrityksen maineen va­hin­goit­tu­mis­ta.

XDR:n ja EDR:n ero

EDR (pää­te­lait­tei­den ha­vait­se­mi­nen ja reagointi) XDR (laa­jen­net­tu reagointi ja vastaus)
Au­to­ma­ti­soi­tu valvonta, ana­ly­soin­ti ja puolustus ky­be­ruh­kia vastaan pää­te­lait­tei­den tasolla (mieluiten pää­te­lait­tei­den suo­jausa­lus­tan pohjalta) Eri verk­ko­ta­soil­ta, mukaan lukien pää­te­lai­te­ta­sol­ta, peräisin olevien ana­lyy­si­tie­to­jen yh­dis­tä­mi­nen ja kor­re­loin­ti kes­ki­te­tys­sä hal­lin­ta­pa­nee­lis­sa sekä ennakoiva ha­vait­se­mi­nen ja puolustus yk­sin­ker­tai­sis­ta mo­ni­mut­kai­siin tie­to­tur­va­poik­kea­miin
Siirry pää­va­lik­koon