Ngành công nghiệp an ninh mạng tràn ngập các biệt ngữ và các từ viết tắt. Khi các vector tấn công tinh vi nhân lên, từ thiết bị đầu cuối đến mạng và cho đến đám mây, nhiều doanh nghiệp đang chuyển sang một cách tiếp cận mới để chống lại các mối đe dọa nâng cao: Phát hiện và ứng phó mở rộng, tạo ra một từ viết tắt khác: XDR. Và trong khi XDR đã nhận được rất nhiều sự quan tâm từ các nhà lãnh đạo trong ngành và cộng đồng nhà phân tích, XDR vẫn là một khái niệm đang phát triển và do đó, vẫn còn có sự nhầm lẫn xung quanh chủ đề này.
- XDR là gì?
- XDR khác EDR như thế nào?
- Nó có giống với SIEM & SOAR không?
Bài viết này sẽ làm rõ một số câu hỏi phổ biến xung quanh XDR và sự khác biệt so với EDR, SIEM và SOAR.
EDR là gì?
EDR cung cấp cho tổ chức khả năng giám sát các điểm cuối để tìm hành vi đáng ngờ và ghi lại mọi hoạt động và sự kiện đơn lẻ. Sau đó, nó tương quan thông tin để cung cấp ngữ cảnh quan trọng nhằm phát hiện các mối đe dọa nâng cao và cuối cùng chạy hoạt động ứng phó tự động, chẳng hạn như cách ly một điểm cuối bị nhiễm khỏi mạng trong thời gian gần thực tế.
XDR là gì?
XDR là sự phát triển của EDR, Phát hiện điểm cuối và Ứng phó. Trong khi EDR thu thập và tương quan các hoạt động trên nhiều điểm cuối, XDR mở rộng phạm vi phát hiện ngoài các điểm cuối để cung cấp khả năng phát hiện, phân tích và ứng phó trên các điểm cuối, mạng, máy chủ, khối lượng công việc đám mây, SIEM, v.v.
Điều này cung cấp một khung nhìn trong suốt thống nhất, duy nhất trên nhiều công cụ và vectơ tấn công. Khả năng hiển thị được cải thiện này giúp ngữ cảnh hóa các mối đe dọa, hỗ trợ các nỗ lực phân loại, điều tra và khắc phục nhanh chóng.
XDR tự động thu thập và đối chiếu dữ liệu trên nhiều vectơ bảo mật, tạo điều kiện phát hiện mối đe dọa nhanh hơn để các nhà phân tích bảo mật có thể ứng phó nhanh chóng trước khi phạm vi của mối đe dọa mở rộng. Tích hợp sẵn có và cơ chế phát hiện được điều chỉnh trước trên nhiều sản phẩm và nền tảng khác nhau giúp cải thiện năng suất, phát hiện mối đe dọa.
=> Nói tóm lại, XDR vượt ra ngoài điểm cuối để đưa ra quyết định dựa trên dữ liệu từ nhiều sản phẩm hơn và có thể thực hiện hành động trên toàn bộ ngăn xếp của bạn bằng cách hành động trên email, mạng, danh tính và hơn thế nữa.
XDR khác với SIEM như thế nào?
Khi nói về XDR, một số người nghĩ rằng chúng tôi đang mô tả một công cụ Security Information & Event Management (SIEM) theo một cách khác. Nhưng XDR và SIEM là hai thứ khác nhau.
SIEM thu thập, tổng hợp, phân tích và lưu trữ khối lượng lớn dữ liệu nhật ký của doanh nghiệp. SIEM bắt đầu hành trình với một cách tiếp cận rất rộng: thu thập dữ liệu nhật ký và sự kiện có sẵn từ hầu hết mọi nguồn trong toàn doanh nghiệp để lưu trữ cho một số trường hợp sử dụng. Chúng bao gồm quản trị và tuân thủ, đối sánh mẫu dựa trên quy tắc, phát hiện mối đe dọa hành vi / theo kinh nghiệm như UEBA và tìm kiếm trên các nguồn đo từ xa để tìm IOC hoặc chỉ số nguyên tử.
Tuy nhiên, các công cụ SIEM đòi hỏi rất nhiều tinh chỉnh và nỗ lực để thực hiện. Các nhóm bảo mật cũng có thể bị choáng ngợp bởi số lượng cảnh báo tuyệt đối đến từ SIEM, khiến SOC bỏ qua các cảnh báo quan trọng. Ngoài ra, mặc dù SIEM thu thập dữ liệu từ hàng chục nguồn và cảm biến, nó vẫn là một công cụ phân tích thụ động đưa ra cảnh báo.
Nền tảng XDR nhằm mục đích giải quyết các thách thức của công cụ SIEM để phát hiện và phản ứng hiệu quả với các cuộc tấn công có chủ đích và bao gồm phân tích hành vi, tình báo mối đe dọa, lập hồ sơ hành vi và phân tích.
XDR khác với SOAR như thế nào?
Security Orchestration & Automated Response (SOAR) được sử dụng bởi các nhóm hoạt động bảo mật để xây dựng và chạy các playbook nhiều giai đoạn giúp tự động hóa các hành động trên hệ sinh thái các giải pháp bảo mật được kết nối với API. Ngược lại, XDR sẽ cho phép tích hợp hệ sinh thái qua Marketplace và cung cấp các cơ chế để tự động hóa các hành động đơn giản chống lại các biện pháp kiểm soát bảo mật của bên thứ ba.
SOAR phức tạp, tốn kém và yêu cầu một SOC kinh nghiệm cao để triển khai và duy trì tích hợp đối tác và sách phát. XDR được hiểu là ‘SOAR-lite’: một giải pháp mã 0 đơn giản, trực quan, cung cấp khả năng hoạt động từ nền tảng XDR đến các công cụ bảo mật được kết nối.
MXDR là gì?
Managed Extended Detection and Response(MXDR) mở rộng các dịch vụ MDR trong toàn doanh nghiệp để có được giải pháp được quản lý đầy đủ bao gồm các hoạt động và phân tích bảo mật, săn tìm mối đe dọa nâng cao, phát hiện và phản ứng nhanh trên các môi trường điểm cuối, mạng và đám mây. Dịch vụ MXDR tăng cường khả năng XDR của khách hàng với các dịch vụ MDR để có thêm khả năng giám sát, điều tra, tìm kiếm mối đe dọa và khả năng ứng phó.
Tại sao XDR lại vượt trội?
XDR thay thế các giải pháp bảo mật giới hạn và giúp các tổ chức giải quyết các thách thức an ninh mạng từ quan điểm thống nhất. Với một nhóm dữ liệu thô bao gồm thông tin từ toàn bộ hệ sinh thái, XDR cho phép phát hiện và phản ứng mối đe dọa nhanh hơn, sâu hơn và hiệu quả hơn EDR, thu thập và đối chiếu dữ liệu từ nhiều nguồn hơn.
XDR cung cấp khả năng hiển thị nhiều hơn và bối cảnh về các mối đe dọa; các sự cố mà trước đây chưa được giải quyết sẽ xuất hiện ở mức độ nhận thức cao hơn, cho phép các nhóm bảo mật khắc phục và giảm bớt bất kỳ tác động nào khác cũng như giảm thiểu phạm vi của cuộc tấn công.
Một cuộc tấn công ransomware điển hình đi qua mạng, đến hộp thư đến và sau đó tấn công điểm cuối. Giải quyết vấn đề bảo mật bằng cách xem xét từng thứ một cách độc lập sẽ đặt các tổ chức vào thế bất lợi. XDR tích hợp các biện pháp kiểm soát bảo mật khác nhau để cung cấp các hành động ứng phó tự động hoặc bằng một cú nhấp chuột trong phạm vi bảo mật của doanh nghiệp, chẳng hạn như vô hiệu hóa quyền truy cập của người dùng, buộc xác thực nhiều yếu tố khi bị nghi ngờ xâm nhập tài khoản, chặn các miền gửi đến và băm tệp và hơn thế nữa – tất cả đều thông qua các quy tắc tùy chỉnh được viết bởi người dùng hoặc theo logic được tích hợp trong công cụ ứng phó theo quy định.
Với một nhóm dữ liệu thô bao gồm thông tin từ toàn bộ hệ sinh thái, XDR cho phép phát hiện và phản ứng mối đe dọa nhanh hơn, sâu hơn và hiệu quả hơn EDR, thu thập và đối chiếu dữ liệu từ nhiều nguồn hơn.
Khả năng hiển thị toàn diện đưa đến một số lợi ích, bao gồm:
- Giảm thời gian trung bình để phát hiện (MTTD) bằng cách tương quan giữa các nguồn dữ liệu.
- Giảm thời gian trung bình để điều tra (MTTI) bằng cách tăng tốc phân đoạn và giảm thời gian điều tra và phạm vi.
- Giảm thời gian trung bình để ứng phó (MTTR) bằng cách cho phép tự động hóa đơn giản, nhanh chóng và phù hợp.
- Cải thiện khả năng hiển thị trên toàn bộ khu vực an ninh.
Hơn nữa, nhờ AI và tự động hóa, XDR giúp giảm bớt gánh nặng công việc thủ công cho các nhà phân tích bảo mật. Giải pháp XDR có thể chủ động và nhanh chóng phát hiện các mối đe dọa tinh vi, tăng khả năng bảo mật hoặc năng suất của nhóm SOC và mang lại mức tăng ROI đáng kể cho tổ chức.
Source: https://www.sentinelone.com/blog/understanding-the-difference-between-edr-siem-soar-and-xdr/