Hopp til hovedinnholdet

Hva er utvidet oppdagelse og respons (XDR)?

Datatrusler er i stadig utvikling, og XDR gir en dramatisk forbedring av undersøkelses- og responstidene til sikkerhetsteam. Som med alle nye tilnærminger kan det imidlertid oppstå forvirring om hva XDR er, hvordan det skiller seg ut fra tradisjonelle sikkerhetsløsninger og hvilke sikkerhetsresultater brukerne kan forvente fra det. Les videre for å finne ut mer.

XDR – mening og definisjon

Utvidet oppdagelse og respons, eller XDR, er sikkerhetsteknologi med flere lag som sikrer IT-infrastruktur. Den gjør dette ved å innhente og koordinere flere sikkerhetslag, inkludert endepunkter, apper, e-post, nettskyer og nettverk, for å gi bedre innsyn i en organisasjons teknologimiljø. Dette gjør at sikkerhetsteam raskt og effektivt kan oppdage, undersøke og reagere på datatrusler.

XDR betraktes som en mer avansert versjon av oppdagelse og respons på endepunkter (EDR). Mens EDR fokuserer på endepunkter, fokuserer XDR bredere på flere kontrollpunkter for sikkerhet for å oppdage trusler raskere ved hjelp av dype analyser og automasjon.

Dagens trusselbilde på Internett

Datasikkerheten utvikles og utvides i et voldsomt tempo. Det siste tiåret har vi sett en stor økning i verktøy for oppdagelse av og respons på trusler, som alle prøver å ligge i forkant av de siste datatruslene. Med økningen i fjernarbeid og flere forretningsfunksjoner som flyttes til nettskyen, er ikke oppdagelse og respons alltid så lett som man skulle tro – særlig fordi katastrofale brudd kan komme fra hvor som helst, og når som helst.

I dette svært risikable digitale miljøet er det helt avgjørende å vite hvordan man skal takle datatrusler på en konsekvent og helhetlig måte. Sikkerhetsteam må sette sin lit til dypere integrering og mer automasjon for å ligge i forkant av datakriminelle.

Her er noen av særpregene ved dagens trusselbilde:

  • Aktører med skumle hensikter investerer nå betydelig med tid på å hente inn informasjon på forhånd for å bestemme seg for hvem de skal angripe, hvordan de skal angripe dem og hva som er det beste tidspunktet for angrepet. Dette nivået med forhåndsplanlegging gjør angrep mer sofistikerte og dermed vanskeligere å fange opp.
  • Angripere samarbeider stadig mer for å utnytte de ulike ferdighetene sine. Et team med kompetanse innen å få tilgang kan for eksempel samarbeide med det team som er spesialisert på lateral bevegelse. Deretter kan de selge tilgangen til et annet team som har fokus på løsepengevirus, som stjeler data for å bruke dem til utpressing. Samarbeid på dette nivået gjør det ekstra komplisert.
  • Dataangrep krysser nå over i mange områder av nettverket – de kan for eksempel begynne på arbeidsstasjonen til en medarbeider via en e-post med nettfisking eller en åpen IP-adresse som kompromitteres, men etter å raskt ha kartlagt nettverket kan angriperne gå over til datasentre, skyinfrastrukturer og OT-nettverk (Operational Technology). Den digitale transformasjonen i mange organisasjoner, kombinert med økningen i fjernarbeid, betyr at angrepsflaten til de fleste bedrifter har vokst.
  • Angripere har blitt stadig flinkere til å skjule aktivitetene sine. De gjør dette ved å reagere på respons på hendelser for å skjule handlingene sine for forsvarerne – altså ved å bruke legitime verktøy på en skadelig måte for å skjule sporene sine.
  • Utpressingsmetodene har blitt stadig mer gjennomarbeidede – inkludert tyveri av data, DDoS, løsepengevirus og, i ekstreme tilfeller, å kontakte kundene dine for å presse deg til å betale det de krever.
  • I noen organisasjoner kan infrastrukturen for sikkerhet isoleres på tvers av nettverket. Hvis uavhengige sikkerhetsløsninger ikke er integrerte, kan de forårsake for mange varsler uten sammenheng, noe som overvelder sikkerhetsteam og reduserer innsynet deres over hele angrepsflaten.

Siden kriminelle bruker mer avanserte teknikker for å utnytte tradisjonelle sikkerhetskontroller, sliter organisasjoner med å sikre utsatte digitale ressurser både i og utenfor tradisjonelle nettverksperimetere. Sikkerhetsteam under press på grunn av overgangen til fjernarbeid har ført til en økt knapphet på ressurser. Organisasjoner trenger proaktive, samlede sikkerhetstiltak for å forsvare de teknologiske ressursene, inkludert eldre endepunkter, mobilenheter, nettverk og skybaserte arbeidsbelastninger, uten at ansatte og interne ressurser overveldes.

Ledere innen bedriftssikkerhet og risikostyring vurderer derfor fordelene og produktivitetsverdien man får med XDR-sikkerhet.

Hvordan fungerer XDR?

XDR effektiviserer sikkerheten ved å forbedre oppdagelse og respons gjennom å forene innsyn og kontroll på tvers av endepunkter, nettverk og nettskyen.

Ved å forene data fra isolerte sikkerhetsløsninger får man bedre innsyn i trusler, slik at tiden det tar å identifisere og svare på et angrep reduseres. XDR legger til rette for avanserte undersøkelser av og jakt på trusler på tvers av flere domener fra en og samme konsoll.

I store trekk er det tre aspekter ved hvordan XDR-sikkerhet fungerer:

  1. Datainnsamling: Det første trinnet er innsamling og normalisering av store mengder data fra endepunkter, skybaserte arbeidsbelastninger, e-post, nettverkstrafikk, virtuelle beholdere og mer. Alle data anonymiseres og består av kun elementene som trengs for å identifisere potensielle avvik og trusler.
  2. Oppdagelse: Deretter fokuseres det på å analysere og koordinere data for å oppdage skjulte trusler automatisk ved hjelp av avansert kunstig intelligens og maskinlæring.
  3. Respons: Det neste dreier seg om å prioritere trusseldata etter viktighet, slik at sikkerhetsteamene kan analysere og sortere nye hendelser innen rimelig tid og automatisere aktiviteter relatert til undersøkelser og respons. Responsprosessen bør skje fra ett senter med de relevante dataene, sammenhegene og verktøyene.

XDR-teknologi er nyttig for å vise analytikerne hvilke handlinger en angriper utførte, ved å avsløre rekkefølgen av prosesser før det endelige angrepet. Angrepskjeden berikes med informasjon fra ressursinventaret, for eksempel sårbarheter relatert til ressursen, ressursens eier eller eiere, rolle i bedriften og observerbart omdømme fra trusselinformasjon.

Siden sikkerhetsteam ofte får store mengder varsler hver dag, er automatisering av sorteringsprosessen og å gi analytikere kontekstuell informasjon den beste måten å håndtere prosessen på. Med XDR kan sikkerhetsteam bruke tiden sin effektivt ved å fokusere på varsler som potensielt kan forårsake mest skade.

En IT-ansvarlig i et datasenter. XDR skaper effektivitet for IT-sikkerhetsteam

Grunnen til at bedrifter trenger XDR

XDR koordinerer isolerte sikkerhetsverktøy som forener og effektiviserer analyse, undersøkelser og respons. Dette gir betydelige fordeler for organisasjoner, inkludert:

Konsolidert innsyn i trusler: 

XDR-sikkerhet gir anonymiserte data ved et endepunkt, kombinert med nettverks- og programkommunikasjon. Dette inkluderer informasjon om tilgangstillatelser, åpnede filer og programmer som er i bruk. Full synlighet på tvers av systemet gjør at du kan oppdage og blokkere angrep raskere.

Forbedrede forhindringsmuligheter:

Trusselinformasjon og adaptiv maskinlæring gir sentralisert konfigurering og herding med veiledning for å hindre mulige angrep.

Effektiv respons:

Omfattende innsamling og analysering av data gjør at sikkerhetsteam kan spore en angrepsvei og rekonstruere angriperens handlinger – noe som øker sjansen for å identifisere gjerningsmennene. Dataene gir også verdifull informasjon du kan bruke til å styrke forsvarsmekanismene.

Bedre kontroll:

Muligheten til å sette opp både blokkeringslister og klareringslister for trafikk og prosesser sikrer at kun godkjente handlinger og brukere får tilgang til systemet.

Økt produktivitet:

Sentralisering reduserer mengden varsler og gjør dem mer nøyaktige, noe som betyr færre falske positive som må gjennomgås. XDR er en forent plattform i stedet for en kombinasjon av løsninger for flere punkter. Dette gjør det enklere å håndtere, samtidig som det reduserer antall grensesnitt sikkerhetsteamet trenger tilgang til under en respons.

Gjenopprett verter etter en hendelse: 

XDR kan hjelpe sikkerhetsteam med å gjenopprette systemer raskere etter et angrep, både ved å fjerne skadelige filer og registernøkler og ved å gjenopprette skadde filer og registernøkler ved hjelp av forslag til utbedring.

Eksempler på brukstilfeller for XDR

XDR-teknologi egner seg til en rekke ansvarsoppgaver knyttet til nettverkssikkerhet. Det nøyaktige bruksområdet avhenger av behovene til organisasjonen og modenheten til sikkerhetsteamet. Eksempler på bruksområder:

Sortering:

XDR kan brukes som hovedverktøy for aggregering av data, overvåking av systemer, oppdagelse av hendelser og varsling av sikkerhetsteam.

Undersøkelse:

Organisasjoner kan bruke XDR-løsninger som lagre med informasjon om hendelser. De kan bruke denne informasjonen kombinert med trusselinformasjon til å undersøke hendelser, bestemme seg for en respons og lære opp sikkerhetspersonell.

Jakt etter trusler:

Dataene som samles inn av XDR-løsninger kan brukes som en grunnlinje i jakten på trusler. Data som brukes til og samles inn under jakten på trusler kan igjen brukes til å skape ny trusselinformasjon for å styrke sikkerhetsprotokoller og -systemer.

Hva er fordelene med XDR?

Utvidet oppdagelse og respons gir verdi ved å samle flere sikkerhetsverktøy til én konsekvent plattform for oppdagelse av og respons på sikkerhetshendelser. Dette er hovedfordelene med XDR:

  • Begrensning av en stor mengde varsler til et mye mindre antall hendelser som kan prioriteres for manuelle undersøkelser
  • Integrerte responsalternativer for hendelser med tilstrekkelig kontekst, slik at varsler kan løses raskt
  • Responsalternativer som strekker seg lengre enn kontrollpunkter for infrastruktur, inkludert nettverk, nettsky og endepunkter, for å gi omfattende beskyttelse
  • Automatisering av rutinemessige oppgaver for å forbedre produktiviteten
  • En felles administrerings- og arbeidsflytopplevelse på tvers av sikkerhetskomponenter, noe som gir økt effektivitet

De viktigste fordelene er i hovedsak forbedret beskyttelse, deteksjon og respons, forbedret produktivitet for sikkerhetspersonell og lavere totale eierkostnader for effektiv oppdagelse av og respons på sikkerhetstrusler.

Hva bør du se etter i en XDR-løsning

Her er noen av de viktigste tingene du bør se etter i en XDR-løsning:

Kontroll-agnostikk:

Muligheten til å integrere flere teknologier uten bindingstid med leverandører.

Maskinbasert korrelasjon og oppdagelse:

For å forenkle tidsriktige analyser av store datasett og redusere antall falske positive.

Forhåndsbygde datamodeller:

For å integrere trusselintelligens og automatisere oppdagelse og respons, uten behov for at programvareingeniører må programmere eller lage regler.

Produksjonsintegrering:

I stedet for at de må skifte ut SIEM-løsninger (Security Information and Event Management), SOAR-teknologi (Security Orchestration And Response) og saksbehandlingsverktøy, bør en XDR-løsning integrere dem slik at organisasjonen får mest mulig utbytte av investeringen sin.

Integrering med sikkerhetsvalidering:

Når XDR og sikkerhetsvalidering jobber sammen, er sikkerhetsteamene mer bevisste på hvor godt sikkerhetstiltakene deres fungerer, hvor sikkerhetshullene er og hvilke handlinger som må iverksettes for å ta tak i ytelsesavvik.

XDR kontra annen teknologi for oppdagelse og respons

XDR skiller seg ut fra andre sikkerhetsverktøy ved å sentralisere, normalisere og korrelere data fra flere kilder – for å gi full synlighet og avdekke avanserte trusler.

XDR-teknologi samler inn og analyserer data fra flere kilder for å gjøre en bedre jobb med å validere varsler, noe som reduserer falske positive og øker påliteligheten. Dette sparer sikkerhetsteamene tid og muliggjør raskere, mer automatisert respons.

XDR er forskjellig fra EDR. EDR-systemer hjelper organisasjoner med å håndtere trusler ved å fokusere på nåværende aktivitet ved alle endepunkter, ved å bruke avansert maskinlæring for å forstå denne aktiviteten og spesifisere responser og ved å bruke automasjon for å reagere raskt der det trengs.

XDR-systemer bygger på dette prinsippet ved å integrere datastrømmer fra andre steder enn endepunkter, for eksempel nettverk, e-post, skybaserte arbeidsbelastninger, programmer, enheter, identitet, dataressurser, Tingenes Internett og muligens andre. Disse ekstra elementene gjør det mulig å oppdage flere trusler, brudd og angrep, og å svare mer effektivt på dem, fordi du kan drive frem flere handlinger på tvers av en bredere infrastruktur og ikke bare ved endepunkter. XDR gir også dypere innsikt i nøyaktig hva som skjer.

Noen organisasjoner prøver å takle datatrusler ved å bruke en kombinasjon av EDR- og SIEM-løsninger (Security Information and Event Management). Mens SIEM-løsninger samler inn overflatiske data fra mange kilder, samler XDR i midlertid inn dypere data fra målrettede kilder. Dette gjør at XDR kan gi mer kontekst for hendelser, og eliminerer behovet for manuell fininnstilling eller dataintegrering. Varselkildene er en del av XDR-løsningen, noe som eliminerer integrering og vedlikehold for overvåking av varsler sammenlignet med en SIEM-løsning.

Til syvende og sist er det slik at jo lenger en trussel blir værende i nettverket til en organisasjon, jo flere muligheter har en angriper til å skade systemer og stjele verdifull data. Dette betyr at det er helt avgjørende å reagere så raskt som mulig på alt som oppfattes som trusler. Sikkerhetsteam trenger bedre metoder for å vite når det finnes trusler – i tillegg til raskere måter å fremheve og nøytralisere dem på når de oppstår – for å minimere potensielle tap. Det er først og fremst denne utfordringen XDR er utformet for å løse.

Vanlige spørsmål om XDR

Dette er noen av de ofte stilte spørsmålene om XDR-sikkerhet, XDR-teknologi og XDR-datasikkerhet:

Hva er XDR?

XDR betyr utvidet oppdagelse og respons, og refererer til teknologi som overvåker og reduserer datasikkerhetstrusler. XDR samler inn og korrelerer data automatisk på tvers av flere sikkerhetslag – inkludert endepunkt-, nettverks- og skydata – for å fremskynde oppdagelsen av trusler og muliggjøre raskere og mer nøyaktig respons.

Hvordan fungerer XDR?

XDR er en proaktiv tilnærming til oppdagelse av og respons på trusler. Ved å gi innsyn i alle data, og ved å bruke analyser og automasjon, kan XDR ta tak i dagens datasikkerhetstrusler. XDR samler inn data fra e-post, endepunkter, servere, skybaserte arbeidsbelastninger og nettverk, for så å analysere disse dataene for å identifisere trusler. Trusler blir deretter prioritert, jaktet ned og løst for å hindre sikkerhetsbrudd.

Hva er forskjellen på XDR og EDR?

Oppdagelse og respons ved endepunkter (EDR) fokuserer på kontinuerlig overvåking og trusseloppdagelse, sammen med en automatisert respons. Det begrenses imidlertid av at det bare kjører disse funksjonene på endepunktnivå. Til sammenligning har XDR de samme prioritetene som EDR, men går lengre enn endepunkter for å inkludere skybaserte arbeidsbelastninger, programmer, brukeridentiteter og selve nettverket i sin helhet.

Relaterte produkter:

Videre lesning:

Hva er utvidet oppdagelse og respons (XDR)?

Hva er XDR? XDR står for utvidet oppdagelse og respons – en avansert sikkerhetsløsning som er en videreutvikling fra EDR. Finn ut mer.
Kaspersky logo

Relaterte artikler