Sammenligning af XDR- og EDR-løsninger - vigtige ligheder og forskelle

Den globale indvirkning af pandemien har været enorm, og moderne cloud-baserede Endpoint-sikkerhedsløsninger er blevet indført i alle regioner. Denne efterspørgsel forventes fortsat at vokse i et hurtigt tempo, da organisationer investerer i nye teknologier for bedre at beskytte sig mod truslen fra ransomware og andre mere sofistikerede cyberangreb.

Forsvaret af endpoints (dvs. arbejdsstationer, mobile enheder og servere) er en vigtig del af sikkerhedsstrategien i organisationer af alle størrelser. Forsvaret af endpoints består typisk af en kombination af løsninger til endpoint-beskyttelse (EPP) og løsninger til Endpoint Detection and Response (EDR). Mange virksomheder er gået over til denne form for opsætning som en naturlig udvikling fra traditionel on-premise antivirus-software og som en reaktion på den øgede mængde avancerede trusler, som virksomheder af alle størrelser står over for. Gartner® forudser, at "ved udgangen af 2025 vil mere end 60 % af virksomhederne have erstattet ældre antivirusprodukter med kombinerede EPP- og EDR-løsninger, der supplerer forebyggelse med detektions- og responsfunktioner" (1).

Hvad så med XDR (Extended Detection & Response)? Er dette den næste generation af sikkerhed på endpoints, som i sidste ende vil erstatte EDR + EPP-kombinationer på samme måde som de erstattede tidligere antivirusprogrammer? Eller er det blot en måde for leverandørerne at promovere den samme gamle teknologi med et imponerende nyt akronym?

Hvad er XDR?

Udtrykket XDR blev først opfundet af Nik Zur på en branchekonference i 2018. Ideen er, at XDR tager detektion og respons ud over endpointet og integrerer EDR med yderligere komponenter som cloud-baserede sikre e-mail-gateways og IAM-løsninger (identity and access management).

Behovet for XDR er drevet af efterspørgslen efter integrerede og holistiske sikkerhedsløsninger. Ifølge F-Secures undersøgelse ønsker 82 % af virksomhederne en alt-i-en cybersikkerhedsløsning (2). Forrester opdeler XDR-løsninger i to kategorier: hybride og native. En hybrid XDR-platform integrerer data og telemetri fra tredjepartsløsninger, mens native XDR kun integrerer løsninger fra den samme leverandørs portefølje (3).

I denne forstand er XDR egentlig ikke en ny løsning, men en sammensmeltning af eksisterende løsninger, som tidligere ikke har fungeret så godt sammen, som de burde have gjort. Teorien er, at XDR gør det muligt for en enkelt løsning at levere forbedrede detektionsmuligheder ved

  1. Korrelering af telemetri fra flere kilder
  2. Brug af en enkelt data lake for at muliggøre effektiv efterforskning
  3. At muliggøre en bredere vifte af responshandlinger end EDR alene

Korrelation af data fra forskellige kilder sker med det formål at hjælpe sikkerhedsfolk med at sammenkæde indikatorer for angreb (IOA) eller indikatorer for kompromittering (IOC), der måske ikke skiller sig ud i sig selv, hvilket gør det lettere at opfange angreb, der ellers ville være gået ubemærket hen.

Nogle vil måske tro, at lagring af hændelser fra flere datakilder er opgaven for en SIEM-løsning (Security Information and Event Management). SIEM-løsninger er designet til lagring af logfiler og til at opfylde grundlæggende detektionsbrug, ofte for at opfylde overensstemmelseskrav, snarere end til detektion af sofistikerede angreb. SIEM-løsninger er også ressourcekrævende og viser sig ofte at være vanskelige at administrere, især når antallet af datakilder bliver meget stort.

XDR, med EDR som kerne, er specielt udviklet til detektion og kan levere øjeblikkelige resultater, når det implementeres i et nyt miljø. Desuden har XDR-løsninger omfattende svarmuligheder, hvorimod SIEM-løsninger kun er til detektion.

Endelig er XDR-løsninger, selv om de accepterer en bredere vifte af telemetri end EDR, ikke beregnet til at være "send mig hvad som helst"-løsninger som SIEM'er; en god XDR fokuserer på de datakilder, der giver klar værdi for detektering og efterforskning af alvorlige angreb.

Kort sagt er SIEM-løsninger ikke designet til at udvide "detektions- og respons"-funktionerne, og XDR-løsninger er ikke designet til at erstatte SIEM-løsninger.

Hvad er EDR?

Som nævnt står EDR for Endpoint Detection and Response og er en teknologi, der implementeres på alle endpoints i en organisations netværk. EDR-detektion fungerer ganske enkelt ved at opfange sikkerhedsrelevante hændelser som f.eks. procesudførelser og netværksforbindelser, der finder sted på endpoints. Det resulterende datasæt kan analyseres for at opdage skadelig eller usædvanlig adfærd, som derefter kan afhjælpes ved hjælp af responsfunktioner som f.eks. procesafbrydelse, sletning af filer eller blokering af netværk.

I modsætning til EPP, som er et automatiseret forebyggende lag, der er designet til at blokere åbenlyse ondsindede aktiviteter, er EDR en sidste forsvarslinje, som gør det muligt for menneskelige eksperter at opfange og afhjælpe angreb, der omgår forebyggende kontroller, før de kan forårsage reel skade.

For en overordnet oversigt over EDR's centrale detektions- og responsfunktioner, og hvorfor alle virksomheder har brug for en Endpoint Detection and Response-løsning, se vores artikel 7 grunde til, at du har brug for en EDR-løsning.

Ligheder og forskelle mellem EDR og XDR

Hvad angår ligheder, bruger både EDR- og XDR-løsninger metoder til adfærdsanalyse og trusselsinformation til at opdage og reagere på avancerede trusler, hvor endpoints er den primære kilde til detektioner.

Dette giver dem mulighed for at udføre centrale sikkerhedsopgaver som f.eks:

  • Overvågning i realtid – Både EDR- og XDR-løsninger indsamler og analyserer løbende data for at opdage usædvanlig eller skadelig adfærd. Ved at have alt i en "enkelt data lake" kan cybersikkerhedsanalytikere overvåge og prioritere hurtigt og nemt.
  • Alarmering og respons – Sofistikerede EDR- og XDR-løsninger genererer et lavt antal falske positive alarmer, så man undgår alarmtræthed og sikrer en hurtigere respons på alvorlige trusler.
  • Proaktiv trusselsjagt og efterforskning – Både EDR- og XDR-løsninger gør det muligt for sikkerhedsanalytikere at gå ud over automatiseret varsling og søge efter subtile angrebsaktiviteter, der ikke udløste nogen varsling.

Forskellene mellem specifikke EDR- og XDR-løsninger varierer. I nogle tilfælde er EDR blot blevet omdøbt til XDR, selv om der ikke er nogen væsentlig forskel. Kun få XDR-løsninger leverer en reel værdi ud over EDR, så det er vigtigt at foretage en detaljeret due diligence af de enkelte løsningers muligheder.

En god XDR-løsning bør udvide telemetri-datakilder og responsintegrationer til områder, hvor det betyder mest. Hvis man blot opfanger flere data fra netværksinfrastrukturen, vil det ikke nødvendigvis resultere i en bedre detektionskapacitet. Du skal have den rigtige telemetri til rådighed for at støtte din evne til at opdage de mest almindelige angreb samt en effektiv reaktionskapacitet til at stoppe disse angreb.

Da undersøgelser viser, at 22 % af alle brud på sikkerheden involverer phishing (4), kan F-Secure demonstrere, hvordan en XDR-løsning, der kombinerer EDR- og e-mail-sikkerhedsfunktioner, effektivt kan opdage og reagere på phishing-angreb:

  1. Detektering af den indledende kompromittering af en målarbejdsstation med en EDR-løsning.
  2. Fastlæggelse af, at infektionsvektoren var en phishing-e-mail.
  3. Brug af data indsamlet fra en e-mail-sikkerhedsløsning til at identificere andre brugere, der har modtaget den samme phishing-e-mail, men som endnu ikke har åbnet den.
  4. E-mailen kan derefter sættes i karantæne, før der sker yderligere infektioner.

Som eksemplet ovenfor viser, er der tre centrale forskelle mellem EDR og XDR:

  EDR XDR
Solution coverage Endpoint detection and response (EDR) anvender endpoint agenter eller sensorer. EDR arbejder normalt problemfrit sammen med Endpoint Protection (EPP) som en anden løsning med fokus på endpoint. XDR har til formål at forene detektions- og reaktionsmulighederne på tværs af flere telemetri-kilder, ikke kun endpoints. I moderne it-miljøer er e-mail og identiteter de mest værdifulde, der skal dækkes.
Telemetry coverage EDR er udelukkende fokuseret på endpoints som den mest omfattende kilde til telemetri og beskæftiger sig ikke med andre telemetri-kilder. XDR har til formål at tage telemetri fra flere kilder, gøre den tilgængelig i en cloud-baseret "datasamling" og korrelere den for at opnå en bredere synlighed, der rækker ud over endpoints.
Response coverage EDR muliggør fjernundersøgelse og -respons for at stoppe angreb, der er identificeret på endpoints, og som ikke allerede er blevet blokeret af EPP. XDR har til formål at udvide responsen ud over endpoints og i sidste ende automatisere undersøgelses- og responsaktiviteter, som i eksemplet med phishing ovenfor.

Hvilken er den rigtige detection and response-løsning for dig?

Ifølge Ponemon's rapport Cost of a Data Breach (5), har to tredjedele af virksomhederne oplevet et databrud i 2020, herunder virksomheder, der tjener flere millioner dollars og har den nyeste sikkerhed. Derfor er den første ting, man skal være opmærksom på, at det ikke blot er ved at tilføje flere værktøjer eller telemetri-kilder, at man bliver uigennemtrængelig over for alle former for cyberangreb. I værste fald kommer flere værktøjer med mere kompleksitet og er en distraktion fra den egentlige prioritet, nemlig at forsvare dit miljø.

Stærke forebyggende foranstaltninger kombineret med EDR vil reducere risikoen for et brud samt begrænse dets konsekvenser ved at muliggøre hurtig detektion og respons på angreb.

Når du har en robust beskyttelse af endpoints og EDR-funktioner på plads, og hvis dit team (eller en Service Provider) allerede er i stand til at reagere på de trusler, der identificeres fra enpoints, er du i en god position til at "udvide" Detection and Respons med XDR. En XDR-løsning (extended detection and response) giver en bredere kapacitet end EDR alene og giver dig derved mulighed for at forsvare din organisation mod yderligere angrebsvektorer og håndtere indbrud mere effektivt. Pas på med leverandører, der forsøger at koble ældre sikkerhedsteknologi på stedet, f.eks. firewalls og e-mail-sikkerhedsgateways, med EDR og kalde det "XDR"; der er en grund til, at disse ældre teknologier blev efterladt, og enhver XDR-løsning, der er bygget på dem, vil ikke kunne levere de fordele, der er forbundet med en ægte integreret og cloud-nativ XDR-løsning.

Endelig må man ikke glemme vigtigheden af Awareness, da teknologi ikke altid kan beskytte folk mod at blive ofre for avancerede angreb, f.eks. et omhyggeligt udformet phishing-angreb. Men den rigtige teknologi vil hjælpe, idet den hurtigt kan opdage og reagere på angreb og minimere virkningen på organisationen.

Se vores artikel om 10 ting du skal overveje, før du køber en EDR-løsning for at få en liste over emner, der gælder for valg af både EDR og XDR.

Referencer

[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, Rustam Malik, 18 Feb 2021. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission.
[2] F-Secure Global B2B Market Research survey of 2750 IT/Network Security decision makers and influencers, 2020.
[3] Forrester, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR, Allie Mellen, 28 April 2021.
[4] Verizon, Data Breach Investigations Report, 2020.
[5] Ponemon, IBM, Global Cost of a Data Breach Study, 2020.