Open XDR vs Native XDR: особенности интеграции в IT-среду

Расширенные инструменты обнаружения и реагирования (Extended Detection & Response, XDR) объединяют и анализируют данные из различных защитных инструментов, позволяя организациям быстрее выявлять инциденты безопасности и реагировать на них.

Существует два варианта развёртывания XDR: открытый (Open XDR) и нативный (Native XDR). В этой статье мы рассмотрим основные различия между ними и поможем определиться, который из них будет лучше выбрать для вашей организации.

Что такое XDR?

Разработанный Palo Alto Networks в 2018 году, XDR представляет собой эволюцию EDR-платформ, собирающих данные об угрозах с мобильных устройств, рабочих станций и других конечных точек для обнаружения, расследования, анализа и реагирования на инциденты безопасности.

Платформы XDR расширяют возможности привычного многим EDR за счёт сбора данных об угрозах с конечных точек и сетей, облаков, серверов и систем электронной почты. Благодаря тому, что собранные данные передаются в инструмент XDR, службы безопасности получают более целостное представление о ландшафте угроз в своей организации.

Преимущества XDR

Платформы XDR могут обеспечить следующие преимущества для организаций:

• Улучшенное обнаружение угроз. Функции сбора и анализа данных в XDR позволяют лучше идентифицировать угрозы безопасности и подозрительное или вредоносное поведение.
• Более быстрое реагирование на инциденты. Платформы XDR используют машинное обучение, учебные пособия и рабочие процессы для автоматизации анализа и реагирования на обнаруженные угрозы.
• Улучшенная система безопасности. Расширенные возможности обнаружения и реагирования XDR обеспечивают охват различных активов и сред.
• Улучшенное покрытие безопасности. Платформы XDR используют данные из различных инструментов безопасности для обнаружения и устранения пробелов в безопасности и «слепых зон».

Что такое Open XDR?

Open XDR, также называемый гибридным XDR, ориентирован на стороннюю интеграцию через API. Эти платформы позволяют организациям собирать телеметрию и данные безопасности из различных защитных инструментов и продуктов.

Являясь независимыми от поставщика решениями, платформы Open XDR могут эффективно интегрироваться со средствами безопасности других производителей. Вместо копирования и замены существующих систем группы безопасности работают с базовой платформой Open XDR, разработанной для обеспечения централизованного управления текущими настройками.

Преимущества Open XDR

Платформы Open XDR обладают следующими преимуществами для организаций:

• Специалистам по безопасности не нужно изучать множество новых программных средств, ведь они могут использовать существующие инструменты безопасности.
• Команды могут заменять отдельные защитные инструменты при необходимости и по мере изменения потребностей их организаций в безопасности.
• Инструменты Open XDR предотвращают разрозненность защитных средств, поскольку открытые платформы передают данные и телеметрию на центральную панель управления.
• Open XDR решения помогают избежать привязки к единому поставщику.

Тем не менее, у Open XDR есть и определённые недостатки. Главный из них, пожалуй, заключается в том, что компаниям необходимо убедиться, что выбранный ими продукт имеет не только существующие интеграции, но и гарантии того, что он будет продолжать дополняться и развиваться с течением времени.

Некоторые нишевые продукты безопасности могут быть опущены, поскольку поставщикам нецелесообразно устанавливать подключения к каждому. Организациям следует тщательно изучить продукты Open XDR перед их внедрением, чтобы убедиться, что они интегрируются с текущими инструментами безопасности.

Платформы Open XDR привлекают более крупные организации, которые сосредоточены на использовании лучших в своём классе продуктов и хотят иметь инструмент XDR, который грамотно дополняет их стек безопасности.

Открытые XDR-платформы включают, например, Exabeam Fusion XDR, ReliaQuest GreyMatter и Stellar Cyber Open XDR.

Что такое Native XDR?

Вариация Native XDR, также называемая закрытым XDR, представляет собой универсальную платформу от одного поставщика. Так, например, организации с однородными IT-средами могут предпочесть использовать нативный XDR-продукт, который эффективно интегрирует другие используемые продукты безопасности от одного поставщика.

Преимущество Native XDR от единого поставщика заключается в том, что группам безопасности не нужно настраивать интеграции. Native XDR также может предложить более плавные возможности автоматизации, поскольку такое решение «из коробки» разработано для работы с другими инструментами безопасности данного поставщика.

Инструменты Native XDR также не лишены минусов. Если многие инструменты безопасности организации поставляются не от одного поставщика, возможно, потребуется скопировать и заменить некоторые существующие инструменты для создания среды с одним поставщиком.

На нативных платформах XDR также могут отсутствовать возможности интеграции сторонних производителей. Кроме того, организации, использующие Native XDR, могут столкнуться с блокировкой от поставщика, а также быть подвержены пробелам в безопасности или «слепым зонам».

Нативные инструменты XDR могут понравиться небольшим организациям с ограниченным бюджетом или организациям, использующим преимущественно одного поставщика для всех своих технологических развертываний.

Примерами нативных XDR-платформ являются Cisco XDR, Microsoft Defender и Cortex XDR от Palo Alto Networks.

XDR против EDR, SIEM и SOAR

Как относительно новую технологию, XDR часто путают с другими инструментами безопасности, такими как EDR, SIEM и SOAR. Рассмотрим основные отличия между ними:

• XDR против EDR. Инструменты EDR охватывают конечные точки, такие как ПК, мобильные устройства и рабочие станции, в то время как платформы XDR охватывают более широкий пул программных и аппаратных ресурсов, включая конечные точки, облака, сети, серверы, приложения и другие инструменты безопасности.
• XDR против SIEM. Традиционные SIEM-системы имеют центральное расположение, которое принимает данные журнала безопасности в сети и обеспечивает возможности обнаружения и оповещения. Платформы XDR сопоставляют более широкий спектр данных и, в отличие от традиционных SIEM-систем, могут выполнять автоматические ответы. Однако платформы XDR не предлагают функций управления журналами, хранения и соответствия требованиям SIEM-систем, поэтому организациям, использующим XDR, по-прежнему нужна SIEM-система.
• XDR против SOAR. Платформы SOAR расширяют возможности SIEM-систем и могут автоматизировать действия по реагированию. XDR не является заменой SOAR, поскольку платформы SOAR очень плотно работают с данными, собираемыми SIEM-системами.

Заключение

В заключение можно отметить, что технология Extended Detection and Response (XDR) представляет собой значительный шаг вперёд в области кибербезопасности, объединяя возможности различных инструментов защиты для более эффективного обнаружения угроз и реагирования на инциденты.

XDR преодолевает ограничения традиционных решений, таких как EDR, SIEM и SOAR, предлагая более комплексный подход к безопасности. Однако выбор между Open XDR и Native XDR зависит от конкретных потребностей и инфраструктуры организации.

Open XDR подходит для крупных организаций с разнородной средой безопасности, которые ценят гибкость и возможность интеграции с широким спектром инструментов. Этот подход позволяет избежать зависимости от одного поставщика и сохранить существующие инвестиции в безопасность.

Native XDR, в свою очередь, может быть предпочтительным для небольших организаций или тех, кто уже значительно вложился в экосистему одного вендора. Он обещает более гладкую интеграцию и автоматизацию «из коробки», но может ограничивать выбор инструментов в будущем.

Важно понимать, что XDR не является универсальной заменой существующим решениям безопасности. Данная платформа скорее дополняет их, обеспечивая более глубокий анализ и автоматизацию. Организациям следует тщательно оценить свои текущие потребности, будущие планы развития IT-инфраструктуры и возможности интеграции при выборе XDR-решения.

В конечном счёте, внедрение XDR должно быть частью более широкой стратегии кибербезопасности, направленной на создание многоуровневой защиты с учётом постоянно эволюционирующего ландшафта угроз. Это требует не только технологических решений, но и соответствующих процессов, обучения персонала и культуры безопасности в организации.