SOAR? XDR? EDR? Forstå de nyeste sikkerhedsløsninger, der er til gavn for din virksomhed

Som cybersikkerhedsentusiast med særlig interesse for aktuelle SIEM-løsninger har jeg valgt at evaluere en række SIEM-lignende løsninger, der er tilgængelige i dag, især EDR, XDR og SOAR.

I denne blog vil jeg forsøge at afmystificere nogle af de populære sikkerhedsløsninger ved at evaluere deres fælles og unikke funktioner.

XDR: Udvidet detektering og reaktion

Gartner beskriver XDR som "et SaaS-baseret, leverandørspecifikt værktøj til at detektere sikkerhedstrusler og reagere på sikkerhedsbrud, der som indbygget funktion integrerer flere sikkerhedsprodukter i et sammenhængende sikkerhedsoperationssystem, der forener alle licenserede komponenter."

XDR har til formål at løse problemet med siloopdelt detektering og reaktion på tværs af flere sikkerhedslag, som skyen, slutpunkter, punktløsninger og andre netværkskomponenter. Den er designet til at give rigere threat intelligence end nuværende sikkerhedsløsninger. XDR-løsninger tilbyder også automatiseret analyse af forskellige data og korrelerer datapunkter på tværs af de forskellige lag for at give mere præcise trusselsdetekteringsresultater.

Hvis du er den eventyrlystne type, der har opbygget dit eget SOC-team, kan det være uvurderligt for dit sikkerhedsprogram at investere i en XDR-løsning. Hvis du er i tvivl om, hvorvidt du skal opbygge dit egen SOC eller outsource din sikkerhed, foreslår vi, at du læser en anden af vores blogs, Internt SOC eller MSSP? Sådan vælger du sikkerhed, der fungerer for din organisation, for at hjælpe dig med at træffe den beslutning.

Det kan XDR-løsninger:

• Aggregere logdata, overvåge systemer, detektere hændelser og advare dine SOC-teams. Data fra flere sikkerhedslag, der aggregeres, kan bruges til at skabe et rigt datasæt, der kan give stærkere, mere kontekstualiseret threat intelligence og hjælpe med at tune dine sikkerhedskontroller bedre.
• Undersøge sikkerhedshændelser og skabe en enkelt sandhedskilde til analyser af hændelser fra forskellige sikkerhedslag.
• Gå på trusselsjagt efter hændelser, der har formået at slippe igennem dine sikkerhedskontroller, og som analytikere måske overser.

EDR: Slutpunktsdetektering og ‑reaktion

EDR fungerer som en komponent af XDR. EDR-løsninger tilbyder en eksklusiv beskyttelse af slutpunkter ved at overvåge skadelig aktivitet på dem. EDR'er indsamler data, såsom brugerlogins og procesudførelser, og kan udføre adfærdsanalyse for at få øje på unormale hændelser.

Det kan EDR-løsninger:

• Give SOC-teams mulighed for at overvåge aktivitet på alle slutpunkter, herunder programmer, processer og kommunikation, fra en enkelt konsol.
• Opbygge et datasæt med registrerede hændelser til analyse, som kan hjælpe dig med at forstå angribernes adfærd og forhindre fremtidige brud.
• Identificere IoC'er og korrelere dem med threat intelligence for at føje kontekst til potentielle angreb og trusselsaktører.
• Give advarsler i realtid, som er kontekstualiserede, hvilket gør det lettere for analytikere at undersøge hændelsen.
• Indsamle data, der hjælper analytikere med at finde frem til potentielle angrebsvektorer.
• Deaktivere processer, der forhindrer et angreb i at sprede sig til andre slutpunkter.

I betragtning af at EDR udelukkende drejer sig om at sikre slutpunkter, vil folk måske antage, at antivirusløsninger er det samme som EDR. Sandheden er, at antivirusløsninger kun gør en del af det, EDR gør. Antivirus bruger signaturbaseret detektering til at identificere malware i dit netværk men giver dig ikke rigtig oplysninger om, hvordan den kom ind i netværket, og hvad der fik infektionen til at sprede sig. EDR'er kan også detektere avancerede vedvarende trusler og filløs malware, der ikke efterlader signaturer og ofte ikke identificeres af antivirusløsninger.

SOAR: Sikkerhedsorkestrering og automatiseret reaktion

SOAR er en løsning, der samler tre primære sikkerhedsfunktioner: håndtering af trusler, reaktion på hændelser og automatisering af sikkerhedsoperationer i en enkelt helhedsorienteret sikkerhedsløsning. SOAR har til formål at lette presset på IT-sikkerhedsteams, der håndterer et overvældende antal netværksadvarsler; oversete advarsler vil påvirke sikkerheden negativt. SOAR sikrer, at trusler identificeres, og at en reaktionsstrategi implementeres. Systemet automatiseres derefter i videst muligt omfang for at køre mere effektivt. En ny funktion i SOAR er brugen af strategiplaner, som automatiserer og koordinerer arbejdsgange; disse kan omfatte et hvilket som helst antal forskellige sikkerhedsværktøjer samt menneskelige handlinger.

Det kan SOAR-løsninger:

• Samle sikkerhedsdata problemfrit fra forskellige kilder i dit netværk, f.eks. firewalls, servere, slutpunkter og programmer, herunder sikkerhedsrisikoscannere, software til forebyggelse af datatab og trusselprogrammer.
• Automatisere arbejdsgange for reaktioner, når advarsler udløses, for at afbøde sikkerhedsbrud på netværket, før de forårsager skade eller resulterer i et brud.
• Indlæse data om advarsler, hvorefter disse advarsler udløser strategiplaner, der automatiserer og orkestrerer arbejdsgange eller opgaver. Derefter kan organisationer ved hjælp af en kombination af mennesker og maskinlæring analysere disse forskellige data for at forstå og prioritere automatiserede hændelsesreaktionshandlinger mod eventuelle fremtidige trusler.

Hvordan XDR, EDR og SOAR relaterer til SIEM

XDR er mere et nyt koncept, der har til formål at forbedre SIEM – eller sådan præsenterer XDR-leverandører det i hvert fald. Nogle ser det som en udviklet platform, der er mere intenst fokuseret på trusselsbekæmpelse end selv en SIEM-løsning, da complianceadministration er kernen i SIEM, og trusselshåndtering kun er en konsekvens af det. XDR er stærkt afhængig af flere detekteringsmekanismer for at skabe rige datalagre; derefter zoomer det ind på mindre datasæt for at give mere detaljerede oplysninger om netværksaktivitet.

EDR har et mere organisk forhold til SIEM, da det behandler rå logdata, identificerer mistænkelige hændelser og kun sender de advarsler, der genereres af disse hændelser, til SIEM-løsningen. SIEM-løsninger indsamler og aggregerer alle sikkerhedsdata fra integrerede platforme, der logfører hændelsesrelaterede data – fra EDR'er, endda XDR'er, firewalls, netværksenheder, intrusion detection- og prevention-systemer – sammenholder disse data på tværs af enheder, analyserer hændelser og udsender advarsler i overensstemmelse hermed. Da der indsamles en stor datamængde, oplever SOC-teams normalt advarselstræthed.

SOAR er på den anden side designet til at hjælpe sikkerhedsteams med at automatisere reaktionerne på hændelser ved at reagere på de endeløse advarsler, der genereres af SIEM. Med SOAR kan SOC-teams håndtere overfloden af advarsler effektivt ved at skabe adaptive, automatiserede arbejdsgange for hændelsesreaktioner. Det giver dem mulighed for at prioritere trusler og levere hurtigere resultater.

I sidste ende er en organisations bedste sikkerhedstilgang stadig SIEM og SOAR, da de er velegnede til en række forskellige scenarier, der håndterer compliance, drift og sikkerhed under én paraply. Dette design er afprøvet og testet og er kendt for at forbedre SOC-teamets effektivitet og afhjælpe organisationens sikkerhedsrisici med succes.