Каква е разликата между XDR и SIEM?

През последните двадесет години платформите за управление на информация и събития в областта на сигурността (SIEM) са едно от ключовите решения за управление на киберсигурността, тъй като помагат на екипите по сигурността да централизират дейностите по откриване на атаки и заплахи. Сега индустрията за киберсигурност се ориентира към нов тип решения, известни като разширено откриване и реагиране (XDR).

Тъй като двете технологии са сходни и имат припокриващи се възможности, много хора все още не знаят по какво се различават. Изборът на правилното решение обаче е от решаващо значение за изграждането на ефективна и устойчива архитектура за сигурност, която поддържа нуждите, които клиентите изискват от MSP.

Основни разлики между XDR и SIEM

Съществената разлика между XDR и SIEM е, че последният прилага по-общ подход, което го прави по-малко ефективен от платформите XDR, които са тясно специализирани в корелирането на информация за сигурността и могат да откриват атаки и заплахи със значително по-малко усилия. Инструментите SIEM позволяват на организациите да събират логове и сигнали от множество решения. Тази технология обаче не включва анализ или автоматизация, за разлика от XDR, която включва елементи на EDR и MDR, формирайки цялостно решение, което подобрява откриването и реакцията. XDR използва данните, събрани от SIEM, за да осигури по-управляемо ниво на сигналите и данните, което го прави идеално допълнение към технологията SIEM.

Освен това може да се каже, че XDR предлага алтернатива на традиционните реактивни подходи, които осигуряват многопластова видимост на атаките, като EDR, NDR и анализ на поведението на потребителите (UBA) или дори SIEM. Той е в състояние да реализира действия за реагиране, като получава данни от различни източници, корелира ги и ги класифицира автоматично, за да генерира откриване. След като заплахата бъде открита, тя получава оценка за критичност, въз основа на която се извършва конкретно действие, което може да бъде програмирано да бъде извършено и след това или в бъдеще, когато възникне ситуация, отговаряща на същите критерии. За сравнение, SIEM е пасивна и информира потребителите чрез генериране на сигнали, които трябва да бъдат управлявани от квалифициран персонал.

Следващите четири точки подчертават основните разлики между двете решения:

1. Цел:
Повечето решения SIEM осигуряват централизирано управление на логовете и възможности за анализ на организацията. Това включва генериране на сигнали, корелиране на данни от множество избрани решения и възможност за анализ след събития. SIEM може да се използва и за мониторинг на съответствието, ограничаване и по-обстойно отчитане.

XDR се фокусира върху използването на събраните данни за подобряване на откриването и реагирането на заплахи. Неговата цел е да идентифицира, разследва и предприема подходящи действия за бързо и ефективно разрешаване на инциденти.

2. Сложност на управлението:

Тъй като са по-отворени, решенията SIEM често изискват значителни усилия за управление, за да се свържат с източниците на данни, да се корелират събитията и да се конфигурират предупрежденията. Като се има предвид обемът на информацията, която обработват за централизирана видимост, те произвеждат голям обем отделни сигнали, които трудно се класифицират и приоритизират.

За разлика от тях решенията XDR са проектирани така, че да се интегрират по-лесно в архитектурата за сигурност на компанията. Предимството, което предоставя това, е, че намалява броя на съответните сигнали, които в противен случай могат да бъдат пренебрегнати. Чрез внедряването на автоматична корелация на данните от различните нива на сигурност сигналите могат да бъдат потвърждавани автоматично, като по този начин се намалява времето, необходимо на анализаторите по сигурността да оценяват сигналите и рисковете и да решават на какво трябва да се обърне внимание и да се извърши допълнително разследване. Освен това централизираното конфигуриране, което генерира тежест на сигналите, помага да се определи приоритетът на действията, които трябва да се предприемат. XDR също така изисква по-малко часове за обучение и предоставя унифицирано управление и опит за работа с множество компоненти за сигурност.

3. Съхранение на данни:

Докато решенията SIEM действат като централно хранилище на данни за компании за сигурност като MSP и позволяват дългосрочно съхранение, XDR обикновено получава достъп до данни от други източници, които съхранява временно единствено за целите на анализа.

4. Отзивчивост:

Въпреки че повечето настоящи SIEM решения имат и някои възможности за реагиране, по принцип те са инструмент за анализ на данни, който може да предостави на MSP данни и предупреждения, необходими за идентифициране на заплахите, атакуващи организацията. XDR разширява тези възможности и може да поддържа и координира усилията за реагиране в рамките на едно и също решение.

Как MSP могат да насочат клиентите си да изберат решенията, които най-добре отговарят на техните нужди

Доставчиците на управлявана киберсигурност се нуждаят от лостове, тъй като се конкурират, за да отговорят на променящите се изисквания за сигурност на своите клиенти. Като добавят към офертата си решения като XDR и SIEM, те могат да помогнат на организациите да укрепят сигурността си, като същевременно подобрят собствената си оперативна ефективност. За да добавят стойност чрез тези решения обаче, те трябва да могат да насочват клиентите си и да препоръчват най-подходящото за техните нужди.

SIEM може да бъде полезен инструмент, ако клиентът разполага с времето и ресурсите, които да му отдели. Например, ако компанията има изисквания за съответствие и управление на оперативния риск, в допълнение към откриването на заплахи, тя може да се нуждае от SIEM, за да отговори на тези по-широки изисквания за отчитане и събиране на данни.

Ако компанията вече използва решение SIEM, препоръчително е да включи решение XDR, за да допълни и засили възможностите за реакция на екипа.

Основното предизвикателство, което SIEM поставя, е умората от предупрежденията. Тези решения генерират голям брой сигнали, включително фалшиво положителни, така че ако клиентът разполага с малък екип, необходимостта да класифицира и разследва всички тях може да стане непосилна. Тъй като това е по-широкообхватно и по-сложно решение, разходите са по-високи, което по-умерените компании може да не могат да си позволят.

XDR е идеално решение за малки и средни по големина компании, тъй като спестява ресурси, време и разходи. Но е важно да се подчертае, че това е по-специализирано решение, докато SIEM е по-широкообхватно и може да корелира по-различни данни, включително други решения извън защитната стена и крайните точки, като например прокси или логове на приложения. Независимо от това автоматизацията елиминира голяма част от работата, изисквана от решението SIEM, и тази технология не изисква толкова високо ниво на специализация от екипа, което е добре дошло, като се има предвид настоящият недостиг на специализирани таланти в областта на киберсигурността. До известна степен едно XDR решение като ThreatSync на WatchGuard решава някои от основните предизвикателства, поставени от SIEM решенията, но в крайна сметка всичко ще зависи от възможностите и ситуацията на отделния клиент.

 

WatchGuard

Източник: antivirus.bg

Подобни публикации

31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...
Бъдете социални
Още по темата
27/05/2023

С летния сезон фишинг и BEC...

Фишинг кампаниите, насочени към пътуващи, се...
25/05/2023

Справяне с недостига на тал...

  Нуждата от квалифициран персонал за...
22/05/2023

Платформата, която поддържа...

Години наред зловредна платформа се използва...
Последно добавени
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
31/05/2023

Как да избегнете прегарянет...

Въпреки че кибератаките се увеличават през...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!