Główna,Rozwiązania bezpieczeństwa IT

EDR vs XDR. Jak je odróżnić?

Czas czytania: 3 min

Rozwiązania z zakresu cyberbezpieczeństwa w ostatnich latach bardzo mocno ewoluowały. Przeszliśmy drogę od podstawowej technologii badania i odkrywania, aż do rozwiązań analizy behawioralnej umożliwiających wykrywanie i reagowanie na zdarzenia w czasie rzeczywistym. Jeśli jednak zaawansowane narzędzia mają być naprawdę skuteczne, muszą spełniać pewne warunki. Przede wszystkim powinny one chronić przed anomalnymi zachowaniami, które same w sobie często wydają się nieszkodliwe. W uzyskiwaniu szerszego obrazu takich zdarzeń pomaga korelacja i kontekstualizacja detekcji, a to z kolei niejednokrotnie pozwala na wykrycie incydentu wymagającego natychmiastowej reakcji.

Termin “wykrywanie i reagowanie (detection and response)” obejmuje zatem technologie, które mają na celu zapewnienie większej widoczności, możliwości identyfikacji i efektywnego reagowania na zagrożenia na szerokiej powierzchni ataku. Ponieważ terminy EDR (Endpoint Detection and Response) oraz XDR (Extended Detection and Response) są zbliżone, może pojawić się zamieszanie. EDR vs XDR — jak odróżnić te rozwiązania? Sprawdziliśmy w poniższym artykule.

EDR vs XDR

Przede wszystkim warto zacząć od tego, że narzędzia XDR rozszerzając możliwości EDR stają się swego rodzaju naturalną jego ewolucją. Dogłębne spojrzenie ujawnia również inne kluczowe różnice, które przedstawiamy poniżej.

1. Zbieranie danych.

Rozwiązania EDR przechowują dane telemetryczne. Obejmują one konkretne typy i rozmiar aktywności zachodzących na endpoincie, a także na punktach, z którymi się komunikuje, zarówno wewnątrz, jak i na zewnątrz organizacji. Ponadto EDR zapisuje również typy danych i plików przechodzących do i z danego punktu końcowego.

Z kolei narzędzia XDR mają możliwość zbierania danych z większej ilości źródeł. W tym przypadku dane telemetryczne zestawiane są z innymi źródłami, takimi jak informacje dotyczące ruchu sieciowego czy tożsamości. Są one korelowane w sposób umożliwiający przedstawienie znacznie szerszego kontekstu danego zdarzenia.

2. Analiza danych.

W przypadku EDR dane z punktów końcowych są przesyłane do silnika analizy EDR, który wykrywa nietypowe zachowanie i mapuje je na wskaźniki ataku (IoA), wskazujac na obecność znanych rodzajów złośliwej aktywności.

XDR, poprzez zbieranie większej ilości danych ze środowiska, jest w stanie zidentyfikować charakter i źródło wykrytej złośliwej aktywności.  Wysoka dokładność pozwala na zmniejszenie ilości alertów false positive, a tym samym zwiększenie niezawodności i dokładności.

3. Wykrywanie i reagowanie na zagrożenia.

Technologia EDR wykorzystuje szereg funkcji do analizy zachowania urządzenia i identyfikacji zaawansowanych zagrożeń i złośliwego oprogramowania. Należą do nich m.in. sztuczna inteligencja (AI), uczenie maszynowe (ML) i zaawansowana analiza plików. Ponadto narzędzia EDR posiadają również wbudowane automatyczne mechanizmy reakcji, takie jak wysyłanie alertów bezpieczeństwa, izolowanie maszyny od sieci oraz usuwanie lub eliminowanie potencjalnych zagrożeń.

Tymczasem technologia XDR dzięki wykorzystaniu cross-domain i korelacji monitorowanych działań z różnych produktów bezpieczeństwa, dostarcza kontekstu zagrożeń oraz ocenia i wykrywa złośliwe scenariusze, które mogą być wskaźnikami kompromitacji (indicator of compromise, IoC). Zmniejsza to średni czas wykrycia zagrożenia (MTTD), a także szybko ogranicza jego wpływ, nasilenie i zakres. XDR umożliwia także natywną, skoordynowaną reakcję na różnych płaszczyznach, taką jak wspólna reakcja na końcowym punkcie i w sieci, izolacja punktów końcowych, czy blokowanie zewnętrznych adresów IP powiązanych z incydentem.

EDR czy XDR? Które rozwiązanie wybrać?

Chociaż zarówno EDR, jak i XDR obejmują wspólne przypadki użycia, są to różne rozwiązania adresowane specyficznym potrzebom. Rozważając wdrożenie lub rekomendację jednego z tych rozwiązań dla swoich klientów, należy wziąć pod uwagę kilka istotnych czynników.

  • Infrastruktura IT. Pierwszym krokiem jest określenie, które zasoby wymagają ochrony. Rozwiązanie XDR jest idealne dla firm średniej wielkości z ograniczonym personelem i niedoborem zautomatyzowanych narzędzi. XDR rozwiązuje w tym przypadku problem ręcznego sortowania detekcji, zarządzania alertami oraz korzystania z wielu różnych konsol celem zebrania informacji i ich kontekstualizacji.
  • Wymagana wiedza.  Rozwiązania EDR i XDR wymagają pewnej wiedzy, aby efektywnie je wdrożyć i zarządzać nimi. Równie ważne jest doświadczenie w zakresie bezpieczeństwa i threat huntingu. Problem ten rozwiązuje często korzystanie z zarządzanych usług MSSP.

Zarówno XDR jak i EDR zapewniają wysoki stopień automatyzacji w wykrywaniu i reagowaniu na incydenty związane z punktami końcowymi. Jednocześnie oba narzędzia oferują różne podejścia do tego tematu, a wybór najlepszego rozwiązania zależy od potrzeb i możliwości danej organizacji.

WatchGuard oferuje klientom zarówno narzędzie Endpoint Detection and Response, jak i rozszerzony XDR – WatchGuard ThreatSync. Po więcej informacji skontaktuj się z nami.

 

Źródło: https://www.watchguard.com/wgrd-news/blog/3-tips-how-differentiate-xdr-edr

Grafika: rawpixel.com





Dodaj komentarz