XDR расшифровывается как eXDetection и Response. Что это такое, зависит от того, кто это объясняет. XDR очень быстро эволюционировал от обнаружения и реагирования сети (NDR) и обнаружения и реагирования конечных точек (EDR), потому что все поняли, что ни то, ни другое в одиночку не может решить проблему безопасности предприятия. В общих чертах XDR аналогичен старой концепции многоуровневой стратегии безопасности.
С помощью XDR цель состоит в том, чтобы объединить множество различных, лучших в своем роде решений для обеспечения безопасности с использованием открытых API и интеграций, чтобы события, обнаруженные в одном решении, можно было легко обогатить и сопоставить с событиями или точками данных из других решений. Если бы вы заменили API и интеграции сообщениями системного журнала, XDR выглядел бы удивительно похоже на то, что решения SIEM пытались достичь за последние 5 с лишним лет.
Лучший в своем роде или тесно интегрированный?
В настоящее время существует две школы мышления, когда речь заходит о XDR: “открытый” XDR, когда предприятие создает его самостоятельно, по сравнению с платформой XDR одного поставщика, использующей только их портфолио продуктов безопасности.
Самостоятельно создать “открытую” систему XDR сложно. Хотя для получения лучших в своем роде решений требуется только достаточный бюджет, вы сами должны управлять различными поставщиками и своевременно обеспечивать доступность их открытых API. Затем вам понадобится платформа XDR, которая может использовать преимущества открытых API различных поставщиков для сбора событий и выполнения обогащения, корреляции, оповещения и отчетности. Платформа XDR нуждается в модуле расследования для отслеживания реагирования на инциденты и совместной работы. Он также должен обеспечивать рабочие процессы локализации/исправления и автоматизацию. Разве это не похоже на платформу управления безопасностью, автоматизации и реагирования (SOAR)?
Однако для крупных поставщиков систем безопасности XDR означает использование их платформы XDR, которая интегрируется со всеми их другими решениями в области безопасности. Они утверждают, что это превосходное решение, потому что они могут контролировать дорожную карту и обеспечивать тесную интеграцию. Но разве это не просто уловка, чтобы запереть поставщика? Большинство крупных поставщиков систем безопасности имеют совершенно отдельные команды по управлению продуктами и разработке, выпускающие релизы, поэтому координация единой дорожной карты для интеграции XDR при одновременном управлении существующими обязательствами по функциям клиентов окажется очень сложным и длительным процессом. А что, если у вас, клиента, уже есть решение EDR, которым вы довольны? Означает ли это, что вы должны выбросить его и начать все сначала, чтобы в полной мере воспользоваться преимуществами решения XDR этого крупного поставщика? Кроме того, поскольку хорошо известно, что крупные поставщики будут приобретать стартапы для заполнения пробелов в своих портфелях, это не обязательно “лучшее в своем роде”, но скорее наихудшая практика для такого поведения.
Многоуровневая безопасность для максимальной защиты
Одна вещь не изменилась: концепция многоуровневой стратегии безопасности. В прежние времена эта стратегия заключалась в том, чтобы разместить уровни защиты по периметру предприятия. За счет многоуровневой защиты и перекрывающихся возможностей—то, что часто называют подходом «швейцарский сыр»,—вы уменьшаете зависимость от любого отдельного устройства безопасности, что затрудняет скомпрометацию вашей сети. Распространение этой стратегии на видение XDR означает добавление некоторых дополнительных уровней, таких как EDR и NDR, поскольку конечные точки и сеть предоставляют ценные возможности обнаружения для предотвращения проникновения злоумышленников в сеть.