Hvad er udvidet registrering og respons (XDR)?

Med cybertrusselslandskabet i konstant udvikling lover XDR dramatisk at forbedre sikkerhedsteams undersøgelses- og responstider. Men som med enhver ny tilgang kan der være forvirring om, hvad XDR er, hvordan det adskiller sig fra traditionelle sikkerhedsløsninger, og hvilke sikkerhedsresultater brugerne kan forvente af det. Læs videre for at finde ud af mere.

XDR – betydning og definition

Udvidet registrering og respons, eller XDR, er en sikkerhedsteknologi i flere lag, der beskytter it-infrastrukturen. Det gør den ved at indsamle og korrelere data fra flere sikkerhedslag, herunder slutpunkter, apps, e-mail, clouds og netværk, hvilket giver større indsigt i en organisations teknologiske miljø. Dette gør det muligt for sikkerhedsteams at registere, efterforske og reagere på cybertrusler hurtigt og effektivt.

XDR betragtes som en mere avanceret version af slutpunktsregistrering og -respons (EDR). Mens EDR fokuserer på slutpunkter, fokuserer XDR mere bredt på flere sikkerhedskontrolpunkter for at opdage trusler hurtigere ved hjælp af dyb analyse og automatisering.

Det moderne cybertrusselslandskab

Cybersikkerhedslandskabet er i hastig udvikling og udvides. Det sidste årti har set en spredning af trusselsregistrerings- og responsværktøjer, der hver især forsøger at være på forkant med de seneste cybertrusler. Med stigningen i fjernarbejde og flere forretningsfunktioner, der flytter til skyen, er registrering og respons ikke altid en ligetil opgave – ikke mindst fordi katastrofale brud kan komme fra hvor som helst når som helst.

I dette digitale højrisikomiljø er det vigtigt at vide, hvordan man håndterer cybertrusler på en sammenhængende og helhedsorienteret måde. Sikkerhedsteams er nødt til at satse på dybere integration og mere automatisering for at være på forkant med cyberkriminelle.

Det moderne trusselslandskab er kendetegnet ved følgende:

• Ondsindede aktører investerer nu betydelig tid i indsamling af efterretninger på forhånd for at afgøre, hvem de vil angribe, hvordan de vil angribe dem og den optimale timing af deres angreb. Dette niveau af forudgående planlægning gør angrebene mere sofistikerede og derfor sværere at opdage.
• Angribere arbejder i stigende grad sammen for at udnytte forskellige færdigheder. F.eks. kan et team, hvis ekspertise ligger i at opnå indledende adgang, arbejde sammen med et team, der har specialiseret sig i tværgående bevægelse. De kan derefter sælge adgang til et andet team, som fokuserer på ransomware og vil stjæle data med henblik på afpresning. Dette niveau af samarbejde skaber yderligere kompleksitet.
• Cyberangreb krydser nu mange områder af netværket – de kan f.eks. starte ved en medarbejders arbejdsstation via en phishing e-mail eller en åben IP-adresse, som kan kompromitteres, men når angriberne hurtigt har kortlagt netværket, kan de gå videre til datacentre, cloud-infrastrukturer og OT-netværk (Operational Technology). Den digitale transformation af mange organisationer kombineret med stigningen i fjernarbejde betyder, at angrebsfladen for de fleste virksomheder er vokset.
• Angriberne er blevet stadig dygtigere til at skjule deres aktiviteter. Det gør de ved modreaktion på hændelser for at skjule deres handlinger for forsvarerne - dvs. ved at bruge legitime værktøjer på ondsindet vis for at skjule deres spor.
• Afpresningsmetoderne er blevet mere udspekulerede - herunder tyveri af data, DDoS, ransomware, og i ekstreme tilfælde ved at kontakte dine kunder og lægge pres på dig for at få dig til at betale deres afpresningsgebyrer.
• I nogle organisationer kan sikkerhedsinfrastrukturen være opdelt i siloer på tværs af netværket. Hvis uafhængige sikkerhedsløsninger ikke integreres, kan de forårsage for mange advarsler uden kontekst, hvilket overvælder sikkerhedsteams og reducerer deres overblik over hele angrebsfladen.

I takt med at kriminelle bruger mere avancerede teknikker til at udnytte traditionelle sikkerhedskontroller, kan organisationer have svært ved at sikre sårbare digitale aktiver både inden for og uden for den traditionelle netværksperimeter. Med sikkerhedsteams under pres som følge af skiftet til fjernarbejde er presset på ressourcerne blevet forstærket. Organisationer har brug for proaktive, ensartede sikkerhedsforanstaltninger til at beskytte deres teknologiske aktiver, herunder ældre slutpunkter, mobilenheder, netværk og cloud-arbejdsbelastninger uden at overbebyrde personale og interne ressourcer.

Som følge heraf overvejer flere ledere af virksomhedssikkerheds- og risikostyring fordelene og produktivitetsværdien ved XDR-sikkerhed.

Hvordan fungerer XDR?

XDR skaber sikkerhedseffektivitet ved at forbedre registrerings- og responsfunktionerne gennem ensartet synlighed og kontrol på tværs af slutpunkter, netværk og cloud.

Ved at forbinde data fra siloopdelte sikkerhedsløsninger forbedres trusselssynligheden, og den tid, der er nødvendig for at identificere og reagere på et angreb, reduceres. XDR letter avancerede funktioner for undersøgelses- og trusselssøgning på tværs af flere domæner fra en enkelt konsol.

Der er tre overordnede aspekter af, hvordan XDR-sikkerhed fungerer:

1. Dataindsamling: Det første skridt er at indsamle og normalisere store mængder data fra slutpunkter, cloud-arbejdsbelastninger, e-mail, netværkstrafik, virtuelle containere og meget mere. Alle data anonymiseres og omfatter kun de elementer, der er nødvendige for at identificere potentielle uregelmæssigheder og trusler.
2. Registrering: Derefter fokuseres der på analyse og korrelering af data for automatisk at opdage skjulte trusler ved hjælp af avanceret kunstig intelligens (AI) og maskinlæring (ML).
3. Respons: Dernæst handler det om at prioritere trusselsdata efter alvorsgrad, så sikkerhedsteams kan analysere og triagere nye hændelser i tide og automatisere undersøgelses- og responsaktiviteter. Responsprocessen bør foregå fra et enkelt center, der omfatter relevante data, kontekst og værktøjer.

XDR-teknologi er nyttig til at vise analytikere de trin, som en angriber tog, ved at afsløre sekvensen af processer før det endelige angreb. Angrebskæden beriges med oplysninger fra aktivbeholdningen, såsom sårbarheder relateret til aktivet, aktivernes ejer eller ejere, forretningsrolle og observerbart omdømme fra trusselsefterretninger.

Da sikkerhedsteams ofte udsættes for en stor mængde advarsler hver dag, er automatisering af triageringsprocessen og at give analytikere kontekstuel information den bedste måde at styre processen. XDR giver sikkerhedsteams mulighed for at bruge deres tid effektivt ved at fokusere på advarsler med potentiale til at forårsage mest skade.

Hvorfor virksomheder har brug for XDR

XDR koordinerer siloopdelte sikkerhedsværktøjer, forener og strømliner analyse, undersøgelse og respons. Dette giver betydelige fordele for organisationer, herunder:

Konsolideret trusselssynlighed: 

XDR-sikkerhed giver anonymiserede data ved et slutpunkt i kombination med netværks- og programkommunikation. Dette omfatter oplysninger om adgangstilladelser, adgang til filer og anvendte programmer. Fuld synlighed på tværs af dit system giver dig mulighed for at opdage og blokere angreb hurtigere.

Forbedret forebyggelseskapacitet:

Trusselsefterretninger og adaptiv maskinindlæring giver centraliseret konfigurations- og hærdningskapacitet med vejledning i at forhindre mulige angreb.

Effektiv respons:

Omfattende dataindsamling og -analyse gør det muligt for sikkerhedsteams at spore en angrebsvej og rekonstruere angriberens handlinger - hvilket øger chancerne for at identificere gerningsmændene. Dataene giver også værdifuld information, som du kan bruge til at styrke dit forsvar.

Større kontrol:

Muligheden for både at blokere liste- og tillade listetrafik og -processer sikrer, at kun godkendte handlinger og brugere kan komme ind i dit system.

Øget produktivitet:

Centralisering reducerer mængden af advarsler og øger deres nøjagtighed, hvilket betyder færre falske positiver, der skal sorteres fra. Da XDR er en samlet platform i modsætning til en kombination af flere punktløsninger, er den nemmere at administrere og reducerer antallet af grænseflader, som sikkerhedspersonalet skal have adgang til under en respons.

Gendan værter efter en kompromittering: 

XDR kan hjælpe sikkerhedsteams med at komme sig hurtigt efter et angreb ved at fjerne ondsindede filer og registreringsnøgler, samt gendanne beskadigede filer og registreringsnøgler ved hjælp af forslag til afhjælpning.

Eksempler på XDR-brugertilfælde

XDR-teknologi er velegnet til en bred vifte af opgaver inden for netværkssikkerhed. Den specifikke anvendelse vil afhænge af din organisations behov og dit sikkerhedsteams modenhed. Eksempler på anvendelse omfatter:

Triagering:

XDR kan bruges som det vigtigste værktøj til at samle data, overvåge systemer, registrere hændelser og advare sikkerhedsteams.

Undersøgelse:

Organisationer kan bruge XDR-løsninger som arkiver over oplysninger om hændelser. De kan bruge disse oplysninger i kombination med trusselsoplysninger til at undersøge hændelser, bestemme deres respons og uddanne sikkerhedspersonale.

Trusselsjagt:

De data, der indsamles af XDR-løsninger, kan bruges som udgangspunkt for at udføre trusselsjagt. Til gengæld kan data, der bruges til og indsamles under trusselsjagter, bruges til at skabe nye trusselsefterretninger for at styrke sikkerhedsprotokoller og -systemer.

Hvad er fordelene ved XDR?

Udvidet registrering og respons giver merværdi ved at konsolidere flere sikkerhedsværktøjer i en sammenhængende, fælles platform til registrering af sikkerhedshændelser og -respons. De vigtigste fordele ved XDR omfatter:

• Konsolidering af en stor mængde advarsler til et meget mindre antal hændelser, som kan prioriteres til manuel undersøgelse
• Levering af integrerede muligheder for hændelsesrespons, der giver tilstrækkelig kontekst, så alarmer kan løses hurtigt
• Levering af responsmuligheder, der strækker sig ud over infrastrukturens kontrolpunkter, herunder netværk, cloud og slutpunkter, for at levere omfattende beskyttelse
• Automatisering af gentagne opgaver for at forbedre produktiviteten
• Levering af en fælles oplevelse af administration og arbejdsgange på tværs af sikkerhedskomponenter, hvilket skaber større effektivitet

De vigtigste fordele er grundlæggende forbedret beskyttelse, registrerings- og responskapacitet, forbedret produktivitet for det operationelle sikkerhedspersonale samt lavere samlede ejeromkostninger for effektiv registrering og respons på sikkerhedstrusler.

Hvad du skal kigge efter i en XDR-løsning

De vigtigste funktioner, du skal kigge efter i en XDR-løsning, omfatter:

Kontrol-agnostisk:

Muligheden for at integrere flere forskellige teknologier uden at være låst til en leverandør.

Maskinbaseret korrelation og registrering:

For at lette rettidig analyse af store datasæt og reducere antallet af falske positive.

Præfabrikerede datamodeller:

For at integrere trusselsefterretning samt automatisere registrering og respons uden behov for softwareingeniører til at udføre programmering eller oprette regler.

Produktionsintegration:

Frem for at kræve udskiftning af SIEM-løsninger (Security Information and Event Management), SOAR-teknologier (Security Orchestration and Response) og værktøjer til sagsstyring, bør en XDR-løsning integreres med dem for at give organisationer mulighed for at maksimere værdien af deres investering.

Integration med sikkerhedsvalidering:

Når XDR og sikkerhedsvalidering arbejder sammen, har sikkerhedsteams større bevidsthed om, hvor godt deres sikkerhedsstack fungerer, hvor der er sårbarheder, og hvilke foranstaltninger der skal træffes for at afhjælpe ydelsesmangler.

XDR i forhold til andre dregistrerings- og responsteknologier

XDR adskiller sig fra andre sikkerhedsværktøjer ved at centralisere, normalisere og korrelere data fra flere kilder - for at give fuldstændigt overblik og afsløre avancerede trusler.

Ved at indsamle og analysere data fra flere kilder gør XDR-teknologien et bedre stykke arbejde med at validere advarsler, hvilket reducerer falske positive og øger pålideligheden. Dette sparer tid for sikkerhedsteams og giver mulighed for hurtigere, mere automatiserede svar.

XDR adskiller sig fra EDR. EDR-systemer hjælper organisationer med at håndtere trusler ved at fokusere på den aktuelle aktivitet på alle deres slutpunkter, ved at bruge avanceret maskinlæring til at forstå denne aktivitet og specificere respons og ved at bruge automatisering til at levere hurtig handling, hvor det er nødvendigt.

XDR-systemer bygger på dette princip ved at integrere ikke-slutpunktsdatastrømme — såsom netværk, e-mail, cloud-arbejdsbelastninger, programmer, enheder, identitet, dataaktiver, Internet of Things og potentielt andre. Disse ekstra elementer gør det muligt at opdage flere trusler, brud og angreb og at reagere mere effektivt, fordi du kan iværksætte handlinger på tværs af din bredere infrastruktur og ikke kun på slutpunkterne. XDR giver også en dybere indsigt i præcis, hvad der sker.

Nogle organisationer forsøger at håndtere cybertrusler ved at bruge en kombination af EDR- og SIEM-løsninger (Security Information and Event Management). Men mens SIEM-løsninger indsamler overfladiske data fra mange kilder, indsamler XDR dybere data fra målrettede kilder. Dette gør det muligt for XDR at give en større kontekst for hændelser og fjerner behovet for manuel justering eller dataintegration. Advarselskilderne er indbygget i XDR-løsningen, hvilket betyder, at den integrations- og vedligeholdelsesindsats, der kræves for at overvåge advarsler i et SIEM, er fjernet.

I sidste ende gælder det, at jo længere en trussel forbliver i en organisations netværk, jo flere muligheder har en angriber for at beskadige systemer og stjæle værdifulde data. Det betyder, at det er afgørende at handle så hurtigt som muligt i respons på enhver form for trussel. Sikkerhedsteams har brug for bedre måder at vide, hvornår trusler er til stede — sammen med hurtigere måder at fremhæve og neutralisere dem på, når de rammer for at minimere potentielle tab. I sidste ende er det den udfordring, XDR er designet til at løse.

Ofte stillede spørgsmål om XDR

Ofte stillede spørgsmål om XDR-sikkerhed, XDR-teknologi og XDR-cybersikkerhed omfatter:

Hvad er XDR?

XDR står for "extended detection and response" og henviser til en teknologi, der overvåger og afhjælper cybersikkerhedstrusler. XDR indsamler og korrelerer automatisk data på tværs af flere sikkerhedslag - herunder slutpunkts-, netværks- og cloud-data - hvilket fremskynder registreringen af trusler og giver mulighed for hurtigere og mere præcis respons.

Hvordan virker XDR?

XDR sikrer en proaktiv tilgang til registrering og respons på trusler. Ved at give synlighed på tværs af alle data og ved hjælp af analyse og automatisering kan XDR håndtere nutidens cybersikkerhedstrusler. XDR indsamler advarsler på tværs af e-mail, slutpunkter, servere, cloud-arbejdsbelastninger og netværk og analyserer derefter disse data for at identificere trusler. Trusler bliver derefter prioriteret, jaget og afhjulpet for at forhindre sikkerhedsbrud.

Hvad er forskellen mellem XDR og EDR?

Slutpunktsregistrering og -respons (EDR) fokuserer på kontinuerlig overvågning og trusselsregistrering sammen med automatiseret respons. Den er dog begrænset, idet den kun udfører disse funktioner på slutpunktsniveau. I modsætning hertil har XDR de samme prioriteter som EDR, men udvider dem ud over slutpunkterne til at omfatte cloud-arbejdsbelastninger, programmer, brugeridentiteter og på tværs af hele selve netværket.

Relaterede produkter:

• Kaspersky Managed Detection and Response
• Platformen Kaspersky slutpunktsregistrering og -respons Expert og Kaspersky anti-målrettede angreb

Læs videre:

• Hvad er slutpunktssikkerhed, og hvordan fungerer det?
• Hvordan nultillidskonceptet er med til at forme cybersikkerhed i stor skala
• Hvordan databrud opstår