SOAR? XDR? EDR?: Förstå aktuella säkerhetslösningar som unikt gynnar ditt företag

Som cybersäkerhetsentusiast med särskilt intresse för aktuella SIEM-lösningar har jag valt att utvärdera ett antal SIEM-liknande lösningar som finns tillgängliga idag, särskilt EDR, XDR och SOAR.

I den här bloggen kommer jag att försöka avmystifiera några av de populära säkerhetslösningarna genom att utvärdera deras likheter och unika egenskaper.

XDR: Utökad upptäckt och respons

Gartner beskriver XDR som ”ett SaaS-baserat, leverantörsspecifikt verktyg för upptäckt av säkerhetshot och incidenthantering, som integrerar flera säkerhetsprodukter till ett sammanhängande säkerhetsoperativsystem som förenar alla licensierade komponenter”.

XDR syftar till att lösa problemet med isolerade detekteringar och responser över flera säkerhetslager, såsom molnet, klientenheter, punktlösningar och andra nätverkskomponenter. Den är utformad för att ge rikare hotinformation än nuvarande säkerhetslösningar. XDR-lösningar erbjuder också automatiserad analys av olika data och korrelerar datapunkter över de olika lagren för att ge mer exakta resultat vid upptäckt av hot.

Om du är den äventyrliga typen som har byggt ett eget SOC-team, kan en investering i en XDR-lösning vara ovärderlig för ditt säkerhetsprogram. Om du är osäker på om du bör bygga ett eget SOC eller outsourca din säkerhet, föreslår vi att du läser ett annat av våra blogginlägg: Intern SOC eller MSSP? Hur du väljer säkerhet som fungerar för din organisation, för att hjälpa dig att fatta det beslutet.

XDR-lösningar kan:

• Samla in loggdata, övervaka system, upptäcka händelser och varna dina SOC-team. Data som samlas in från flera säkerhetslager kan användas för att skapa en omfattande datauppsättning som ger starkare och mer kontextualiserad hotinformation, samt hjälper till att finjustera dina säkerhetskontroller.
• Utred säkerhetsincidenter och skapa en enda sanningskälla för analyser av händelser över olika säkerhetslager.
• Genomför hotjakt efter händelser som lyckats ta sig förbi de säkerhetskontroller du har upprättat och som analytiker kan ha missat.

EDR: Identifiering och åtgärd på slutpunkt

EDR fungerar som en undergrupp till XDR. EDR-lösningar erbjuder ett exklusivt skydd av slutpunkter genom att övervaka skadlig aktivitet som sker på dem. EDR-system samlar in data såsom användarinloggningar och processkörningar, och kan utföra beteendeanalys för att upptäcka avvikande händelser.

EDR-lösningar kan:

• Göra det möjligt för SOC-team att övervaka aktivitet på alla slutpunkter, inklusive applikationer, processer och kommunikation, från en enda konsol.
• Bygga upp en datauppsättning med registrerade händelser för analys, vilket kan hjälpa dig att förstå angriparens beteende och förhindra framtida intrång.
• Identifiera IoC:er och koppla dem till hotinformation för att bättre förstå attacker och vilka aktörer som ligger bakom.
• Ger varningar i realtid som är kontextualiserade, vilket gör det lättare för analytiker att undersöka incidenten.
• Samla in data som hjälper analytiker att identifiera potentiella attackvektorer.
• Inaktivera processer som förhindrar att en attack sprider sig till andra slutpunkter.

Eftersom EDR helt och hållet kretsar kring att säkra slutpunkter, kan man lätt tro att antiviruslösningar är detsamma som EDR. Sanningen är att antiviruslösningar bara gör en del av det som EDR gör. Antivirusprogram använder signaturbaserad detektering för att identifiera skadlig kod i ditt nätverk, men ger dig inte riktigt detaljer om hur det kom in i nätverket och vad som det att spridas. EDR-lösningar kan även upptäcka avancerade, ihållande hot och fillösa skadeprogram som inte lämnar några signaturer och ofta inte identifieras av antiviruslösningar.

SOAR: Säkerhetsorkestrering men automatiska åtgärder (SOAR)

SOAR är en lösning som sammanför tre primära säkerhetsfunktioner: hothantering, incidentrespons och automatisering av säkerhetsoperationer – i en enda holistisk säkerhetslösning. SOAR syftar till att minska belastningen på IT-säkerhetsteam som hanterar ett överväldigande antal nätverksvarningar – för varje missad varning kan få allvarliga konsekvenser för säkerheten. SOAR säkerställer att hot identifieras och att en tydlig åtgärdsplan sätts i verket direkt. Systemet automatiseras därefter i största möjliga utsträckning för att fungera mer effektivt. En ny funktion i SOAR är användningen av spelböcker som automatiserar och samordnar arbetsflöden – dessa kan inkludera ett antal olika säkerhetsverktyg samt mänskliga åtgärder.

SOAR-lösningar kan:

• På ett smidigt sätt samla in säkerhetsdata från olika källor i nätverket, t.ex. brandväggar, servrar, slutpunkter och applikationer, inklusive sårbarhetsskannrar, program för förebyggande av dataförlust och hotapplikationer.
• Sätta upp automatiska åtgärder som aktiveras vid varningar – så att incidenter stoppas i tid innan de hinner orsaka skada eller dataintrång.
• Låta inkommande varningar aktivera spelböcker som automatiskt sätter igång åtgärder och koordinerar säkerhetsinsatser – utan att något faller mellan stolarna. Därefter kan organisation med hjälp av både mänsklig expertis och maskininlärning analysera denna mångsidiga data, förstå hotbilden och sätta in rätt automatiska åtgärder mot framtida attacker.

Jag kommer inte att gå in på SIEM i den här artikeln. Om du letar efter anledningarna till att SIEM är ett bra säkerhetsalternativ, är här en artikel som förklarar det närmare.

Hur XDR, EDR och SOAR förhåller sig till SIEM

XDR är mer som en modern vidareutveckling av SIEM – i alla fall om man ska tro XDR-leverantörernas marknadsföring. Vissa ser det som en vidareutvecklad plattform med starkare fokus på hotreducering än till och med en SIEM-lösning, eftersom regelefterlevnad är kärnan i SIEM och hothantering endast en följd av det. XDR förlitar sig i hög grad på flera detekteringsmekanismer för att skapa omfattande datalager, och fokuserar sedan på smalare datauppsättningar för att ge mer detaljerad information om nätverksaktivitet.

EDR fungerar mer naturligt tillsammans med SIEM – det analyserar loggar, upptäcker misstänkta aktiviteter och skickar sedan bara relevanta varningar vidare till SIEM-lösningen. SIEM-lösningar samlar in och aggregerar alla säkerhetsdata från integrerade plattformar som loggar händelserelaterade data – från EDR:er, även XDR:er, brandväggar, nätverksenheter, intrångsdetekterings- och intrångsskyddssystem – korrelerar denna data mellan enheter, analyserar incidenter och utfärdar varningar därefter. Eftersom mängden insamlad data är stor upplever SOC-team ofta varningströtthet.

Om du vill lära dig mer om hur du finjusterar din SIEM-lösning för att minska varningströtthet och få bästa möjliga resultat, läs vår nya e-bok: ”Få ut maximalt av SIEM”.

SOAR, å andra sidan, är utformat för att hjälpa säkerhetsteam att automatisera responsen på incidenter genom att hantera de oändliga varningar som genereras av SIEM. Med SOAR kan SOC-team hantera den stora mängden varningar effektivt genom att skapa adaptiva, automatiserade arbetsflöden för incidentrespons. Detta ger dem möjlighet att prioritera hot och leverera snabbare resultat.

I slutändan är SIEM och SOAR fortfarande den bästa säkerhetsstrategin för en organisation, eftersom de är anpassade för en rad olika användningsområden som täcker regelefterlevnad, drift och säkerhet inom en och samma lösning. Denna beprövade modell har visat sig förbättra effektiviteten hos SOC-teamet och framgångsrikt minska organisationens sårbarheter.