IT ar­chi­tek­tū­roms tampant vis labiau hib­ri­di­nė­mis ir apimant įvairius galinius įren­gi­nius, debesų plat­for­mas bei serverius, po­ten­cia­lių grėsmių panorama tampa vis di­na­miš­kes­nė. Šiomis ap­lin­ky­bė­mis XDR (Extended Detection and Response) yra modernus, aukštos kokybės saugumo spren­di­mas, sudarytas iš įvairių analizės ir saugumo įrankių. Kaip bendra kon­cep­ci­ja, XDR apima beveik visus IT aplinkos lygmenis, atlieka saugumo analizę realiuoju laiku ir op­ti­mi­zuo­ja di­na­miš­kus, hib­ri­di­nius atsakus į nuolat kin­tan­čius grėsmių sce­na­ri­jus.

Ką reiškia XDR?

XDR (Extended Detection and Response) – tai naujo tipo saugumo kon­cep­ci­ja, grin­džia­ma ho­lis­ti­niu požiūriu į dinamiškų ki­ber­ne­ti­nių grėsmių prog­no­za­vi­mą, aptikimą realiuoju laiku ir gynybą nuo jų. Skir­tin­gai nuo tra­di­ci­nių saugumo sprendimų, pa­vyz­džiui, kla­si­ki­nių an­ti­vi­ru­si­nių programų, XDR dėmesys su­tel­kia­mas ne į iš anksto api­brėž­tas saugumo grėsmes, tokias kaip virusai, išpirkos rei­ka­lau­jan­čios atakos ar suk­čia­vi­mas elekt­ro­ni­niu būdu, o į lanksčią saugumo ar­chi­tek­tū­rą, sudarytą iš įvairių įrankių derinio, pa­vyz­džiui, galutinių įrenginių saugumo, SIEM: saugumo in­for­ma­ci­jos ir įvykių valdymą, NGAV ir valdomas saugumo paslaugas. Paprastai XDR yra SaaS (Software-as-a-Service), t. y. saugumo spren­di­mas, su­si­de­dan­tis iš įvairių įrankių, kuriuos siūlo XDR teikėjas.

XDR tikslas – kuo lanksčiau ir greičiau reaguoti į įvairias, kin­tan­čias grėsmes, taikant elgesio analizę ir veikdama pro­ak­ty­viai. Siekdama šio tikslo, XDR naudoja kla­si­ki­nės saugumo priemones, skirtas apsaugai nuo išpirkos rei­ka­lau­jan­čių virusų, šni­pi­nė­ji­mo programų ir bauginimo programų, su­telk­da­ma dėmesį į konk­re­čius ga­lu­ti­nius įren­gi­nius ir programas. Kita vertus, įvairios ko­re­lia­ci­nės, kon­teks­ti­nės ir au­to­ma­ti­zuo­tos analizės funkcijos apima visą IT sluoksnį – nuo el. pašto ir debesų paslaugų iki tinklų ir serverių. Taip pat gali būti nau­do­ja­mas dirbtinis in­te­lek­tas ir mašininis mokymasis. Tai reiškia, kad nėra vieno paprasto atsakymo į klausimą „Ką reiškia XDR?“, nes tai apima daugybę in­te­gruo­tų įrankių ir kon­cep­ci­jų.

Kodėl iš­plės­ti­nis aptikimas ir reaga­vi­mas yra svarbus?

Klasikinė ki­ber­ne­ti­nio saugumo samprata grin­džia­ma žinomų ki­ber­ne­ti­nių grėsmių ir ki­ber­ne­ti­nių atakų aptikimu bei gynyba nuo jų, pvz., remiantis ken­kė­jiš­kų programų parašais, atakų modeliais ar saugumo pa­žei­džia­mu­mais. Tačiau šiuo­lai­ki­nė­se darbo aplinkose ir įmonių tinkluose vis dažniau naudojami vis su­dė­tin­ges­ni vietinių ir mobiliųjų galutinių įrenginių, tinklų, paslaugų bei hib­ri­di­nių ir dau­gia­klou­di­nių debesų aplinkų deriniai.

Tai ne tik didina įmonių lankstumą ir efek­ty­vu­mą, bet ir grėsmių scenarijų skaičių, įskaitant „zero-day“ pa­žei­džia­mu­mus. Norint pa­si­reng­ti su­dė­tin­goms ir nuo­la­ti­nėms ki­ber­ne­ti­nėms atakoms, vykdomoms keliuose IT ar­chi­tek­tū­ros lygmenyse, ar netgi pa­žan­gioms nuo­la­ti­nėms grėsmėms (APT), rei­ka­lin­gi žymiai ga­lin­ges­ni saugumo spren­di­mai. Kadangi vienos priemonės tam jau nepakanka, daugelis įmonių renkasi daž­niau­siai SaaS pagrindu vei­kian­čią XDR.

Derinant įvairias, tar­pu­sa­vy­je są­vei­kau­jan­čias ir kontekstą at­pa­žįs­tan­čias priemones, grėsmių si­tu­aci­jas galima aptikti ir numatyti realiuoju laiku. Jei atakos vis dėlto įvyksta, jos yra tiks­lin­gai už­ker­ta­mos ir lo­ka­li­zuo­ja­mos, siekiant apsaugoti kon­fi­den­cia­lius duomenis ir tinklo zonas. XDR atremia atakas pa­si­telk­da­ma visas jūsų įmonės in­te­gruo­tas saugumo sistemas ir apsaugo nuo duomenų vagystės, duomenų šifravimo, išpirkos rei­ka­lau­jan­čių virusų, ken­kė­jiš­kų programų, nuo­to­li­nio valdymo, taip pat šni­pi­nė­ji­mo ir ken­kė­jiš­kų programų platinimo. Vietoj to, kad tu­rė­tu­mė­te išleisti pinigus ken­kė­jiš­kų programų šalinimui, IT inf­rastruk­tū­ros keitimui ar įspėjimų siuntimui klientams, kas ga­liau­siai gali pakenkti jūsų rep­u­ta­ci­jai, XDR atpažįsta ir užkerta kelią kritinėms si­tu­aci­joms dar prieš joms įvykstant.

Ką galima apsaugoti naudojant XDR?

Daugelio saugumo ekspertų nuomone, XDR laikoma tolesniu kla­si­ki­nės galutinių įrenginių saugumo ir galutinių įrenginių apsaugos platformų (EPP) plėtojimu. Galinių įrenginių saugumas, kaip stan­dar­ti­zuo­tos plat­for­mos dalis, jau siūlo bendrą kon­cep­ci­ją, skirtą apsaugoti visus į įmonės tinklą in­te­gruo­tus galinius įren­gi­nius – nuo asmeninių kom­piu­te­rių, ne­šio­ja­mų­jų kom­piu­te­rių ir išmaniųjų telefonų iki serverių ir marš­ru­ti­za­to­rių. XDR žengia dar vienu žingsniu toliau, nes ne tik sutelkia dėmesį į tokias sritis kaip galiniai įren­gi­niai, bet ir apima visus IT ar­chi­tek­tū­ros lygmenis, kai kalbama apie grėsmių pre­ven­ci­ją ir analizę.

XDR apsauga apima šias jūsų IT inf­rastruk­tū­ros sritis:

  • In­te­gruo­ti sta­cio­na­rūs ir mobilieji galiniai įren­gi­niai, tokie kaip kom­piu­te­riai, spaus­din­tu­vai, skai­ty­tu­vai, ko­pi­ja­vi­mo aparatai, ne­šio­ja­mie­ji kom­piu­te­riai, plan­še­ti­niai kom­piu­te­riai, išmanieji telefonai ir kt.
  • Tinklo kom­po­nen­tai, pvz., serveriai, marš­ru­ti­za­to­riai, modemai ar ko­mu­ta­to­riai
  • Debesų paslaugos ir debesų saugykla
  • Duomenų bazių sistemos ir el. pašto paslaugos
  • Fiziniai ir virtualūs serveriai

Kadangi XDR yra pažangi ir lanksti saugumo kon­cep­ci­ja, iš esmės bet kuris lygmuo ir bet kuri sąsaja, pri­klau­san­ti jūsų įmonės tinklui arba bend­rau­jan­ti su juo, gali būti in­te­gruo­ta į XDR apsaugos sritį.

Kaip veikia XDR (iš­plės­ti­nis aptikimas ir reaga­vi­mas)?

Kaip ir galutinių įrenginių saugumo spren­di­mai, XDR ko­or­di­nuo­ja nau­do­ja­mas priemones ir per centrinę ad­mi­nist­ra­vi­mo konsolę pateikia analizės re­zul­ta­tus, ata­skai­tas bei įspėjimus. Tikslas – ne tik atskirai neut­ra­li­zuo­ti esamas konk­re­čias grėsmes, bet ir atlikti kon­teks­ti­nę atakų duomenų analizę. Tokiu būdu galima sis­te­min­gai ir il­ga­lai­kė­je per­spek­ty­vo­je mokytis iš grėsmių situacijų, atpažinti pa­vo­jin­gas ir su­dė­tin­gas atakas, o netgi numatyti būsimus atakų sce­na­ri­jus.

Kad šios užduotys būtų įvykdytos, XDR spren­di­mas turėtų apimti šias savybes ir funkcijas:

Funkcija Savybės
Galinių įrenginių saugumas (EDR: galinių įrenginių aptikimas ir reaga­vi­mas) Stebi visus prie tinklo pri­jung­tus arba su juo bend­rau­jan­čius galinius įren­gi­nius (vietinius ir mo­bi­liuo­sius) Grėsmių duomenų bazių ir vartotojo apibrėžtų pažeidimo rodiklių (IOC) kūrimas Kla­si­ki­nės apsaugos nuo virusų ir ken­kė­jiš­kų programų bei naujos kartos an­ti­vi­ru­si­nės apsaugos (NGAV) derinys Ad­mi­nist­ra­ci­niu būdu valdoma programų ir prieigos kontrolė (NAC – Network Access Control)
Veiksmais pagrįsta ir į grėsmes ori­en­tuo­ta XDR te­le­met­ri­ja Tar­pu­sis­te­mė ir visą tinklą apimanti galutinių įrenginių, debesų paslaugų, ug­nia­sie­nių, serverių ir kt. duomenų stebėsena ir analizė Iš anksto api­brėž­tos schemos, on­to­lo­gi­jos ir duomenų tikslumo nustatymo modeliai leidžia su­gru­puo­ti in­ci­den­tus, juos susieti ir au­to­ma­ti­zuo­ti atsaką bei gynybą realiuoju laiku. Au­to­ma­ti­zuo­ti, iš anksto apibrėžti atsakymai į grėsmių sce­na­ri­jus, pvz., programų karantiną ir izo­lia­vi­mą, galinių įrenginių pa­ša­li­ni­mą arba IP adresų ir domenų blokavimą
In­te­gruo­ti darbo srautai, veiksmų planai ir geriausia praktika In­te­gruo­jant sėkmingą geriausią praktiką ir efek­ty­vias darbo eigas atakų atveju, galima žymiai su­trum­pin­ti reagavimo laiką ir užkirsti kelią grėsmėms anks­ty­vo­je stadijoje.
AI ir mašininis mokymasis AI ir ML pa­lai­ko­mos analizės funkcijos bei gynybos sce­na­ri­jai atpažįsta ir užkerta kelią pa­slėp­toms ar naujoms grėsmėms, kaupiant saugumo incidentų ir analizės duomenis kontekste.
Au­to­ma­ti­niai at­nau­ji­ni­mai ir mo­der­ni­za­vi­mai Au­to­ma­ti­niai visų in­te­gruo­tų saugumo įrankių at­nau­ji­ni­mai užtikrina, kad XDR stra­te­gi­ja visada atitiktų esamą grėsmių situaciją.

Papildomų XDR sprendimų apžvalga

Kiti įrankiai, kuriuos galima in­te­gruo­ti į XDR kon­cep­ci­ją, yra, pa­vyz­džiui:

  • Duomenų praradimo pre­ven­ci­ja (DLP): stra­te­gi­jos ir priemonės, skirtos apsaugoti nuo duomenų vagystės ir duomenų saugumo pažeidimų
  • URL fil­t­ra­vi­mas: URL adresų blo­ka­vi­mas ir at­blo­ka­vi­mas pagal iš anksto nu­sta­ty­tus pa­ra­met­rus, siekiant apsaugoti įmonės tinklą
  • Galinių įrenginių šif­ra­vi­mas: įmonės duomenų da­li­ji­ma­sis su įga­lio­tais var­to­to­jais naudojant duomenų šifravimą ir de­šif­ra­vi­mą
  • Naršyklės izo­lia­ci­ja: naršyklės sesijų vykdymas izo­liuo­to­se aplinkose
  • Apsauga nuo vidinių grėsmių: „Zero Trust Network Access“ (ZTNA) nau­do­ji­mas įspė­ji­mams apie įtartiną veiklą tinkle
  • Debesų saugumas: saugus debesų paslaugų nau­do­ji­mas naudojant debesų ug­nia­sie­nes ir debesų ži­nia­tink­lio fil­t­ra­vi­mo įrankius
  • Sand­boxing: programų ir domenų izo­lia­vi­mas arba imi­ta­vi­mas, siekiant apsaugoti kritines tinklo dalis nuo atakų
  • El. pašto šliuzas: el. pašto srauto ste­bė­ji­mas ir tik­ri­ni­mas dėl įtartino turinio naudojant saugius el. pašto šliuzus (SEG)

XDR (iš­plės­ti­nis aptikimas ir reaga­vi­mas) pri­va­lu­mai

Kalbant apie pažangią, aktyvią ki­ber­ne­ti­nę saugą, XDR žengia ne vienu, o keliais žings­niais toliau. Pasirinkę XDR kaip SaaS pagrįstą sprendimą, gausite šias pra­na­šu­mus:

Vi­sa­pu­siš­ka verslo, klientų bei įmonės duomenų ir sistemų apsauga

Skir­tin­gai nuo tra­di­ci­nių tinklo, sistemų ir galinių įrenginių apsaugos sprendimų, XDR sujungia įvairias saugumo priemones į vieną he­te­ro­ge­ni­nį paslaugų kompleksą. Šis metodas pakeičia frag­men­tiš­ką grėsmių analizę ir apsaugą, kurią siūlo atskirai valdomi produktai, vieninga, cent­ra­li­zuo­tai valdomu sąsaja. Ši sąsaja ko­re­liuo­ja ir kon­teks­tu­ali­zuo­ja įvairius duomenų rinkinius, taip gerindama grėsmių aptikimą. Naudojant au­to­ma­ti­zuo­tas darbo eigas ir atsakus, galima atkurti atakų maršrutus, o grėsmes greitai ir efek­ty­viai atremti, izoliuoti arba su­stab­dy­ti. Tai užtikrina didesnį kontrolę, skaidrumą ir vi­sa­pu­siš­ką jūsų verslo saugumą.

Duomenų apimties su­ma­žin­tos, greitos analizės, skirtos prak­ti­niams gynybos spren­di­mams

Naudojant in­te­gruo­tas ge­riau­sias praktikas, iš anksto nu­sta­ty­tus gynybos sce­na­ri­jus ir nau­jau­sias grėsmių duomenų bazes, ki­ber­ne­ti­nį saugumą galima už­tik­rin­ti naudojant labai mažai duomenų. Ne­pa­vo­jin­gos ano­ma­li­jos ar ne­įtar­ti­ni įspėjimai au­to­ma­tiš­kai atmetami, o rimtoms grėsmėms teikiama pirmenybė. Dirbtinio intelekto ir mašininio mokymosi tech­no­lo­gi­jo­mis paremta analizė taip pat užtikrina greitą ir sa­va­ran­kiš­kai be­si­mo­kan­čią analizę realiuoju laiku, kuri aptinka net paslėptas, su­dė­tin­gas ar dau­gias­luoks­nes grėsmes.

Laiko ir išlaidų taupymas

In­te­g­ra­vus įvairias saugumo priemones į vieningą sistemą, galima žymiai sumažinti ad­mi­nist­ra­ci­nę naštą, susijusią su rankiniu vertinimu naudojant atskiras priemones. Ši in­te­g­ra­ci­ja ne tik sumažina darbo krūvį, bet ir su­trum­pi­na reagavimo į skubias grėsmes laiką, nes saugumo spren­di­mai gali imtis veiksmų dar prieš ope­ra­to­riai būna įspėti apie in­ci­den­tus.

XDR siūlo in­te­gruo­tą platformą, lei­džian­čią veiks­min­gai ana­li­zuo­ti ir vertinti su­dė­tin­gus sistemos duomenis, taip su­ma­ži­nant tyrimų išlaidas. Dar svarbiau tai, kad su­dė­tin­go­je apa­ra­ti­nės ir prog­ra­mi­nės įrangos aplinkoje aukštas ir vientisas saugumo lygis leidžia išvengti brangių ir fi­nan­siš­kai sunkiai pakeliamų priemonių, pa­vyz­džiui, sistemos valymo ar užkrėstų galutinių įrenginių pe­rinsta­lia­vi­mo, taip pat įmonės įvaizdžio pa­blo­gė­ji­mo dėl duomenų vagystės.

XDR ir EDR skirtumas

EDR (galutinių įrenginių aptikimas ir reaga­vi­mas) XDR (iš­plės­ti­nis reaga­vi­mas ir atsakas)
Au­to­ma­ti­nis ste­bė­ji­mas, analizė ir gynyba nuo ki­ber­ne­ti­nių grėsmių galutinių įrenginių lygmeniu (idealiu atveju remiantis galutinių įrenginių apsaugos platforma) Analizės duomenų iš skirtingų tinklo lygių, įskaitant galinių įrenginių lygį, su­jun­gi­mas ir ko­re­lia­ci­ja cent­ri­nė­je valdymo pulto aplinkoje, taip pat aktyvus paprastų ir sudėtingų saugumo incidentų aptikimas ir gynyba
Go to Main Menu