XDR versus traditionele detectie van bedreigingen
XDR verschilt van traditionele dreigingsdetectie omdat het specifiek gericht is op het oplossen van problemen die ontstaan door een silo-aanpak. XDR “ontzilt” een systeem onder meer door de aanvalsoppervlakken te segmenteren in hun primaire categorieën. Zo krijgt u een relatief uitgebreide oplossing voor e-mail, netwerken, servers en cloud workloads.
XDR verschilt in de manier waarop het niet alleen bedreigingen wil detecteren en identificeren, maar er ook op wil reageren. Sommige systemen voor het opsporen van bedreigingen detecteren alleen de bedreiging zonder doortastende maatregelen te nemen om deze te elimineren. Afhankelijk van uw behoeften kan dit aspect van XDR niet nuttig zijn, vooral als u meer speelruimte wilt hebben om op bedreigingen te reageren.
XDR kan ook een nuttig instrument zijn voor het beheer van waarschuwingen. Een beveiligingssysteem kan worden overspoeld met een reeks waarschuwingen, en het beheer daarvan kan soms evenveel werk kosten als het aanpakken van de bedreigingen zelf. Een XDR-systeem kan waarschuwingen consolideren die weliswaar wenselijk zijn, maar geen bruikbare informatie bevatten. Dit helpt beheerders zich te concentreren op de waarschuwingen die definitieve stappen vereisen.
Omdat XDR niet alleen bedreigingen detecteert, maar er ook op reageert, kan een beveiligingsteam tijd en middelen besparen met de implementatie van XDR. Als het IT-team bijvoorbeeld weet hoe het op elke bedreiging wil reageren, en de XDR-oplossing heeft die mogelijkheid, kunnen ze meerdere bases tegelijk bestrijken, door XDR te gebruiken om bedreigingen te identificeren en te isoleren, en de betrokken problematische processen uit te schakelen.
1. XDR vs. Endpoint Detection and Response (EDR)
Endpoint Detection and Response (EDR) en Extended Detection and Response (XDR) zijn twee beveiligingsoplossingen die zijn ontworpen om geavanceerde cyberdreigingen te detecteren en erop te reageren. Hoewel beide oplossingen in veel opzichten op elkaar lijken, zijn er ook enkele belangrijke verschillen.
EDR verschilt van XDR omdat de “E” specifiek naar endpoints verwijst, terwijl de “X” in XDR aangeeft dat het ook netwerk- en cloudgegevens verwerkt. EDR is dus een beveiligingsoplossing die gericht is op endpoint-apparaten, zoals laptops en servers. EDR-oplossingen omvatten doorgaans functies als antivirus, firewall en inbraakdetectie en -preventie. Ze bieden beveiligingsteams ook inzicht in het endpoint, zodat ze in realtime kunnen zien wat er op het apparaat gebeurt en dienovereenkomstig op bedreigingen kunnen reageren.
XDR daarentegen is een beveiligingsoplossing die is ontworpen om een uitgebreid beeld te geven van het gehele aanvalsoppervlak, inclusief het netwerk, de endpoints en de cloud. XDR-oplossingen maken gebruik van een combinatie van traditionele detectie op basis van signature en geavanceerde technieken zoals machine learning en gedragsanalyse om bedreigingen te detecteren en erop te reageren. Hierdoor kunnen beveiligingsteams snel bedreigingen identificeren en hierop reageren die zich mogelijk op verschillende delen van het netwerk verbergen, zoals de cloud of verschillende endpoints.
Een van de belangrijkste verschillen tussen EDR en XDR is de omvang van de bescherming die zij bieden. EDR is gericht op de bescherming van endpoints, terwijl XDR een uitgebreid beeld geeft van het gehele aanvalsoppervlak. Dit betekent dat XDR beter geschikt is voor het detecteren van en reageren op bedreigingen die zich in verschillende delen van het netwerk of in cloud-gebaseerde diensten kunnen verschuilen.
Een ander verschil is dat EDR-oplossingen meestal agent-based zijn, wat betekent dat er een agent-software op het endpoint moet worden geïnstalleerd om bescherming te bieden, terwijl XDR-oplossingen een verscheidenheid aan methoden kunnen gebruiken om gegevens uit verschillende delen van het netwerk te verzamelen, zoals netwerktaps, cloudconnectors en endpoint agents.
Op het gebied van incident response zijn EDR-oplossingen doorgaans gericht op het bieden van inzicht in het endpoint en de mogelijkheid om incidenten op het endpoint te onderzoeken en erop te reageren. XDR-oplossingen bieden daarentegen een uniform beeld van de beveiliging in de hele organisatie, waardoor beveiligingsteams snel bedreigingen kunnen identificeren en erop kunnen reageren die zich mogelijk op verschillende delen van het netwerk verbergen. Bovendien kan XDR het incident response proces automatiseren, waardoor teams snel kunnen reageren op bedreigingen zonder elk incident handmatig te hoeven onderzoeken.
2. XDR vs. Analyse van netwerkverkeer (NTA)
Zowel XDR als NTA kunnen bedreigingen opsporen. NTA richt zich op patroonherkenning en kan daarom onmiddellijk reageren op datapakketten die het verwachte patroon schenden. Als een server bijvoorbeeld gewoonlijk verkeer ontvangt uit de VS, Canada en Brazilië, maar plotseling verkeer uit Rusland begint te ontvangen, kan een NTA-systeem worden gebruikt om de potentiële bedreiging te elimineren.
NTA kan daarom een betere oplossing zijn dan XDR als de bedreigingen waarmee uw organisatie wordt geconfronteerd, kunnen worden geïsoleerd met behulp van dit soort patroondetectie.
3. XDR vs. Security Information and Event Management (SIEM)
XDR verschilt van SIEM doordat het wordt geleverd met response-oplossingen. Hoewel SIEM kan werken met een responsoplossing, richt het zich op het detecteren van bedreigingen, niet op het reageren erop. Als u zelf wilt bepalen hoe u op bedreigingen reageert, is een SIEM-oplossing zoals FortiSIEM een betere keuze dan XDR.
In sommige gevallen kan XDR een bedreiging automatisch detecteren en erop reageren, zelfs als deze geen echt gevaar oplevert. Zo’n voorbarige reactie kan uw organisatie schaden. Met SIEM bent u vrij om te beslissen hoe u op elke bedreiging reageert, wat kan voorkomen dat u activiteiten onnodig stopt of onderbreekt.
4. XDR vs. Security Orchestration, Automation, and Response (SOAR)
Terwijl XDR zich goed richt op het detecteren van en reageren op bedreigingen binnen zijn eigen ecosysteem, kan SOAR veel van hetzelfde doen, maar ook worden gebruikt om het beveiligingsbeleid en de rapportage te helpen orkestreren.
Als uw onmiddellijke reactie op bedreigingen effectief is, maar u een systeem nodig hebt dat helpt bij de algemene uitvoering van het beveiligingsbeleid, is een oplossing als FortiSOAR wellicht een betere keuze dan XDR. Het implementeren van een XDR-oplossing bovenop een bestaand, effectief systeem voor het reageren op bedreigingen kan meer tijd vergen dan u beschikbaar hebt, zonder dat u gegarandeerd betere resultaten krijgt dan uw bestaande oplossing.
Meer over XDR is te lzen in dit whitepaper.