S tem ko IT-ar­hi­tek­tu­re postajajo vse bolj hibridne in vklju­ču­je­jo raznolike končne naprave, oblake in strežnike, se tudi okolje po­ten­ci­al­nih groženj spreminja v vse bolj dinamično. V tem kontekstu je XDR (Extended Detection and Response) sodobna, visoko zmogljiva varnostna rešitev, ki jo se­sta­vlja­jo različna orodja za analizo in varnost. Kot celovit koncept XDR pre­gle­du­je skoraj vse ravni IT-okolja, izvaja varnostne analize v realnem času ter op­ti­mi­zi­ra dinamične, hibridne odzive na nenehno spre­mi­nja­jo­če se scenarije groženj.

Kaj pomeni XDR?

XDR (Extended Detection and Response) pred­sta­vlja nov tip var­no­stne­ga koncepta s celostnim pristopom k na­po­ve­do­va­nju, za­zna­va­nju v realnem času in obrambi pred di­na­mič­ni­mi ki­ber­net­ski­mi grožnjami. V nasprotju s kon­ven­ci­o­nal­ni­mi var­no­stni­mi rešitvami, kot so klasični pro­ti­vi­ru­sni programi, se XDR ne osre­do­to­ča na vnaprej opre­de­lje­ne varnostne grožnje, kot so virusi, napadi z iz­si­lje­val­sko pro­gram­sko opremo ali lažno pred­sta­vlja­nje, temveč na pri­la­go­dlji­vo varnostno ar­hi­tek­tu­ro, ki jo sestavlja kom­bi­na­ci­ja različnih orodij, kot so Endpoint Security, SIEM: Security In­for­ma­ti­on & Event Ma­na­ge­ment, NGAV in Managed Security Services. XDR je praviloma SaaS (Software-as-a-Service), tj. varnostna rešitev, ki jo se­sta­vlja­jo različna orodja, ki jih ponuja ponudnik XDR.

Cilj XDR je čim bolj pri­la­go­dlji­vo in čim hitreje odzivati se na raznolike, spre­men­lji­ve grožnje na podlagi vedenja in na pro­ak­ti­ven način. Da bi to dosegel, XDR uporablja klasična varnostna orodja za zaščito pred iz­si­lje­val­sko pro­gram­sko opremo, vohunsko pro­gram­sko opremo in pro­gram­sko opremo za ustra­ho­va­nje, pri čemer se osre­do­to­ča na posamezne končne naprave in apli­ka­ci­je. Po drugi strani pa različne ko­re­la­cij­ske, kon­te­kstu­al­ne in av­to­ma­ti­zi­ra­ne ana­li­tič­ne funkcije pokrivajo celoten IT-sloj, od e-pošte in storitev v oblaku do omrežij in stre­žni­kov. Upo­ra­blja­jo se lahko tudi umetna in­te­li­gen­ca in strojno učenje. To pomeni, da na vprašanje »Kaj pomeni XDR?« ni eno­stav­ne­ga odgovora, saj zajema niz več in­te­gri­ra­nih orodij in konceptov.

Zakaj je raz­šir­je­no od­kri­va­nje in odzivanje pomembno?

Klasični pojem ki­ber­net­ske varnosti temelji na od­kri­va­nju znanih ki­ber­net­skih groženj in ki­ber­net­skih napadov ter na zaščiti pred njimi, npr. na podlagi podpisov zlo­na­mer­ne pro­gram­ske opreme, vzorcev napadov ali var­no­stnih ran­lji­vo­sti. V sodobnih delovnih okoljih in pod­je­tni­ških omrežjih pa se upo­ra­blja­jo vse bolj zapletene kom­bi­na­ci­je lokalnih in mobilnih končnih naprav, omrežij, storitev ter oblačnih okolij, ki jih se­sta­vlja­jo hibridna in ve­č­o­blač­na okolja.

To ne povečuje le pri­la­go­dlji­vo­sti in učin­ko­vi­to­sti podjetij, temveč tudi število sce­na­ri­jev groženj, vključno z iz­ko­ri­šča­njem ran­lji­vo­sti »zero-day«. Da bi se lahko pri­pra­vi­li na zapletene in ne­pre­ki­nje­ne ki­ber­net­ske napade na več ravneh IT-ar­hi­tek­tu­re ali celo na napredne vztrajne grožnje (APT), so potrebne bistveno zmo­glji­vej­še varnostne rešitve. Ker za to eno orodje ne zadostuje več, se mnoga podjetja odločajo za XDR, ki pogosto temelji na modelu SaaS.

Z zdru­že­va­njem več med­se­boj­no povezanih in kon­te­kstno usmer­je­nih orodij je mogoče v realnem času zaznati in na­po­ve­da­ti ne­var­no­sti. Če do napadov vendarle pride, se ti ciljno pre­pre­či­jo in omejijo, da se zaščitijo ob­ču­tlji­vi podatki in omrežna območja. XDR odbije napade s pomočjo vseh in­te­gri­ra­nih var­no­stnih rešitev vašega podjetja ter ščiti pred krajo podatkov, ši­fri­ra­njem podatkov, iz­si­lje­val­sko pro­gram­sko opremo, zlo­na­mer­no pro­gram­sko opremo, da­ljin­skim nadzorom ter vo­hu­nje­njem in širjenjem zlo­na­mer­ne pro­gram­ske opreme. Namesto da bi morali po­ra­blja­ti denar za od­stra­nje­va­nje zlo­na­mer­ne pro­gram­ske opreme, zamenjavo IT-in­fra­struk­tu­re ali po­ši­lja­nje opozoril strankam, kar bi lahko škodovalo vašemu ugledu, XDR prepozna in prepreči izredne razmere, še preden se pojavijo.

Kaj je mogoče zaščititi s sistemom XDR?

Za mnoge varnostne stro­kov­nja­ke je XDR nadaljnji razvoj klasičnih platform za varnost končnih naprav in zaščito končnih naprav (EPP). Varnost končnih naprav kot del stan­dar­di­zi­ra­ne platforme že ponuja celovit koncept za zaščito vseh končnih naprav, in­te­gri­ra­nih v pod­je­tni­ško omrežje, od osebnih ra­ču­nal­ni­kov, prenosnih ra­ču­nal­ni­kov in pametnih telefonov do stre­žni­kov in usmer­je­val­ni­kov. XDR gre še korak dlje, saj se ne osre­do­to­ča le na pod­po­dro­čja, kot so končne naprave, ampak vključuje vse ravni IT-ar­hi­tek­tu­re, ko gre za pre­pre­če­va­nje in analizo groženj.

Zaščita XDR zajema naslednja področja vaše IT-in­fra­struk­tu­re:

  • In­te­gri­ra­ne lokalne in mobilne končne naprave, kot so osebni ra­ču­nal­ni­ki, ti­skal­ni­ki, skenerji, kopirni stroji, prenosni ra­ču­nal­ni­ki, tablični ra­ču­nal­ni­ki, pametni telefoni in druge
  • Omrežne kom­po­nen­te, kot so strežniki, usmer­je­val­ni­ki, modemi ali stikala
  • Storitve v oblaku in shra­nje­va­nje v oblaku
  • Po­dat­kov­ni sistemi in e-poštne storitve
  • Fizični in virtualni strežniki

Ker je XDR pameten in pri­la­go­dljiv varnostni koncept, je mogoče v območje zaščite XDR vključiti praktično katero koli plast in kateri koli vmesnik, ki spada v omrežje vašega podjetja ali ko­mu­ni­ci­ra z njim.

Kako deluje XDR (raz­šir­je­no za­zna­va­nje in odzivanje)?

Podobno kot rešitve za varnost končnih naprav tudi XDR usklajuje upo­ra­blje­na orodja ter prikazuje rezultate analiz, poročila in opozorila prek centralne upra­vlja­vske konzole. Cilj ni zgolj ločeno odzivanje na trenutne, konkretne grožnje, temveč izvedba kon­te­kstu­al­ne analize podatkov o napadih. Na ta način se lahko na sistemski ravni in traj­no­stno učite iz situacij, povezanih z grožnjami, pre­po­zna­va­te akutne in kom­ple­ksne napade ter celo na­po­ve­du­je­te prihodnje scenarije napadov.

Da bi lahko izpolnila te naloge, mora rešitev XDR vklju­če­va­ti naslednje lastnosti in funkcije:

Funkcija Zna­čil­no­sti
Varnost končnih točk (EDR: Endpoint Detection and Response) Nadzoruje vse končne naprave, povezane z omrežjem ali ki ko­mu­ni­ci­ra­jo z omrežjem (lokalne in mobilne) Ustvar­ja­nje baz podatkov o grožnjah in upo­rab­ni­ško de­fi­ni­ra­nih ka­zal­ni­kov ogro­že­no­sti (IOC) Kom­bi­na­ci­ja klasične zaščite pred virusi/zlo­na­mer­no pro­gram­sko opremo in pro­ti­vi­ru­sne zaščite nove ge­ne­ra­ci­je (NGAV) Ad­mi­ni­stra­tiv­no upra­vlja­nje aplikacij in nadzor dostopa (NAC – Network Access Control)
Na ukrepih in grožnjah temelječa te­le­me­tri­ja XDR Med­si­s­tem­sko in omrežno spre­mlja­nje ter analiza podatkov iz končnih točk, storitev v oblaku, požarnih zidov, stre­žni­kov in drugih virov Pred­de­fi­ni­ra­ne sheme, on­to­lo­gi­je in modeli za­zna­va­nja z na­tanč­ni­mi podatki omogočajo zdru­že­va­nje in ko­re­la­ci­jo in­ci­den­tov ter av­to­ma­ti­za­ci­jo odziva in obrambe v realnem času. Av­to­ma­ti­zi­ra­ni, vnaprej določeni odzivi na scenarije groženj, kot so karantena in ome­je­va­nje aplikacij, od­stra­nje­va­nje končnih točk ali blo­ki­ra­nje IP-naslovov in domen
In­te­gri­ra­ni delovni tokovi, pri­roč­ni­ki in najboljše prakse Z in­te­gra­ci­jo uspešnih naj­bolj­ših praks in učin­ko­vi­tih delovnih tokov v primeru napadov je mogoče odzivne čase znatno skrajšati in grožnje pre­pre­či­ti že v zgodnji fazi.
AI in strojno učenje Funkcije analize in scenariji obrambe, podprti z umetno in­te­li­gen­co in strojnim učenjem, pre­po­zna­va­jo in pre­pre­ču­je­jo skrite ali nove grožnje s kon­te­kstu­al­nim zbiranjem var­no­stnih in­ci­den­tov in podatkov analize.
Av­to­mat­ske po­so­do­bi­tve in nad­gra­dnje Samodejne po­so­do­bi­tve vseh in­te­gri­ra­nih var­no­stnih orodij za­go­ta­vlja­jo, da je stra­te­gi­ja XDR vedno v koraku z aktualnim stanjem groženj.

Pregled dodatnih rešitev XDR

Druga orodja, ki jih je mogoče vključiti v koncept XDR, so na primer:

  • Pre­pre­če­va­nje izgube podatkov (DLP): Stra­te­gi­je in ukrepi za zaščito pred krajo podatkov in kršitvami varnosti podatkov
  • Fil­tri­ra­nje URL-jev: Blo­ki­ra­nje in od­blo­ki­ra­nje URL-jev na podlagi vnaprej določenih pa­ra­me­trov za zaščito pod­je­tni­ške­ga omrežja
  • Ši­fri­ra­nje končnih točk: izmenjava podatkov podjetja z av­to­ri­zi­ra­ni­mi upo­rab­ni­ki prek ši­fri­ra­nja in de­ši­fri­ra­nja podatkov
  • Izolacija br­skal­ni­ka: izvajanje sej br­skal­ni­ka v izo­li­ra­nih okoljih
  • Zaščita pred no­tra­nji­mi grožnjami: uporaba dostopa do omrežja brez zaupanja (ZTNA) za opo­zar­ja­nje na sumljive de­jav­no­sti znotraj omrežja
  • Varnost v oblaku: uporaba oblačnih požarnih zidov in orodij za fil­tri­ra­nje spletnih strani v oblaku za varno uporabo oblačnih storitev
  • San­dbo­xing: Izolacija ali po­sne­ma­nje aplikacij in domen za zaščito kritičnih delov omrežja pred napadi
  • E-poštni prehod: spre­mlja­nje in pre­ver­ja­nje e-poštnega prometa za sumljivo vsebino z uporabo varnih e-poštnih prehodov (SEG)

Prednosti teh­no­lo­gi­je XDR (raz­šir­je­no za­zna­va­nje in odzivanje)

XDR gre na področju in­te­li­gen­tne, pro­ak­tiv­ne ki­ber­net­ske varnosti ne le en korak, ampak kar nekaj korakov dlje. Z izbiro rešitve XDR v obliki storitve SaaS boste imeli naslednje prednosti:

Celovita zaščita poslovnih podatkov, podatkov strank ter podatkov in sistemov podjetja

Za razliko od tra­di­ci­o­nal­nih rešitev za zaščito omrežij, sistemov in končnih naprav XDR združuje različna varnostna orodja v he­te­ro­ge­no rešitev, ki združuje več storitev. Ta pristop nadomešča raz­dro­blje­no analizo groženj in zaščito, ki jo ponujajo neodvisno upra­vlja­ni izdelki, z eno­stav­nim, centralno upra­vlja­nim vmesnikom. Ta vmesnik povezuje in kon­te­kstu­a­li­zi­ra različne nize podatkov, s čimer izboljša za­zna­va­nje groženj. Z av­to­ma­ti­zi­ra­ni­mi delovnimi tokovi in odzivi je mogoče re­kon­stru­i­ra­ti poti napadov ter grožnje hitro in učin­ko­vi­to odbiti, izolirati ali omejiti. To vodi do večjega nadzora in pre­gle­dno­sti ter celovite varnosti za vaše podjetje.

Analize z zmanjšano količino podatkov za hitro odzivanje v obrambi

Za­hva­lju­joč vgrajenim naj­bolj­šim praksam, vnaprej določenim sce­na­ri­jem za obrambo in po­so­do­blje­nim po­dat­kov­nim bazam groženj je mogoče ki­ber­net­sko varnost izvajati na način, ki zahteva zelo malo podatkov. Ne­ško­dlji­ve anomalije ali neopazna opozorila se samodejno izločijo, resne grožnje pa se obrav­na­va­jo pred­no­stno. Analize, podprte z umetno in­te­li­gen­co in strojnim učenjem, za­go­ta­vlja­jo tudi hitre analize v realnem času, ki se same učijo in zaznavajo tudi skrite, iz­po­pol­nje­ne ali več­pla­stne grožnje.

Prihranek časa in stroškov

Z vklju­či­tvi­jo različnih var­no­stnih orodij v enoten sistem je mogoče znatno zmanjšati ad­mi­ni­stra­tiv­no breme, povezano z ročnimi ocenami, ki se izvajajo z ločenimi orodji. Ta in­te­gra­ci­ja ne le zmanjša obseg po­treb­ne­ga dela, temveč tudi skrajša čas odziva na nujne grožnje, saj lahko varnostne rešitve ukrepajo, še preden so ope­ra­ter­ji sploh obveščeni o in­ci­den­tih.

XDR ponuja in­te­gri­ra­no platformo z učin­ko­vi­ti­mi analizami in ocenami kom­ple­ksnih sis­tem­skih podatkov, s čimer zmanjšuje stroške preiskav. Še po­memb­ne­je pa je, da v kom­ple­ksnih okoljih strojne in pro­gram­ske opreme visoka raven brezhibne varnosti omogoča pre­pre­či­tev dragih in finančno obre­me­nju­jo­čih ukrepov, kot so čiščenje sistemov ali ponovna na­me­sti­tev okuženih končnih naprav, ter škode za ugled podjetja zaradi kraje podatkov.

Razlika med XDR in EDR

EDR (za­zna­va­nje in odzivanje na končnih napravah) XDR (raz­šir­je­no za­zna­va­nje in odzivanje)
Av­to­ma­ti­zi­ra­no spre­mlja­nje, analiza in obramba pred ki­ber­net­ski­mi grožnjami na ravni končnih točk/končnih naprav (v idealnem primeru na podlagi platforme za zaščito končnih točk) Zdru­že­va­nje in po­ve­zo­va­nje podatkov analize z različnih ravni omrežja, vključno z ravnjo končnih točk, na cen­tral­nem nadzornem panelu ter pro­ak­tiv­no od­kri­va­nje in zaščita pred pre­pro­sti­mi do za­ple­te­ni­mi var­no­stni­mi incidenti
Go to Main Menu