Potrivit Gartner, Extended Detection and Response (XDR) este „un instrument de detectare a amenințărilor de securitate și de răspuns la incidente cibernetice bazat pe SaaS, specific furnizorului, care integrează în mod nativ mai multe produse de securitate într-un sistem de operațiuni de securitate coerent care unifică toate componentele licențiate”.
Ce este este XDR?
XDR permite unei companii să treacă dincolo de controalele tipice de detecție, oferind o imagine holistică și în același timp mai simplă a amenințărilor din întregul peisaj tehnologic. XDR furnizează în timp real informații despre amenințările operațiunilor comerciale în vederea obținerii unor rezultate mai bune și mai rapide.
Avantajele principale ale detecției și răspunsului extins (XDR) sunt:
• Capacități îmbunătățite de protecție, detecție și răspuns
• Productivitate îmbunătățită a personalului de securitate operațională
• Costul total mai mic pentru detectarea amenințărilor cibernetice și răspunsul eficient împotriva acestora
Detecția și răspunsul extins (XDR) își menține promisiunea de consolidare a mai multor produse într-o platformă coerentă, unificată, de detecție și răspuns la incidente de securitate cibernetică. XDR este o evoluție logică a soluțiilor de detecție și răspuns a punctelor finale (EDR) într-un instrument principal de răspuns la incidente.
De ce companiile au nevoie de XDR?
SOC-urile au nevoie de o platformă care să reunească în mod inteligent toate datele de securitate relevante și să dezvăluie adversarii avansați. Pe măsură ce aceștia folosesc tactici, tehnici și proceduri (TTP) tot mai complexe pentru a ocoli și exploata cu succes controalele de securitate tradiționale, organizațiile se luptă în asigurarea securitatii unui număr în permanentă creștere de active digitale vulnerabile atât în interiorul, cât și în afara perimetrului rețelei tradiționale.
Echipele de securitate sunt sub ofensivă de ani de zile și, odată cu cerințele recente de muncă de la domiciliu, presiunea asupra resurselor a fost amplificată – profesioniștilor în securitatea informațiilor li se cere din nou să facă mai mult cu aceleași sau mai puține resurse și cu constrângeri bugetare stricte. Organizațiile au nevoie de măsuri de securitate unificate și proactive pentru a apăra întregul peisaj al activelor tehnologice, care includ stații de lucru învechite, lucrul pe dispozitive mobile și în cloud, fără a suprasolicita personalul și resursele de administrare interne.
Din cauza atacatorilor de tipul „lupului singuratic” sau “nation state”, a grupurilor de hacking și chiar a persoanelor din interiorul companiei potențial rău intenționate care se află în permanentă mișcare, atât securitatea companiei cât și managerii de administrare a riscului sunt lăsați să utilizeze prea multe instrumente de securitate neconectate și seturi de date de la prea mulți furnizori. Personalul de securitate se luptă cu o mare de date care are ca rezultat o supraîncărcare a alertelor, cu prea multe fals pozitive și o integrare redusă a datelor, cu instrumente de analiză sau răspuns la incidente și toate acestea sub niveluri foarte ridicate de stres operațional.
Liderii de securitate și gestionare a riscurilor companiilor ar trebui să ia în considerare avantajele de securitate și valoarea productivității unei soluții XDR.
Cum funcționează XDR?
Principala valoare adaugată a produselor sau capabilităților XDR presupune îmbunătățirea productivității operațiunilor de securitate a informațiilor. Aceasta se obține prin creșterea capacităților de detecție și răspuns la incidente realizate prin unificarea vizibilității și controlului dintre stații, rețea și cloud. XDR ingerează și extrage cele mai importante date telemetrice. XDR poate, de asemenea, analiza TTP-urile și alți vectori de amenințare pentru a face capabilitățile complexe ale operațiunilor de securitate mai accesibile echipelor de securitate care nu dispun de resurse pentru soluții punctuale mai personalizate. XDR elimină ciclurile descurajante de detecție și investigare și oferă contextul necesar răspunsului rapid la amenințări.
XDR oferă capabilități avansate de detectie și răspuns la amenințări, inclusiv:
• Detecția și răspunsul la atacuri țintite
• Suport nativ pentru analiza comportamentului utilizatorilor și a activelor tehnologice
• Informații privind amenințările cibernetice, inclusiv din surse locale partajate sau dobândite din surse externe
• Reducerea nevoii de a urmări alertele fals pozitive prin corelarea și confirmarea automată a alertelor
• Integrarea datelor relevante pentru un triaj mai rapid și mai precis al incidentelor
• Capabilitate de configurare centralizată și hardenizare, cu functii de ghidare echilibrată pentru a ajuta la prioritizarea activităților
• Analiză detaliată
Care sunt beneficiile XDR?
Produsele de detecție și răspuns extinse (XDR) adaugă valoare prin consolidarea mai multor produse de securitate într-o platformă coerentă, unificată de detecție și răspuns la incidente de securitate. XDR reprezintă o evoluție eficientă a platformelor de detecție și răspuns ale punctelor finale (EDR) într-un instrument principal de răspuns la incidente. Detectarea amenințărilor avansate de astăzi necesită mai mult decât o colecție de soluții punctuale. XDR poate optimiza răspunsul cu un context avansat.
Securitatea de detecție și răspuns extins (XDR) oferă capabilități avansate de detecție și răspuns la amenințări, inclusiv:
• Conversia unui flux mare de alerte într-un număr mult mai mic de incidente pe care se poate concentra pentru investigații manuale
• Furnizarea opțiunilor integrate de răspuns la incidente care au contextul necesar obținut din toate componentele de securitate pentru a rezolva rapid alertele
• Furnizarea de opțiuni de răspuns care depășesc punctele de control ale infrastructurii, inclusiv rețeaua și endpointurile
• Furnizarea de capabilități de automatizare pentru sarcini repetitive
• Reducerea instruirii și îmbunătățirea nivelului de asistență de nivel 1
prin furnizarea unei experiențe comune de gestionare și flux de lucru între componentele de securitate
• Furnizarea de conținut de detecție utilizabil și de înaltă calitate, cu setari de reglare minime
XDR îmbunătățește funcțiile critice ale SOC-urilor, atunci când reacționează la un atac în mediul lor:
• Detecție
Identifici mai multe amenințări, pe cele semnificative, prin combinarea datelor telemetrice obținute la nivelul punctelor finale cu o listă tot mai mare de furnizori de controale de securitate, precum și evenimente de securitate colectate și analizate de platforme analitice și de securitate a informațiilor.
• Investigație
Echipa om-mașină corelează toate informațiile relevante privind amenințările și aplică contextul de securitate situațională pentru a reduce rapid semnalul de zgomot și pentru a ajuta la identificarea cauzei principale.
• Recomandări
Oferă analiștilor recomandări prescriptive pentru a continua o investigație prin interogări suplimentare, precum și pentru a oferi acțiuni de răspuns relevante, care ar îmbunătăți cel mai eficient izolarea sau remedierea unui risc sau al unei amenințări detectate.
• Vânătoare
Oferă o capacitate de interogare comună într-un depozit de date, care conține telemetrie cu senzori multi-furnizor, în căutarea unor comportamente de amenințare suspecte, permițând vânătorilor de amenințări să localizeze și să ia măsuri pe baza recomandărilor.
O platformă XDR cuprinzătoare necesită un furnizor care poate livra un portofoliu extins de produse aflate în stadiul de maturitate și un larg ecosistem de parteneri, pentru a interconecta fără probleme și corela în mod relevant detecțiile dintre multiple alerte. Înțelege în mod automat contextul, prioritizează riscul și emite un răspuns care poate fi orchestrat ușor în întreaga organizație.
McAfee MVISION XDR
Primul XDR proactiv, bazat pe date și cu platformă deschisă
MVISION XDR este o platformă bazată pe SaaS care diminuează riscul cibernetic de la dispozitiv până în cloud, îmbunătățind rapid eficiența SOC-ului prin scăderea ciclurilor reactive, economisind în același timp până la 95% din costul evaluării campaniei de amenințare. MVISION XDR este singurul XDR care acoperă întregul ciclu de viață al atacului, înainte și după acesta.
• Împuternicește SOC-ul să facă mai mult, prin vizibilitate și control unificat pe punctele finale, în rețea și cloud
• Prioritizează și protejează ceea ce contează, cu date distincte și prin conștientizarea contextului
• Minimizează riscul înainte și după atac cu ajutorul informațiilor ce sunt disponibile imediat pentru a preveni situația în cauză, oferă investigații ghidate și automatizate precum și contramăsuri prescriptive
• Îmbunătățește vizibilitatea și controlul, conectând fără efort elementele de securitate a informațiilor (McAfee și non-McAfee) pentru a fi orchestrate împreună
• Oferă o gestionare practică a amenințărilor cibernetice, fără a crește numarul personalului și împuternicind personalul existent al SOC-ului.¬
