eXtended Detection and Response, of XDR is ontstaan als antwoord op de uitdagingen van de silo-benaderingen van data-analyse voor beveiliging en werd bedacht door Nir Zuk van Palo Alto Networks in 2018. Eerdere benaderingen zouden zich alleen richten op een enkel type apparaat of gebied, zoals endpoint, netwerk of gebruikersgedrag, waarbij context en indicatoren van de andere focusgebieden die zouden hebben geleid tot het identificeren van risico's ontbraken.
XDR analyseert al deze aandachtsgebieden en brengt ze samen in een holistisch platform dat alle data kan begrijpen die betrokken zijn bij een gebeurtenis, en biedt vervolgens tracking- en herstelstappen voor de gehele omgeving terwijl het SOC reageert op gebeurtenissen die kwaadaardig of riskant zijn.
Hoe is XDR ontstaan?
Bij veel bedrijven ontstond een kloof tussen de verschillende beveiligingsproducten die leveranciers uitbrachten terwijl er juist behoefte was voor een verenigd platform die een brede dekking van de gehele organisatie biedt. XDR werd ontworpen om deze kloof te overbruggen door informatie van alle kanten van de IT-infrastructuur van een onderneming met elkaar te verbinden.
Het werd toen buitengewoon belangrijk om ook een machine learning-engine toe te voegen die deze enorme toename aan ruwe data kan correleren om te verifiëren dat alleen significante gebeurtenissen onder de aandacht van een analist worden gebracht, zodat deze niet wordt overspoeld met waarschuwingen waarop geen actie kan worden ondernomen of die irrelevant zijn. De "X" in XDR is de sleutel tot deze filosofie van uitbreiding van detectie en respons naar elke IT-operatie, en om dit te demonstreren heeft Palo Alto Networks een visiekaart gemaakt van hoe XDR tot stand is gekomen en waar het volgens hen in de toekomst naar toe zal groeien.
Waarom is XDR belangrijk in cybersecurity?
De overgang van gescheiden datasets voor endpoints, netwerken en bedreigingen naar een overzicht dat al deze gegevens, en nog veel meer, samenbrengt in één enkel platform, zorgt voor een fundamentele verschuiving in de manier waarop ondernemingen inzicht kunnen krijgen in hun volledige beveiligingsactiviteiten en IT-footprint. Eén overzicht voor alles vermindert gemiste belangrijke gebeurtenissen, valse positieven en negatieven door gebrek aan context, vaardigheidsbarrières, handmatige aggregatie en rapportage. Al deze gecombineerde datasets die worden geanalyseerd door systemen voor machinaal leren hebben al voor een transformatie gezorgd in de manier waarop bedrijven kunnen omgaan met de verschuiving in cybercriminaliteit, die toeneemt van individuele "hacktivisten" naar bedrijven op zich, naar operators op het niveau van natiestaten en alle steeds complexere aanvallen die u kunt verwachten als gevolg van deze evolutie.
Wat is de kwestie rond XDR?
Als we kijken naar hoe de markt heeft gereageerd op het idee van XDR, zien we dat veel leveranciers de term met tegenzin overnemen, terwijl ze zo hard mogelijk proberen om hun EDR- of NDR/NTA-producten als XDR te laten doorgaan. Meerdere leveranciers hebben hun UI/UX opnieuw ontworpen zodat alle informatie wordt gepresenteerd als een "unified single source " zonder de onderliggende toepassing te wijzigen om data van alle bronnen correct op te nemen, en tonen alleen de gesegmenteerde datastromen in één weergave. Er zijn ook nieuwe spelers bijgekomen die zich richten op het verkrijgen van diepgaand inzicht, maar die niet alle verschillende soorten apparatuur in een IT-infrastructuur kunnen overzien, waardoor er gaten vallen in wat ze zelfs maar kunnen presenteren. Tot slot, en dit is het meest schrijnend, zien we een gebrek aan automatisering via machine learning, waardoor bedrijven blijven zitten met een stortvloed aan waarschuwingen die niet de juiste aandacht kunnen krijgen, of data die onvolledig zijn, zodat een analist geen inzicht heeft in de volledige keten van gebeurtenissen die tot een incident hebben geleid.
Wat moeten executives overwegen bij de adoptie van XDR?
Het concept van XDR richt zich op twee belangrijke onderwerpen die fundamenteel met elkaar verweven moeten zijn: 1) Alle datastromen moeten worden samengebracht en gecorreleerd tot één enkele analyse van een gebeurtenis, en 2) Er moet een systeem bestaan om automatisch de ernst van een gebeurtenis te bepalen en of het een incident is dat verder onderzoek door een analist vereist. Geen van beide mag ontbreken, en ze moeten in tandem samenwerken wil een bedrijf succes boeken in de huidige verdedigingsprogramma's voor cyberbeveiliging.