Автор: Андрій Михалюк, CEO CoreWin
Протягом десятиліть ризики нових загроз були значними, а виявлення атак та реагування на них наразі є ледь не найважливішим заданням безпеки. Сьогодні складність виявлення і реагування може бути надзвичайною. Рішень, які позиціюються як інструмент вирішення цих чимраз більших загроз, незліченна кількість: SIEM, EDR, NDR, MDR, XDR тощо. Хоча кожне рішення може впоратися з частинами проблем, але поєднання різних систем в реальному середовищі часто є серйозним викликом.
Гіпотеза цієї статті в тому, що поєднання SIEM та XDR здатне закрити велику кількість потреб в безпеці. А також, такий комплекс – це чудовий кандидат для ядра безпеки інфраструктури будь-якого розміру.
Спочатку згадаємо базу: що стоїть за акронімами SIEM та XDR
SIEM (Security information and event management) – це програмні продукти, які об’єднують управління інформаційною безпекою SIM (англ. Security information management) та управління подіями безпеки SEM (англ. Security event management). Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків.
Тобто, якщо коротко, це система агрегації подій з усієї інфраструктури для їх аналізу та оперативного інформування про інцидент команди безпеки.
Тепер щодо XDR – розширене виявлення та реагування (Extend Detect and Response). Окрім конкретних рішень – це також стратегія кібербезпеки, яка передбачає виявлення, дослідження та реагування з наскрізною видимістю на кількох рівнях безпеки.
XDR – це нова методологія, яка зосереджена на захисті від атак шляхом виявлення, стримування та реагування на кібератаки. Це стратегія, яка пропонує широкий захист від сучасних складних кібератак, включаючи зараження зловмисним програмним забезпеченням, системні зломи, шифрування програм-вимагачів, крадіжки або модифікації даних тощо.
Порівняння XDR із SIEM
Є кілька ключових відмінностей, про які слід знати між рішеннями XDR і SIEM.
По-перше, XDR є реактивною системою, тоді як SIEM є проактивною. Тобто XDR має інструментарій зупинити атаку в момент виконання, в той час, як SIEM не здатне це зробити, але дає змогу агрегувати великі масиви подій для аналізу і системних покращень архітектури безпеки. По-друге, основною функціональністю XDR є реєстрація подій, тоді як SIEM призначена для оповіщення, кореляції та аналізу. Далі SIEM збирає дані з усіх пристроїв у середовищі, тоді як XDR збирає дані лише з кінцевих точок (ПК та сервери) організації.
Якщо заглибитися, то мета XDR – виявити, розслідувати та вжити належних заходів для ефективного та швидкого вирішення інцидентів. Сучасний SIEM, по суті, служить тій же меті, але його також можна використовувати для моніторингу відповідності, збереження та звітування.
Крім того, функція XDR не призначена для виконання вимог відповідності стандартам безпеки так само, як сьогоднішня сучасна SIEM. Однак варіанти використання XDR рідко виходять за рамки виявлення загроз і реагування на інциденти. Організаціям, яким потрібно інтегрувати більше типів журналів або відповідати нормативним вимогам щодо зберігання журналів, все одно знадобиться SIEM.
Розробники XDR рекламують свої рішення як SIEM наступного покоління, заявляючи про кращий, швидший і дешевший продукт в порівнянні з класичними SIEM. Але як і XDR, так і сучасні SIEM є новітніми здобутками IT-спільноти. По суті, рішеннями одного покоління, які варто, ба навіть необхідно використовувати в комплексі.
Правильний інструмент для вашої організації залежить від ваших організаційних вимог.
Висновки
Традиційні підходи не настільки практичні для виявлення зловмисного програмного забезпечення та експлойтів, оскільки вони виявляють загрози з однієї точки зору, наприклад на рівні файлів або мережі. Однак XDR виявляє загрози на всіх рівнях одночасно. XDR використовує дані з усієї системи, включаючи кожен модуль і процес, запущений у цій системі. Як правило, він забезпечує найвищий рівень виявлення з усіх відомих шкідливих програм і антивірусних продуктів. Тобто XDR – незамінний інструмент «тут і зараз».
SIEM же – це метод збору і агрегації інформації, яка актуальна для кібербезпеки. Це по суті індивідуальне універсальне джерело знань про безпеку вашої конкретної інфраструктури. Ці системи дають змогу проводити аналіз подій. Не стільки «тут і зараз», але в контексті часу.
Тому можна прийти до висновку, що поєднання SIEM та XDR має ряд переваг:
- Поєднання аналізу подій на рівні точки, мережі та програмних рішень.
- Поєднання ретроспективного аналізу та миттєвої реакції на загрози.
- Поєднання агентних здібностей XDR та централізації інформації SIEM.
