EPP – EDR – XDR: Сравнение

Сигурността на крайните точки се развива бързо. Организациите преминаха от прост антивирусен софтуер към пълни платформи за защита на крайни точки (EPP), които предоставят добре оформени, превантивни възможности за сигурност за крайни точки към решения за откриване и реагиране на крайни точки (EDR), които допълват EPP, като добавят способността за активен отговор на пробиви в сигурността.

Днес всички тези технологии са засенчени от нова парадигма, наречена XDR или разширено откриване и реакция. Как се различава XDR от EPP и EDR? Ще ги замени или допълни? Научете повече в това кратко ръководство за технологии за сигурност на крайни точки.

Какво представляват EPP, EDR и XDR?

Платформа за защита на крайни точки (EPP)
Целта на EPP е да предотврати атаки срещу крайни точки от заплахи като злонамерен софтуер, уязвимости от нулев ден и атаки без файлове. EPP открива атаки чрез няколко метода:

–  използване на бази данни с известни сигнатури за съвпадение на зловреден софтуер и други базирани на файлове заплахи;
–  блокиране или разрешаване на приложения, URL адреси, портове и адреси с помощта на черни или бели списъци;
–  предоставяне на пясъчна среда за тестване на предполагаеми заплахи, като изпълними файлове;
– използване на поведенчески анализатори и машинно обучение за докладване на аномална или подозрителна дейност на крайната точка.

EPP се разполагат на крайни точки, но обикновено имат базирано на облак решение, което може да събира данните, да ги анализира и да предоставя удобен достъп на анализаторите по сигурността.
В тази статия противопоставяме EPP и EDR, но всъщност повечето съвременни EPP платформи съдържат EDR решение, поне като незадължителен компонент.

Откриване и реакция на крайна точка (EDR)

EDR влиза в действие, когато вече се е случил инцидент със сигурността на крайна точка. Това устройство се използва за изследване и реагиране на опасности. Други елементи в платформата EPP са пасивни и се използват за предотвратяване на пробиви в сигурността на крайната точка. EDR е активен инструмент, който може да помогне за идентифициране на атаки и иницииране на автоматизирани решения или ръчни отговори.

EDR инструментите обикновено изпълняват следните функции:

– помагат на анализаторите да идентифицират индикатори за компрометиране (IoC), като обикновено комбинират данни, събрани от крайни точки, с разузнаване на заплахи;
– предоставят сигнали в реално време за инциденти, свързани със сигурността;
– интегрират криминалистиката, за да помогнат на анализаторите да разследват засегнатите крайни точки и да идентифицират първоначалния източник на атака;
– автоматично коригиране, например чрез изолиране, изтриване или повторно изобразяване на крайна точка.

Разширено откриване и реакция (XDR)

XDR е интегрирана платформа за сигурност и реакция при инциденти, която може автоматично да събира и корелира данни от крайни точки и много други части на ИТ средата. Това е платформа за интегриране на данни за сигурност от информация за сигурността и управление на събития (SIEM), EDR, мрежови анализи и инструменти за управление на идентичността и достъпа (IAM). Той предоставя преглед на киберсигурността на цялата корпоративна среда в един унифициран интерфейс.
XDR може да осигури стандартизация на операциите по сигурността, позволявайки последователен и надежден анализ във всяка среда. Той обогатява съществуващите източници на данни и консолидира информацията за по-ефективен анализ.
Крайната цел на платформата XDR е да подобри производителността на екипите за сигурност, да даде възможност за по-бързи и всеобхватни разследвания и да намали времето за реакция при инциденти.

Каква е разликата между EPP и EDR?

EPP решенията действат като първа линия на защита при атаки срещу крайни точки. EDR решенията са предназначени да се справят със заплахи, които EPP софтуерът не може да открие, като помагат за идентифицирането и смекчаването им, след като възникнат.
Например злонамерен софтуер от нулев ден или други напреднали заплахи могат да бъдат открити от EPP, но след като крайната точка бъде атакувана, тя ще започне да генерира необичайна активност. EDR може да открие тази дейност, автоматично да заключи крайната точка и да помогне на анализаторите по сигурността да проучат по-нататък.

Каква е разликата между EDR и XDR?

XDR позволява откриване и реакция, които надхвърлят изолирания подход на традиционните инструменти за сигурност, като EDR. EDR е мощен, но в крайна сметка ограничен, тъй като могат да бъдат защитени само управлявани крайни точки с EDR агент. Това ограничава обхвата на заплахите и атаките, срещу които може да бъде ефективен.

EDR често се допълва от инструменти за анализ на мрежовия трафик (NTA), но тези инструменти са ограничени до мрежата и наблюдавания мрежов сегмент. Тъй като решенията на NTA генерират голям брой регистрационни файлове и предупреждения, има нужда да се анализира връзката между мрежовите предупреждения и други данни, за да се идентифицират важни събития за сигурността.

Въпреки че индустрията е постигнала голям напредък в откриването и реакцията, EDR функционалността традиционно се предоставя като точково решение на един конкретен защитен слой и предимствата са ограничени до този слой. XDR позволява откриване и реакция в интегрирана, унифицирана платформа, която може да осигури много по-добри резултати.

Защо организациите избират XDR решения

Крайните точки отдавна са основна цел за нападателите. Независимо дали се намират в джоба на потребителя, в облака, на IoT устройства или в сървърната стая на организация, данните трябва да бъдат защитени както вътре, така и извън традиционния периметър на сигурност.
Напредналите хакери извършват многостепенни атаки, като се движат между среди и се крият между слоевете в ИТ средата. Има нужда от глобална видимост, за да се идентифицират тези заплахи и да се реагира ефективно на тях.
XDR решенията са убедителна алтернатива на EDR и традиционните EPP. Те предоставят подобрено разузнаване на заплахи, AI/ML анализ, приложен към комбинирани данни от цялата ИТ среда. Те позволяват на организациите да извлекат повече стойност от съществуващите инвестиции в EDR, SIEM и оркестрация и автоматизация на сигурността (SOAR).

XDR решенията, за разлика от традиционните EPP и EDR, предлагат:

– подобрено откриване и реакция на доставчика на ежедневни инциденти със сигурността;
– повишена обща производителност на ИТ персонала;
– намалява общата цена на притежание (TCO) на пакета за сигурност.

Лов на заплахи с XDR

Ловът на заплахи е практика на активно търсене в активи, мрежи и инфраструктурни компоненти за заплахи, които вероятно са избягали от защитата на сигурността. Организациите използват лов на заплахи, за да се защитят от неизвестни заплахи и уязвимости от нулев ден.
Уязвимостта от нулев ден е риск, за който организацията не знае. Хакерите активно търсят уязвимости от нулев ден, за да увеличат успеха на своите атаки. В края на краищата е трудно да се защити сляпо място.
XDR решенията предполагат, че заплахата вече съществува и активно я търсят и преследват. Решението инспектира всички събрани данни, като заявки за достъп и регистрационни файлове и събития на приложения, както и за процеси.
За да сканират огромно количество данни, XDR решенията използват усъвършенствани аналитични процеси, захранвани от алгоритми за машинно обучение. Това позволява на решението да открива модели с висок риск. Решението също така анализира цели с висока стойност, за да открие аномални събития. Този процес идва с вградена автоматизация за реакция и смекчаване.

Какви са ограниченията на XDR?

Очаква се XDR решенията да предоставят по-задълбочено разбиране на данните, генерирани от много други технологии за сигурност, но това може да се окаже нож с две остриета. Въпреки че тези решения може да имат добри познания за технологиите за сигурност от една и съща екосистема на доставчици, те може да нямат същите възможности за анализ на данни, генерирани от системи от други доставчици.

Следователно внедряването на технологията XDR може да ви заключи в конкретна екосистема на технологии за сигурност. Ако вашата организация вече следва стратегия с един доставчик, това може да не е проблем. Това обаче може да бъде пречка, ако възприемате най-добрия подход. Компаниите трябва да обмислят дали подобрената аналитична стойност, предоставена от решението XDR, е достатъчна, за да оправдае по-тясна зависимост от конкретен доставчик на сигурност.

Съображения за избор на XDR платформи

Има няколко съображения, които трябва да имате предвид, когато обмисляте избора на корпоративно XDR решение.

Сложност на интеграцията – XDR решенията могат да бъдат сложни за интегриране със съществуващи решения за сигурност и това може да повиши общата цена на притежание. Също така е скъпо да се поддържа тази интеграция, например да се тества и прецизира интеграцията всеки път, когато инструмент за сигурност се надгражда или да се добави интеграция с нови инструменти, добавени с течение на времето.

Време за интегриране – скоростта на внедряване е много важна в кризата с COVID-19, тъй като служителите работят от вкъщи и нападателите се опитват да получат достъп до чувствителни данни от незащитени мрежи и лични устройства. Изборът на решение за откриване и реагиране, което отнема седмици или месеци, за да се интегрира успешно с текущия ви пакет за сигурност, може да изложи вашата организация на висок риск.

Степен на автоматизация – някои XDR решения може да не са напълно автоматизирани. Или могат да извършват автоматизация само на основните функции за реакция при инциденти, без да използват изцяло AI за усъвършенствани анализи и прозрения на данните за сигурността.

Оперативна сложност – тъй като ключово предимство на XDR е подобряването на производителността, ако XDR решението на вашия SOC/MDR екип е много сложно, това ще повлияе на възвръщаемостта на инвестицията ви.

Холистично решение – XDR трябва да бъде сплотено, интегрирано решение. Някои доставчици са взели различни вече съществуващи инструменти, пакетирали са ги заедно и са ги етикетирали като „XDR“. Оценете дали вашето XDR решение е истинско интегрирано решение.

Разходи—тъй като технологията XDR е нова и изисква нов оперативен модел, се препоръчва избор на решения, които не изискват големи първоначални разходи. XDR решения с мащабируеми или базирани на абонамент модели на ценообразуване ще намалят риска при внедряване на XDR във вашата организация.

Вместо заключение

В тази статия представихме решенията EPP, EDR и XDR и обяснихме основните разлики между тези три решения. В действителност трите категории решения не са отделни или алтернативни. Традиционните EPP и EDR са основен компонент на съвременните стратегии за сигурност. XDR се смята в най- общ смисъл за бъдещето на сигурността на крайната точка, но не замества EPP/EDR. По-скоро ги използва и ги консолидира с други части на пакета за сигурност, за да осигури подобрена сигурност и оперативна ефективност.

Източник: По материали от Интернет

Подобни публикации

28 септември 2022

Украйна предупреждава за задаващи се руски кибе...

Украинското военно разузнаване предупреди днес, че Русия планира &#...
28 септември 2022

Microsoft ще оттегли правилата за клиентски дос...

Microsoft обяви днес, че ще оттегли правилата за клиентски достъп (...
27 септември 2022

Meta ликвидира руска мрежа, която фалшифицира ...

Meta разкри, че е премахнала широка мрежа от акаунти във Facebook и...
27 септември 2022

Нова кибератака чрез Messenger на Meta

Киберпрестъпниците са неуморни в търсенето на нови и по-сложни изма...
24 септември 2022

Как да изтриете твърд диск в 4 стъпки

Може да си мислите, че кaто изтриете вашите файлове и ги преместите...
24 септември 2022

Рисковано ли е да уволниш CS екипа

Какво, за бога, си мислеха? Това е, което ние – и други експерти по...
Бъдете социални
Още по темата
24/09/2022

Как да изтриете твърд диск ...

Може да си мислите, че кaто...
24/09/2022

Рисковано ли е да уволниш C...

Какво, за бога, си мислеха? Това...
22/09/2022

Виртуални частни мрежи - ръ...

Всички правим  това: чакаме да се...
Последно добавени
28/09/2022

Украйна предупреждава за за...

Украинското военно разузнаване предупреди днес, че...
28/09/2022

Microsoft ще оттегли правил...

Microsoft обяви днес, че ще оттегли...
27/09/2022

Meta ликвидира руска мрежа...

Meta разкри, че е премахнала широка...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!