Автор: Андрей Михалюк, CEO CoreWin
В течение десятилетий риски новых угроз были значительными, а выявление атак и реагирование на них сейчас едва ли не важнейшая, но в то же время сложная задача безопасности. Сегодня существует бесчисленное количество решений, которые позиционируются как инструменты для устранения угроз: SIEM, EDR, NDR, MDR, XDR и так далее. Хоть и каждое решение может справиться с частями проблем, но сочетание разных систем в реальной среде часто является серьезным вызовом.
Гипотеза этой статьи состоит в том, что сочетание SIEM и XDR способно закрыть множество потребностей безопасности. А также, такой комплекс – это отличный кандидат для ядра безопасности инфраструктуры любого размера.
Сначала вспомним базу: что стоит за акронимами SIEM и XDR
SIEM (Security information and event management) – это программные продукты, объединяющие управление информационной безопасностью SIM (англ. Security information management) и управление событиями безопасности SEM (англ. Security event management). Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, получаемых от сетевых устройств и приложений.
То есть, если коротко, это система агрегации событий со всей инфраструктуры для их анализа и оперативного информирования команды безопасности об инциденте.
Теперь касательно XDR – расширенное обнаружение и реагирование (Extend Detect and Response). Кроме конкретных решений, это также стратегия кибербезопасности, которая состоит в выявлении, исследовании и реагировании с видимостью на нескольких уровнях безопасности.
XDR – это новая методология, которая сосредоточена на защите от атак путем обнаружения, сдерживания и реагирования на кибератаки. Это стратегия, которая предлагает широкую защиту от современных сложных кибератак, включая заражение вредоносным программным обеспечением, системные взломы, шифрование программ-вымогателей, кражи или модификации данных, и так далее.
Сравнение XDR с SIEM
Есть несколько ключевых отличий между решениями XDR и SIEM, о которых следует знать.
Во-первых, XDR является реактивной системой, в то время как SIEM является проактивной. То есть, XDR имеет инструментарий для остановки атаки, в то время как SIEM не способно это сделать, но позволяет агрегировать большие массивы событий для анализа и системных улучшений архитектуры безопасности. Во-вторых, основной функциональностью XDR является регистрация событий, в то время как SIEM предназначена для оповещения, корреляции и анализа. Далее SIEM собирает данные из всех устройств в среде, в то время как XDR собирает данные только с конечных точек (ПК и серверы) организации.
Если углубиться, то цель XDR – выявить, расследовать и принять надлежащие меры для эффективного и быстрого разрешения инцидентов. Современный SIEM, в сущности, служит той же цели, но его также можно использовать для мониторинга соответствия, хранения и отчетности.
Кроме того, функция XDR не предназначена для выполнения требований соответствия стандартам безопасности так же, как сегодняшняя современная SIEM. Однако варианты использования XDR редко выходят за рамки обнаружения угроз и реагирования на инциденты. Организациям, которым нужно интегрировать больше типов журналов или соответствовать нормативным требованиям хранения журналов, все равно понадобится SIEM.
Разработчики XDR рекламируют свои решения как SIEM следующего поколения, заявляя о лучшем, более быстром и дешевом продукте по сравнению с классическими SIEM. Но как и XDR, так и современные SIEM являются новинками IT-сообщества. По сути, решениями одного поколения, которые стоит, а то и необходимо использовать в комплексе.
Правильный инструмент для вашей организации зависит от ваших организационных требований.
Выводы
Традиционные подходы не столь практичны для обнаружения вредоносного ПО и эксплойтов, поскольку они выявляют угрозы с одной точки зрения, например на уровне файлов или сети. Однако XDR находит угрозы на всех уровнях одновременно. XDR использует данные по всей системе, включая каждый модуль и процесс, запущенный в этой системе. Как правило, он обеспечивает высочайший уровень обнаружения из всех известных вредоносных программ и антивирусных продуктов. То есть XDR – незаменимый инструмент «здесь и сейчас».
SIEM же – это метод сбора и агрегации информации, актуальной для кибербезопасности. Это, по сути, индивидуальный универсальный источник знаний о безопасности вашей конкретной инфраструктуры. Эти системы позволяют проводить анализ событий. Не столько «здесь и сейчас», но в контексте времени.
Поэтому можно сделать вывод, что сочетание SIEM и XDR имеет ряд преимуществ:
- Сочетание анализа событий на уровне точки, сети и программных решений.
- Сочетание ретроспективного анализа и мгновенной реакции на угрозы.
- Сочетание агентных возможностей XDR и централизации информации SIEM.
