XDR предлагает больше, чем можно ожидать
Расширенное обнаружение и реагирование (XDR) — это развивающаяся сфера в области безопасности, которая вызывает активные дискуссии и разнообразные мнения относительно её потенциала. Новые категории на рынке появляются, когда существующие технологии и инструменты не способны удовлетворить возникающие потребности. В Cisco мы убеждены, что XDR должен решать реальные вызовы в SOC, с которыми сталкиваются специалисты на протяжении десятилетий. Эта новая категория и аббревиатура возникли, потому что требуется новый подход для наших клиентов.
Некоторые поставщики и аналитики рассматривают XDR как альтернативу SIEM или просто как новый набор функций, основанных на решениях для обнаружения и реагирования на угрозы на конечных точках (EDR).
Наш взгляд на это иной…
Истинная ценность XDR Решения XDR должны охватывать всю сложную экосистему средств безопасности заказчика, оптимизировать процессы в SOC, выявлять ключевые угрозы и предоставлять инструменты для автоматизации и управления, способствующие скорейшему реагированию.
XDR должен собирать данные телеметрии и безопасности из различных источников: сети, облака, конечных точек, систем идентификации, электронной почты и приложений. XDR должен рассматривать все эти данные как критически важный контекст, анализировать их с использованием машинного обучения и ИИ для более уверенного обнаружения угроз на ранних стадиях. XDR должен интегрировать и связывать результаты анализа, чтобы показать динамику атаки и обеспечить осмысленную приоритизацию на основе потенциального воздействия на бизнес. XDR должен направлять аналитиков по безопасности в процессе расследования и реагирования, предоставляя пошаговую развертку информации (мы, специалисты по безопасности, скептики, и нам нужно видеть, что вы собрали в качестве инцидента и почему!). XDR должен предлагать автоматизацию, независимую от используемых систем безопасности, позволяя пользователям быстро и уверенно реагировать через единую консоль.
SIEM и EDR нового поколения ++ XDR, SIEM и EDR взаимодействуют взаимодополняющим образом. Во-первых, XDR не создан для формирования обширных хранилищ данных, которые используются для проведения сложных запросов, поиска угроз, обеспечения наблюдаемости, долговременного хранения данных или соответствия стандартам. XDR фокусируется на использовании точной телеметрии для как можно более быстрого обнаружения угроз. Для обеспечения скорости и экономичности, при этом используя передовую аналитику и ИИ, необходимо селективно подходить к обработке данных и ограничивать количество дополнительных запросов, доступных пользователям. Отличная новость в том, что SIEM идеально подходит для обработки глубоких запросов к большим массивам данных. В Cisco мы видим будущее SOC как комбинацию ведущих рыночных возможностей корпоративной системы безопасности SIEM от Splunk и нашего новаторского решения XDR, создавая комплексную платформу операций безопасности, которая соответствует текущим потребностям организации и способна развиваться вместе с ней.
XDR не является простой эволюцией EDR. Идентификация, электронная почта, сеть, облако и телеметрия приложений представляют собой ключевые элементы, особенно когда цель — обнаружить злоумышленника и отреагировать на угрозу, прежде чем она повлияет на управляемую конечную точку. EDR предоставляет превосходную видимость управляемых конечных точек и является критически важной функцией, которую должен использовать XDR, но великолепный XDR может функционировать независимо от решений для конечных точек, избегая необходимости в дополнительном агенте, конкурирующем за ресурсы систем конечного пользователя.
Проверка рынка и общие взгляды За десять месяцев с момента выпуска Cisco XDR GA наша база клиентов выросла до 450 компаний, восхищённых нашими возможностями и видением XDR. Динамика внедрения продукта продолжает нарастать! Мы ежедневно общаемся с клиентами и потенциальными покупателями, внедряя их идеи и разрабатывая новые подходы для достижения желаемых ими результатов.
В обзоре “Радар GigaOm для расширенного обнаружения и реагирования” представлен полный анализ рынка XDR и мнение GigaOm о значении XDR в системе безопасности. Мы согласны с выводами GigaOm, не только потому что занимаем лидирующие позиции... но и потому что поддерживаем наиболее значимые сценарии использования и функции, которые XDR должен предоставлять!
XDR как категория еще формируется, однако мы с оптимизмом смотрим на перспективы его влияния на Центр операций безопасности. Современные достижения в сфере искусственного интеллекта и машинного обучения позволяют нам ускорять процессы обнаружения угроз и реагирования на них как никогда прежде, что крайне важно в условиях возрастающей активности противников.