EPP – EDR – XDR: Сравнение

Сигурността на крайните точки се развива бързо. Организациите преминаха от прост антивирусен софтуер към пълни платформи за защита на крайни точки (EPP), които предоставят добре оформени, превантивни възможности за сигурност за крайни точки към решения за откриване и реагиране на крайни точки (EDR), които допълват EPP, като добавят способността за активен отговор на пробиви в сигурността.

Днес всички тези технологии са засенчени от нова парадигма, наречена XDR или разширено откриване и реакция. Как се различава XDR от EPP и EDR? Ще ги замени или допълни? Научете повече в това кратко ръководство за технологии за сигурност на крайни точки.

Какво представляват EPP, EDR и XDR?

Платформа за защита на крайни точки (EPP)
Целта на EPP е да предотврати атаки срещу крайни точки от заплахи като злонамерен софтуер, уязвимости от нулев ден и атаки без файлове. EPP открива атаки чрез няколко метода:

–  използване на бази данни с известни сигнатури за съвпадение на зловреден софтуер и други базирани на файлове заплахи;
–  блокиране или разрешаване на приложения, URL адреси, портове и адреси с помощта на черни или бели списъци;
–  предоставяне на пясъчна среда за тестване на предполагаеми заплахи, като изпълними файлове;
– използване на поведенчески анализатори и машинно обучение за докладване на аномална или подозрителна дейност на крайната точка.

EPP се разполагат на крайни точки, но обикновено имат базирано на облак решение, което може да събира данните, да ги анализира и да предоставя удобен достъп на анализаторите по сигурността.
В тази статия противопоставяме EPP и EDR, но всъщност повечето съвременни EPP платформи съдържат EDR решение, поне като незадължителен компонент.

Откриване и реакция на крайна точка (EDR)

EDR влиза в действие, когато вече се е случил инцидент със сигурността на крайна точка. Това устройство се използва за изследване и реагиране на опасности. Други елементи в платформата EPP са пасивни и се използват за предотвратяване на пробиви в сигурността на крайната точка. EDR е активен инструмент, който може да помогне за идентифициране на атаки и иницииране на автоматизирани решения или ръчни отговори.

EDR инструментите обикновено изпълняват следните функции:

– помагат на анализаторите да идентифицират индикатори за компрометиране (IoC), като обикновено комбинират данни, събрани от крайни точки, с разузнаване на заплахи;
– предоставят сигнали в реално време за инциденти, свързани със сигурността;
– интегрират криминалистиката, за да помогнат на анализаторите да разследват засегнатите крайни точки и да идентифицират първоначалния източник на атака;
– автоматично коригиране, например чрез изолиране, изтриване или повторно изобразяване на крайна точка.

Разширено откриване и реакция (XDR)

XDR е интегрирана платформа за сигурност и реакция при инциденти, която може автоматично да събира и корелира данни от крайни точки и много други части на ИТ средата. Това е платформа за интегриране на данни за сигурност от информация за сигурността и управление на събития (SIEM), EDR, мрежови анализи и инструменти за управление на идентичността и достъпа (IAM). Той предоставя преглед на киберсигурността на цялата корпоративна среда в един унифициран интерфейс.
XDR може да осигури стандартизация на операциите по сигурността, позволявайки последователен и надежден анализ във всяка среда. Той обогатява съществуващите източници на данни и консолидира информацията за по-ефективен анализ.
Крайната цел на платформата XDR е да подобри производителността на екипите за сигурност, да даде възможност за по-бързи и всеобхватни разследвания и да намали времето за реакция при инциденти.

Каква е разликата между EPP и EDR?

EPP решенията действат като първа линия на защита при атаки срещу крайни точки. EDR решенията са предназначени да се справят със заплахи, които EPP софтуерът не може да открие, като помагат за идентифицирането и смекчаването им, след като възникнат.
Например злонамерен софтуер от нулев ден или други напреднали заплахи могат да бъдат открити от EPP, но след като крайната точка бъде атакувана, тя ще започне да генерира необичайна активност. EDR може да открие тази дейност, автоматично да заключи крайната точка и да помогне на анализаторите по сигурността да проучат по-нататък.

Каква е разликата между EDR и XDR?

XDR позволява откриване и реакция, които надхвърлят изолирания подход на традиционните инструменти за сигурност, като EDR. EDR е мощен, но в крайна сметка ограничен, тъй като могат да бъдат защитени само управлявани крайни точки с EDR агент. Това ограничава обхвата на заплахите и атаките, срещу които може да бъде ефективен.

EDR често се допълва от инструменти за анализ на мрежовия трафик (NTA), но тези инструменти са ограничени до мрежата и наблюдавания мрежов сегмент. Тъй като решенията на NTA генерират голям брой регистрационни файлове и предупреждения, има нужда да се анализира връзката между мрежовите предупреждения и други данни, за да се идентифицират важни събития за сигурността.

Въпреки че индустрията е постигнала голям напредък в откриването и реакцията, EDR функционалността традиционно се предоставя като точково решение на един конкретен защитен слой и предимствата са ограничени до този слой. XDR позволява откриване и реакция в интегрирана, унифицирана платформа, която може да осигури много по-добри резултати.

Защо организациите избират XDR решения

Крайните точки отдавна са основна цел за нападателите. Независимо дали се намират в джоба на потребителя, в облака, на IoT устройства или в сървърната стая на организация, данните трябва да бъдат защитени както вътре, така и извън традиционния периметър на сигурност.
Напредналите хакери извършват многостепенни атаки, като се движат между среди и се крият между слоевете в ИТ средата. Има нужда от глобална видимост, за да се идентифицират тези заплахи и да се реагира ефективно на тях.
XDR решенията са убедителна алтернатива на EDR и традиционните EPP. Те предоставят подобрено разузнаване на заплахи, AI/ML анализ, приложен към комбинирани данни от цялата ИТ среда. Те позволяват на организациите да извлекат повече стойност от съществуващите инвестиции в EDR, SIEM и оркестрация и автоматизация на сигурността (SOAR).

XDR решенията, за разлика от традиционните EPP и EDR, предлагат:

– подобрено откриване и реакция на доставчика на ежедневни инциденти със сигурността;
– повишена обща производителност на ИТ персонала;
– намалява общата цена на притежание (TCO) на пакета за сигурност.

Лов на заплахи с XDR

Ловът на заплахи е практика на активно търсене в активи, мрежи и инфраструктурни компоненти за заплахи, които вероятно са избягали от защитата на сигурността. Организациите използват лов на заплахи, за да се защитят от неизвестни заплахи и уязвимости от нулев ден.
Уязвимостта от нулев ден е риск, за който организацията не знае. Хакерите активно търсят уязвимости от нулев ден, за да увеличат успеха на своите атаки. В края на краищата е трудно да се защити сляпо място.
XDR решенията предполагат, че заплахата вече съществува и активно я търсят и преследват. Решението инспектира всички събрани данни, като заявки за достъп и регистрационни файлове и събития на приложения, както и за процеси.
За да сканират огромно количество данни, XDR решенията използват усъвършенствани аналитични процеси, захранвани от алгоритми за машинно обучение. Това позволява на решението да открива модели с висок риск. Решението също така анализира цели с висока стойност, за да открие аномални събития. Този процес идва с вградена автоматизация за реакция и смекчаване.

Какви са ограниченията на XDR?

Очаква се XDR решенията да предоставят по-задълбочено разбиране на данните, генерирани от много други технологии за сигурност, но това може да се окаже нож с две остриета. Въпреки че тези решения може да имат добри познания за технологиите за сигурност от една и съща екосистема на доставчици, те може да нямат същите възможности за анализ на данни, генерирани от системи от други доставчици.

Следователно внедряването на технологията XDR може да ви заключи в конкретна екосистема на технологии за сигурност. Ако вашата организация вече следва стратегия с един доставчик, това може да не е проблем. Това обаче може да бъде пречка, ако възприемате най-добрия подход. Компаниите трябва да обмислят дали подобрената аналитична стойност, предоставена от решението XDR, е достатъчна, за да оправдае по-тясна зависимост от конкретен доставчик на сигурност.

Съображения за избор на XDR платформи

Има няколко съображения, които трябва да имате предвид, когато обмисляте избора на корпоративно XDR решение.

Сложност на интеграцията – XDR решенията могат да бъдат сложни за интегриране със съществуващи решения за сигурност и това може да повиши общата цена на притежание. Също така е скъпо да се поддържа тази интеграция, например да се тества и прецизира интеграцията всеки път, когато инструмент за сигурност се надгражда или да се добави интеграция с нови инструменти, добавени с течение на времето.

Време за интегриране – скоростта на внедряване е много важна в кризата с COVID-19, тъй като служителите работят от вкъщи и нападателите се опитват да получат достъп до чувствителни данни от незащитени мрежи и лични устройства. Изборът на решение за откриване и реагиране, което отнема седмици или месеци, за да се интегрира успешно с текущия ви пакет за сигурност, може да изложи вашата организация на висок риск.

Степен на автоматизация – някои XDR решения може да не са напълно автоматизирани. Или могат да извършват автоматизация само на основните функции за реакция при инциденти, без да използват изцяло AI за усъвършенствани анализи и прозрения на данните за сигурността.

Оперативна сложност – тъй като ключово предимство на XDR е подобряването на производителността, ако XDR решението на вашия SOC/MDR екип е много сложно, това ще повлияе на възвръщаемостта на инвестицията ви.

Холистично решение – XDR трябва да бъде сплотено, интегрирано решение. Някои доставчици са взели различни вече съществуващи инструменти, пакетирали са ги заедно и са ги етикетирали като „XDR“. Оценете дали вашето XDR решение е истинско интегрирано решение.

Разходи—тъй като технологията XDR е нова и изисква нов оперативен модел, се препоръчва избор на решения, които не изискват големи първоначални разходи. XDR решения с мащабируеми или базирани на абонамент модели на ценообразуване ще намалят риска при внедряване на XDR във вашата организация.

Вместо заключение

В тази статия представихме решенията EPP, EDR и XDR и обяснихме основните разлики между тези три решения. В действителност трите категории решения не са отделни или алтернативни. Традиционните EPP и EDR са основен компонент на съвременните стратегии за сигурност. XDR се смята в най- общ смисъл за бъдещето на сигурността на крайната точка, но не замества EPP/EDR. По-скоро ги използва и ги консолидира с други части на пакета за сигурност, за да осигури подобрена сигурност и оперативна ефективност.

Източник: По материали от Интернет

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
1 февруари 2023

Microsoft спря продажбата на Windows 10 по-рано

Слагайки край на една епоха, Microsoft вече не продава директно про...
Бъдете социални
Още по темата
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
01/02/2023

Как правилно да скриете чув...

Цифровите документи вече са важна част...
01/02/2023

Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни?...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!