Tā kā IT ar­hi­tek­tū­ras kļūst arvien hib­rī­dā­kas, ietverot dažādas ga­lie­kār­tas, mā­koņ­pa­kal­po­ju­mus un serverus, po­ten­ciā­lo draudu ainava kļūst arvien di­na­mis­kā­ka. Šādā kontekstā XDR (Extended Detection and Response) ir moderns, augstas veikt­spē­jas drošības ri­si­nā­jums, kas sastāv no dažādiem analīzes un drošības rīkiem. Kā vispārējs koncepts XDR pārbauda gandrīz visus IT vides līmeņus, veic drošības analīzi reālajā laikā un optimizē di­na­mis­kas, hibrīdas rea­ģē­ša­nas metodes, pie­lā­go­jo­ties ne­pār­trauk­ti mainīgiem draudu sce­nā­ri­jiem.

Kāda ir XDR nozīme?

XDR (Extended Detection and Response) ir jauna veida drošības kon­cep­ci­ja, kas paredz vi­s­ap­tve­ro­šu pieeju dinamisko ki­berdrau­du prog­no­zē­ša­nai, at­klā­ša­nai reālajā laikā un aiz­sar­dzī­bai pret tām. Atšķirībā no tra­di­cio­nā­la­jiem drošības ri­si­nā­ju­miem, piemēram, kla­sis­ka­jām an­ti­vī­ru­su prog­ram­mām, XDR ne­kon­cen­trē­jas uz iepriekš de­fi­nē­tiem drošības draudiem, piemēram, vīrusiem, izpirkuma prog­ram­ma­tū­ras uz­bru­ku­miem vai pikšķe­rē­ša­nu, bet gan uz elastīgu drošības ar­hi­tek­tū­ru, kas sastāv no dažādu rīku kom­bi­nā­ci­jas, piemēram, ga­la­pun­ktu drošības, SIEM: drošības in­for­mā­ci­jas un notikumu pār­val­dī­ba, NGAV un pār­val­dī­ti drošības pa­kal­po­ju­mi. Parasti XDR ir SaaS (Software-as-a-Service), t. i., drošības ri­si­nā­jums, kas sastāv no dažādiem rīkiem, kurus piedāvā XDR pa­kal­po­ju­mu sniedzējs.

XDR mērķis ir pēc iespējas elastīgāk un ātrāk reaģēt uz daudz­vei­dī­giem, mainīgiem draudiem, iz­man­to­jot uz uzvedību balstītu un proaktīvu pieeju. Lai to sasniegtu, XDR izmanto klasiskos drošības rīkus aiz­sar­dzī­bai pret iz­spie­ša­nas prog­ram­ma­tū­ru, spiegprog­ram­ma­tū­ru un bai­dī­ša­nas prog­ram­ma­tū­ru, kon­cen­trē­jo­ties uz konkrētām ga­lie­kār­tām un lie­to­jum­prog­ram­mām. No otras puses, dažādas ko­re­lē­jo­šas, konteksta saistītas un au­to­ma­ti­zē­tas analīzes funkcijas aptver visu IT slāni, sākot no e-pasta un mā­koņ­pa­kal­po­ju­miem līdz tīkliem un serveriem. Var tikt izmantota arī mākslīgā intelekta un ma­šīn­mā­cī­ša­nās teh­no­lo­ģi­jas. Tas nozīmē, ka uz jautājumu „Kas ir XDR?” nav vien­kār­šas atbildes, jo tas ietver virkni daudzu integrētu rīku un kon­cep­ci­ju.

Kāpēc ir svarīga pa­pla­ši­nā­tā atklāšana un reaģēšana?

Klasiskā ki­berdro­šī­bas kon­cep­ci­ja balstās uz zināmu ki­berdrau­du un ki­be­ruz­bru­ku­mu atklāšanu un aiz­sar­dzī­bu pret tiem, piemēram, iz­man­to­jot ļaunprog­ram­ma­tū­ru parakstus, uzbrukumu modeļus vai drošības ie­vai­no­ja­mī­bas. Tomēr mūsdienu darba vidē un uzņēmumu tīklos arvien biežāk tiek iz­man­to­tas arvien sa­rež­ģī­tā­kas kom­bi­nā­ci­jas, kurās ietilpst lokālas un mobilās ga­lie­kār­tas, tīkli, pa­kal­po­ju­mi un mākoņvidē, kas sastāv no hibrīdiem un daudzpa­kal­po­ju­mu mākoņiem.

Tas ne tikai palielina uzņēmumu elas­tī­gu­mu un efek­ti­vi­tā­ti, bet arī ap­drau­dē­ju­mu scenāriju skaitu, tostarp „zero-day“ ie­vai­no­ja­mī­bu iz­man­to­ša­nu. Lai būtu gatavi sa­rež­ģī­tiem un ne­pār­trauk­tiem ki­be­ruz­bru­ku­miem dažādos IT ar­hi­tek­tū­ras līmeņos vai pat uz­la­bo­tiem pa­stā­vī­giem draudiem (APT), ir ne­pie­cie­ša­mi ie­vē­ro­ja­mi jaudīgāki drošības ri­si­nā­ju­mi. Tā kā vienam rīkam vairs nepietiek, daudzi uzņēmumi izvēlas bieži vien uz SaaS balstīto XDR.

Ap­vie­no­jot vairākus sav­star­pē­ji saziņā esošus un konteksta at­bil­sto­šus rīkus, ap­drau­dē­ju­ma si­tuā­ci­jas var atklāt un prognozēt reālajā laikā. Ja uzbrukumi tomēr notiek, tie tiek mēr­ķtie­cī­gi novērsti un ie­ro­be­žo­ti, lai aiz­sar­gā­tu kon­fi­den­ciā­los datus un tīkla zonas. XDR atvaira uz­bru­ku­mus, iz­man­to­jot visus jūsu uzņēmuma in­teg­rē­tos drošības ri­si­nā­ju­mus, un aizsargā pret datu zādzību, datu šifrēšanu, izpirkuma prog­ram­ma­tū­ru, ļaunprog­ram­ma­tū­ru, attālo kontroli, kā arī spie­go­ša­nu un ļaunprog­ram­ma­tū­ras iz­pla­tī­ša­nu. Tā vietā, lai tērētu naudu ļaunprog­ram­ma­tū­ru no­ņem­ša­nai, IT in­fras­truk­tū­ras nomaiņai vai brī­di­nā­ju­mu sūtīšanai klientiem, kas varētu kaitēt jūsu re­pu­tā­ci­jai, XDR atpazīst un novērš ārkārtas si­tuā­ci­jas, pirms tās notiek.

Ko var aizsargāt ar XDR?

Daudzi drošības eksperti uzskata, ka XDR ir klasiskās ga­la­pun­ktu drošības un ga­la­pun­ktu aiz­sar­dzī­bas platformu (EPP) tālākā attīstība. Ga­la­pun­ktu drošība kā daļa no stan­dar­ti­zē­tas plat­for­mas jau piedāvā vispārēju kon­cep­ci­ju visu uzņēmuma tīklā integrēto ga­la­pun­ktu ierīču aiz­sar­dzī­bai, sākot no datoriem, klēpjda­to­riem un viedtāl­ru­ņiem līdz serveriem un mar­šru­tē­tā­jiem. XDR iet vēl vienu soli tālāk, jo tā ne tikai kon­cen­trē­jas uz ap­akš­jo­mām, piemēram, ga­la­pun­ktu ierīcēm, bet iekļauj visus IT ar­hi­tek­tū­ras līmeņus, kad runa ir par draudu novēršanu un analīzi.

XDR aiz­sar­dzī­bas sistēma aptver šādas jūsu IT in­fras­truk­tū­ras jomas:

  • In­teg­rē­tas lokālās un mobilās ga­lie­kār­tas, piemēram, datoriem, prin­te­riem, skeneriem, ko­pē­tā­jiem, klēpjda­to­riem, plan­šetda­to­riem, viedtāl­ru­ņiem un citām ierīcēm
  • Tīkla kom­po­nen­ti, piemēram, serveri, mar­šru­tē­tā­ji, modemi vai ko­mu­ta­to­ri
  • Mā­koņ­pa­kal­po­ju­mi un mā­ko­ņuz­gla­bā­ša­na
  • Datu bāzu sistēmas un e-pasta pa­kal­po­ju­mi
  • Fiziskie un virtuālie serveri

Tā kā XDR ir vieda un elastīga drošības kon­cep­ci­ja, praktiski jebkuru slāni un jebkuru saskarni, kas pieder jūsu uzņēmuma tīklam vai sazinās ar to, var integrēt XDR aiz­sar­dzī­bas zonā.

Kā darbojas XDR (pa­pla­ši­nā­tā atklāšana un reaģēšana)?

Tāpat kā ga­la­pun­ktu drošības ri­si­nā­ju­mi, arī XDR koordinē iz­man­to­tos rīkus un parāda analīzes re­zul­tā­tus, ziņojumus un brī­di­nā­ju­mus , iz­man­to­jot centrālo ad­mi­nis­tra­tī­vās pār­val­dī­bas konsoli. Mērķis ir ne tikai atsevišķi novērst konkrētus pa­šrei­zē­jos draudus, bet arī veikt uzbrukumu datu kon­tek­stuā­lu analīzi. Tādējādi varat gūt pieredzi no draudu si­tuā­ci­jām sistēmas mērogā un ilgter­mi­ņā, atpazīt akūtus un sa­rež­ģī­tus uz­bru­ku­mus un pat prognozēt nākotnes uzbrukumu sce­nā­ri­jus.

Lai veiktu šos uzdevumus, XDR ri­si­nā­ju­mam jāietver šādas iespējas un funkcijas:

Funkcija Funkcijas
Ga­la­pun­ktu drošība (EDR: ga­la­pun­ktu atklāšana un reaģēšana) Uzrauga visas ga­lie­kār­tas, kas ir pie­slēg­tas tīklam vai sazinās ar tīklu (vietējās un mobilās) Draudu datu bāzu un lietotāja definētu kom­pro­mi­tā­ci­jas in­di­ka­to­ru (IOC) izveide Klasiskās vīrusu/ļaunprog­ram­ma­tū­ru aiz­sar­dzī­bas un nākamās paaudzes an­ti­vī­ru­su aiz­sar­dzī­bas (NGAV) kom­bi­nā­ci­ja Ad­mi­nis­tra­tī­vi pār­val­dī­ta lie­to­jum­prog­ram­mu un piekļuves kontrole (NAC – Network Access Control)
Uz darbībām balstīta un uz draudiem orientēta XDR te­le­met­ri­ja Sistēmu un tīkla mēroga uz­rau­dzī­ba un analīze, iz­man­to­jot datus no ga­la­pun­ktiem, mā­koņ­pa­kal­po­ju­miem, ugunsmū­riem, serveriem un citiem avotiem Iepriekš definētas shēmas, on­to­lo­ģi­jas un datu precīzi at­klā­ša­nas modeļi ļauj apvienot in­ci­den­tus, korelēt tos un au­to­ma­ti­zēt reaļlaika reaģēšanu un aiz­sar­dzī­bu. Au­to­ma­ti­zē­tas, iepriekš definētas reakcijas uz draudu sce­nā­ri­jiem, piemēram, lie­to­jum­prog­ram­mu karantīna un ie­ro­be­žo­ša­na, ga­la­pun­ktu noņemšana vai IP un domēnu bloķēšana
In­teg­rē­tas darba plūsmas, ro­kas­grā­ma­tas un labākā prakse In­teg­rē­jot veik­smī­gas labākās prakses un efektīvas darba plūsmas uzbrukumu gadījumos, rea­ģē­ša­nas laiku var ie­vē­ro­ja­mi saīsināt un draudus novērst jau agrīnā stadijā.
AI un ma­šīn­mā­cī­ša­nās AI un ML at­bal­stī­tās analīzes funkcijas un aiz­sar­dzī­bas scenāriji atpazīst un novērš slēptus vai jaunus draudus, kon­tek­stuā­li apkopojot drošības in­ci­den­tus un analīzes datus.
Au­to­mā­tis­kas at­jau­ni­nā­ju­mi un uz­la­bo­ju­mi Visu integrēto drošības rīku au­to­mā­tis­kie at­jau­ni­nā­ju­mi nodrošina, ka XDR stra­tē­ģi­ja vienmēr atbilst ak­tuā­la­jai draudu si­tuā­ci­jai.

Papildu XDR ri­si­nā­ju­mu pārskats

Citi rīki, kurus var integrēt XDR kon­cep­ci­jā, ir, piemēram:

  • Datu zuduma novēršana (DLP): stra­tē­ģi­jas un pasākumi aiz­sar­dzī­bai pret datu zādzību un datu noplūdi
  • URL fil­trē­ša­na: bloķējiet un at­blo­ķē­jiet URL, pa­ma­to­jo­ties uz iepriekš de­fi­nē­tiem pa­ra­met­riem, lai aiz­sar­gā­tu uzņēmuma tīklu
  • Ga­la­pun­ktu šifrēšana: uzņēmuma datu kop­lie­to­ša­na ar pil­nva­ro­tiem lie­to­tā­jiem, iz­man­to­jot datu šifrēšanu un de­šif­rē­ša­nu
  • Pārlūka izolācija: pārlūka sesiju izpilde izolētās vidēs
  • Aiz­sar­dzī­ba pret iekšējiem draudiem: Zero Trust Network Access (ZTNA) iz­man­to­ša­na, lai brīdinātu par aiz­do­mī­gām darbībām tīklā
  • Mā­koņdro­šī­ba: mā­ko­ņu­gunsmū­ru un mā­koņtī­mek­ļa fil­trē­ša­nas rīku iz­man­to­ša­na, lai droši lietotu mā­koņ­pa­kal­po­ju­mus
  • Sandboxing: lie­to­jum­prog­ram­mu un domēnu izolēšana vai imitēšana, lai aiz­sar­gā­tu kritiskas tīkla daļas no uz­bru­ku­miem
  • E-pasta vārteja: e-pasta dat­plūs­mas uz­rau­dzī­ba un pārbaude, lai atklātu aizdomīgu saturu, iz­man­to­jot drošas e-pasta vārtejas (SEG)

XDR (pa­pla­ši­nā­tā atklāšana un reaģēšana) priekš­ro­cī­bas

XDR ne tikai vienu, bet vairākus soļus iet tālāk, ja runa ir par viedo un proaktīvo ki­berdro­šī­bu. Iz­vē­lo­ties XDR kā SaaS ri­si­nā­ju­mu, jūs iegūsit šādas priekš­ro­cī­bas:

Vi­s­ap­tve­ro­ša uzņēmuma, klientu un uzņēmuma datu un sistēmu aiz­sar­dzī­ba

Atšķirībā no tra­di­cio­nā­la­jiem tīkla, sistēmu un ga­la­pun­ktu aiz­sar­dzī­bas ri­si­nā­ju­miem, XDR apvieno dažādus drošības rīkus vienā daudz­vei­dī­gā pa­kal­po­ju­mu kopumā. Šī pieeja aizstāj frag­men­tā­ro draudu analīzi un aiz­sar­dzī­bu, ko piedāvā ne­at­ka­rī­gi pār­val­dī­ti produkti, ar vien­kār­šo­tu, cen­tra­li­zē­ti pār­val­dī­tu saskarni. Šī saskarne salīdzina un kon­tek­stua­li­zē dažādus datu kopumus, uzlabojot draudu atklāšanu. Iz­man­to­jot au­to­ma­ti­zē­tus darba procesus un rea­ģē­ša­nas me­hā­nis­mus, ir iespējams re­kons­truēt uzbrukuma ceļus un ātri un efektīvi atvairīt, izolēt vai ierobežot draudus. Tas nodrošina labāku kontroli un pār­re­dza­mī­bu, kā arī vi­s­ap­tve­ro­šu drošību jūsu uzņēmumam.

Datu apjoma sa­ma­zi­nā­tas, ātras analīzes rīcībai vērstai aiz­sar­dzī­bai

Pa­tei­co­ties in­teg­rē­ta­jai labākajai praksei, iepriekš de­fi­nē­tiem aiz­sar­dzī­bas sce­nā­ri­jiem un at­jau­ni­nā­tām draudu datu bāzēm, ki­berdro­šī­bu var no­dro­ši­nāt, iz­man­to­jot ļoti maz datu. Neaitādas novirzes vai ne­aiz­do­mī­gi brī­di­nā­ju­mi tiek au­to­mā­tis­ki at­fil­trē­ti, bet no­piet­niem draudiem tiek piešķirta prio­ri­tā­te. Ar mākslīgo intelektu un ma­šīn­mā­cī­ša­nos balstītās analīzes nodrošina arī ātru un pašmācīgu analīzi reālajā laikā, kas atklāj pat slēptus, sa­rež­ģī­tus vai daudzslā­ņai­nus draudus.

Laika un izmaksu ie­tau­pī­jums

In­teg­rē­jot dažādus drošības rīkus vienotā sistēmā, var ie­vē­ro­ja­mi samazināt ad­mi­nis­tra­tī­vo slogu, kas saistīts ar manuālu no­vēr­tē­ša­nu, iz­man­to­jot at­se­viš­ķus rīkus. Šī in­teg­rā­ci­ja ne tikai samazina ne­pie­cie­ša­mo darba apjomu, bet arī saīsina laiku, kas ne­pie­cie­šams, lai reaģētu uz stei­dza­miem draudiem, jo drošības ri­si­nā­ju­mi var rīkoties, pirms cilvēki, kas strādā ar sistēmu, ir pat brīdināti par in­ci­den­tiem.

XDR piedāvā integrētu platformu, kas nodrošina efektīvu sarežģītu sistēmu datu analīzi un iz­vēr­tē­ša­nu, tādējādi samazinot iz­mek­lē­ša­nas izmaksas. Vēl svarīgāk ir tas, ka sa­rež­ģī­tās ap­ara­tū­ras un prog­ram­ma­tū­ras vidēs augstais un vienots drošības līmenis ļauj iz­vai­rī­ties no dārgiem un fi­nan­siā­li ap­grū­ti­no­šiem pa­sā­ku­miem, piemēram, sistēmu at­tī­rī­ša­nas vai inficētu ga­lie­kār­tu pā­r­in­sta­lē­ša­nas, kā arī no uzņēmuma tēla bo­jā­ju­miem datu zādzības dēļ.

Atšķirība starp XDR un EDR

EDR (ga­la­pun­ktu atklāšana un reaģēšana) XDR (pa­pla­ši­nā­ta reaģēšana un atbildes pasākumi)
Au­to­ma­ti­zē­ta uz­rau­dzī­ba, analīze un aiz­sar­dzī­ba pret ki­berdrau­diem ga­la­pun­ktu/ga­lie­kār­tu līmenī (ideāli bal­sto­ties uz ga­la­pun­ktu aiz­sar­dzī­bas platformu) Analīzes datu ap­vie­no­ša­na un ko­re­lē­ša­na no dažādiem tīkla līmeņiem, tostarp ga­la­pun­ktu līmeņa, cen­trā­la­jā vadības panelī, kā arī proaktīva atklāšana un aiz­sar­dzī­ba pret vien­kār­šiem un sa­rež­ģī­tiem drošības in­ci­den­tiem
Go to Main Menu