Понимание различий между EDR, NDR, TDR, XDR и MDR

Узнайте о ключевых различиях между современными решениями для обнаружения и реагирования, чтобы понять, какое из них подходит вашей организации.

Содержание

Введение
Что такое EDR?
Что такое NDR?
Что такое XDR?
Что такое MDR?
Заключение

Введение

Мир кибербезопасности не испытывает недостатка в аббревиатурах. Будь то протоколы и стандарты или инструменты и технологии, на рынке доминирует бесконечное множество заглавных букв. В последние годы, по мере развития технологий и субъектов угроз, все больше решений получают аббревиатуры «D» и «R», означающие «обнаружение и реагирование».

Эта адаптация была вызвана постоянно меняющимся ландшафтом угроз, когда для большинства организаций вторжение в систему кибербезопасности теперь является вопросом «когда», а не «если». Способность обнаруживать и оперативно реагировать на такие инциденты до того, как они перерастут в полноценные нарушения, может предотвратить дорогостоящие простои, утечку данных, ущерб репутации и многое другое.

Существует множество типов решений, направленных на обнаружение и реагирование на широкий спектр угроз с использованием различных методов, часто с помощью машинного обучения (ML) и искусственного интеллекта (AI). Однако сфера применения каждого решения для обнаружения и реагирования может быть разной. Понимание того, чем отличаются эти решения для обнаружения и реагирования, поможет вашей организации сделать правильные инвестиции для достижения целей безопасности и бизнеса и лучше защитить свою среду в условиях развивающегося ландшафта угроз.

Что такое EDR?

Система обнаружения и реагирования на конечные точки (EDR) осуществляет мониторинг конечных точек в расширенной ИТ-среде организации с целью выявления и устранения аномальной активности и потенциальных угроз для конечных точек из внутренних или внешних источников. Система EDR предназначена для активной защиты конечных точек, выявляя известные и необычные события и облегчая последующие действия, такие как автоматическое или управляемое расследование и устранение последствий.

Используя интегрированную технологию мониторинга, решения EDR не только обнаруживают угрозы, но и обеспечивают видимость поведения конечных точек. EDR работает с помощью программного обеспечения-агента, которое устанавливается на конечные точки в организации и регистрирует активность, происходящую на них.

Преимущества EDR

Поскольку конечная точка является основополагающим компонентом любой ИТ-среды, EDR дает множество преимуществ командам безопасности, стремящимся усилить поверхность атаки и быстрее и раньше обнаруживать потенциальные угрозы.

К преимуществам EDR относятся:

Поведенческое обнаружение: В отличие от инструментов, которые отслеживают только известные угрозы, EDR может помочь организациям обнаружить подозрительные действия, которые могут указывать на неизвестный тип угрозы, с помощью механизма поведенческого обнаружения.
Предотвращение латерального перемещения/эскалации угроз: EDR помогает командам безопасности обнаруживать угрозы на ранних стадиях, часто до того, как субъект угрозы успеет переместиться с конечной точки в другие части среды. Благодаря автоматизированным действиям или при содействии команды безопасности угрозы на конечных точках можно быстро изолировать, что позволяет предотвратить их дальнейшее распространение.
Контекстуализация: EDR может предоставить больше контекста угрозы или инцидента, чтобы команды безопасности могли адаптировать свои ответные действия и применять проактивные меры безопасности после инцидента.
Скорость устранения: EDR, благодаря оповещениям и автоматизированному устранению последствий, помогает ускорить расследование нарушений и ограничить потенциальный ущерб от инцидента.

Проблемы EDR

У злоумышленников есть множество способов запуска и осуществления атак, многие из которых не связаны с непосредственным компрометацией конечной точки. Поэтому, если при обнаружении угроз полагаться исключительно или преимущественно на EDR, это может привести к образованию брешей в системе защиты организации.

К проблемам EDR относятся:

Ограниченные возможности мониторинга: Хотя конечные точки являются важной частью среды организации, они не единственная цель для злоумышленников, особенно на ранних стадиях атаки. На самом деле, незащищенный протокол удаленного рабочего стола (RDP) и скомпрометированные учетные данные VPN являются основными причинами случаев заражения вымогательским ПО. Обе эти причины основаны на приложениях, а не на конечных устройствах, что подчеркивает, как злоумышленники могут обойти обнаружение EDR, чтобы получить первоначальный доступ.
Ограниченная видимость: EDR обеспечивает команде безопасности видимость только конечной точки и часто отдает приоритет собственной телеметрии для обнаружения угроз. Это не означает, что видимость конечной точки не является ценной, но она должна быть одним из многих источников, которые отслеживают команды безопасности (или решения безопасности). Корреляция нескольких источников телеметрии для обеспечения широкой видимости может снизить уровень шума при оповещении и привести к более раннему и точному обнаружению.
EDR - это инструмент: Как и другие инструменты безопасности, EDR не решает общие проблемы команд безопасности, включая нехватку персонала, отсутствие опыта, невозможность точной настройки инструментов и неспособность реагировать на угрозы 24×7. Установка, настройка и последовательная корректировка решений EDR требует времени, бюджета и знаний, которыми организации могут не располагать.

Что такое NDR?

Сетевое обнаружение и реагирование (NDR) направляет свои возможности обнаружения на данные, наблюдаемые из сетевого трафика, проходящего через организацию. Поставщики NDR могут использовать различные подходы к наблюдению и анализу этого трафика, но в целом решения NDR основаны на сетевых сенсорах. Обычно это физическое сетевое устройство, виртуальное устройство или их комбинация, которые размещаются «на одной линии» с сетью - по сути, наблюдая за потоками сетевого трафика, направляющимися к месту назначения, - или в зеркальной конфигурации, где трафик копируется и передается на датчик для анализа.

Вместо того чтобы обнаруживать угрозы на основе необычных процессов конечных точек или отдельных событий, как в случае с EDR, NDR ищет потенциальные угрозы на основе аномалий в сетевых потоках, таких как неавторизованные или необычные протоколы, использование портов, неправильно сформированные пакеты, странные сроки и размеры передачи и т. д. Автоматические действия NDR часто включают в себя запуск оповещений, отбрасывание пакетов, помещение устройства в карантин и создание доказательной базы.

Преимущества NDR

Поскольку сеть организации часто бывает сложной, способность обнаруживать необычное поведение в ней может существенно изменить ситуацию при реагировании на угрозы.

Преимущества NDR включают:

NDR не требует развертывания агента конечной точки или его подключения к каждой конечной точке: Это делает NDR идеальным решением для более сложных сред, где угрозы чаще всего возникают за пределами конечной точки, или организация имеет критическую массу конечных точек, на которых невозможно установить EDR, например устройства Интернета вещей (IoT) или операционных технологий (OT).
NDR может реагировать на неавторизованные устройства: Если злоумышленник подключает неавторизованное устройство к сети организации, решения NDR могут обнаружить это по новому потоку трафика, что приведет к оповещению и даже автоматическому реагированию.
Широкая видимость сети: В то время как EDR ограничивается конечной точкой, NDR охватывает всю сеть, обеспечивая более широкую видимость действий, которые злоумышленник может выполнять в сети во время инцидента, включая разведку или обнаружение, которые могут быть предвестниками более сложных атак.
Более раннее реагирование на угрозы: Вторжения могут начинаться с обнаружения действий в сети, которые решение NDR может обнаружить, а EDR - нет. Способность разрабатывать тенденции на основе широкого спектра активности в корпоративной сети может дать организации возможность раньше выявить злонамеренные действия, которые EDR часто не может определить.

Проблемы NDR

Как и EDR, NDR работает только в пределах сети организации, что создает ряд недостатков.

К проблемам NDR относятся:

Границы сети могут быть изменчивы: гибридные модели работы размыли границы традиционных границ сети, что означает, что трафик может генерироваться за пределами четко определенной сети. Это ограничивает видимость и последующую эффективность NDR.
NDR не может контролировать конечные точки: Некоторые атаки начинаются с конечных точек, а видимость NDR ограничена сетью, то есть действия, происходящие на конечных точках, находятся вне зоны действия решения. То же самое касается телеметрии идентификационных данных или облачных вычислений. Такая ограниченность означает, что важные предвестники атак могут остаться незамеченными.
Сложность эксплуатации и потенциальные ложные срабатывания: Если сеть организации увеличивается в размерах и усложняется по мере расширения бизнеса, то и решение NDR должно расти: как минимум, это означает добавление новых датчиков, а обычно еще и обновление лицензий на программное обеспечение. Впоследствии обслуживание инструмента по мере адаптации сети может оказаться сложным и дорогостоящим, а расширение сети может привести к большому количеству ложных срабатываний или шума от трафика, или, наоборот, к пробелам в покрытии, если рост сети тщательно не контролируется.

Что такое XDR?

Расширенное обнаружение и реагирование (XDR) - это растущая гибридная технология, которая предлагает единую унифицированную платформу для обнаружения угроз и реагирования на них, обеспечивая консолидацию, корреляцию и контекстуализацию данных и инструментов.

XDR - это инструмент, часто связанный с инструментом EDR, предназначенный для корреляции сигналов из различных источников телеметрии в ИТ-системе и обеспечения единого, скоординированного обнаружения, расследования и реагирования на угрозы. XDR решает проблему, связанную с тем, что многие кибератаки зарождаются в других частях среды организации, например в облаке или в источниках идентификации. Такая общая привязка к конечной точке означает, что, хотя XDR может применять обнаружение не только из одного источника и выходить за рамки разрозненных средств обнаружения и реагирования, основным направлением работы этого инструмента часто является интеграция с EDR или EPP.

Открытый XDR в сравнении с закрытым XDR

Прежде чем рассматривать преимущества и проблемы, связанные с развертыванием и поддержкой платформы XDR, важно отметить, что существует два основных вида платформ XDR: открытая XDR и нативная XDR. Обе они принимают множество источников телеметрии из технологического стека и среды организации, но с оговоркой. Если инструмент открытый, то он позволяет получать телеметрию из сторонних инструментов. Если инструмент «родной», также называемый закрытым XDR, то интеграция и последующее получение телеметрии ограничены другими инструментами только от того же поставщика, что и инструмент XDR. Иногда поставщики «родного» XDR разрешают интеграцию с инструментами сторонних производителей, но только за дополнительную плату.

Преимущества XDR

Решение XDR было специально разработано для консолидации телеметрии, обеспечения более широкой видимости и снижения количества ложных срабатываний, что упрощает и ускоряет процесс обнаружения и анализа угроз в организации.

Преимущества XDR включают:

Оптимизированная и консолидированная видимость: XDR не только использует многочисленные источники телеметрии, но и собирает данные и представляет их через единое стекло, позволяя командам безопасности рассматривать свои среды и обнаружения через целостную призму.
Коррелированная телеметрия: Расширяя охват за пределы конечной точки, XDR может коррелировать данные из нескольких источников, что позволяет получать более точные и действенные предупреждения, дающие более четкое представление о том, что происходит в сети организации, часто одновременно.
Сокращение числа ложных срабатываний: Два вышеупомянутых преимущества - оптимизированная видимость и коррелированная телеметрия - повышают уровень доверия к обнаружениям, что приводит к снижению числа ложных срабатываний, а это, в свою очередь, снижает усталость от оповещений, позволяя командам безопасности лучше понимать свою среду и работать более эффективно.
Более быстрое реагирование на оповещения: Благодаря меньшему количеству ложных срабатываний, а также возможности проведения расследования и принятия мер по устранению последствий через единый интерфейс, команды безопасности, использующие XDR, часто могут реагировать на оповещения быстрее и более тщательно, что позволяет предотвратить перерастание инцидентов в полномасштабные нарушения.

Что такое MDR?

MDR - это решение для обнаружения и реагирования, которое объединяет человеческие усилия и опыт с единой платформой. Цель состоит в том, чтобы обеспечить такую же глубокую корреляцию и контекстуализацию обнаружений, как и в инструментах управления информацией о безопасности и событиями (SIEM), но дополнить ее непрерывным мониторингом, опытным исследованием угроз и быстрым реагированием с помощью надежного подхода к управляемым услугам.

Решения MDR обеспечивают круглосуточное присутствие аналитиков, что позволяет организациям лучше отслеживать, обнаруживать и реагировать на угрозы в нерабочее время, не требуя дополнительных сотрудников службы безопасности или собственных специалистов. Хотя этот фактор делает MDR подходом к обнаружению и реагированию с помощью управляемых услуг, некоторые решения MDR в большей степени ориентированы на продукты, где управляемые услуги предлагаются поверх инструментов. Другие ориентированы на предоставление услуг, предлагая обнаружение и мониторинг существующего стека безопасности. Однако главной особенностью любого решения MDR является человеческий фактор.

Преимущества MDR

Наличие дополнительных специалистов дает целый ряд преимуществ, особенно для организаций, у которых может не хватить бюджета или персонала для обеспечения безопасности собственными силами.

К преимуществам MDR относятся:

Широкий обзор: Решения MDR часто работают с существующим технологическим стеком организации для обнаружения и профилирования активов, а также сбора данных и наблюдений за событиями безопасности из различных источников телеметрии.
Постоянный мониторинг и реагирование: Решения MDR обеспечивают мониторинг в режиме 24×7 с участием команды специалистов, которые могут реагировать на потенциальные угрозы по мере их возникновения, даже в нерабочее время или в выходные дни, когда внутренняя служба безопасности может быть не укомплектована или недоступна.
Направленное исправление ситуации: Персонал MDR будет работать с командами безопасности организации над быстрым расследованием угроз и их устранением, обеспечивая скорость, компетентность и эффективность процесса реагирования.
Более эффективное использование технологий: наличие встроенной команды экспертов не только избавит внутренние службы безопасности от необходимости настраивать и поддерживать свои средства обнаружения и реагирования, но и позволит команде MDR оптимизировать эти средства, повышая общий уровень безопасности.

Проблемы MDR

Человеческий фактор может быть обоюдоострым мечом в мире кибербезопасности. Полагаясь на третью сторону в вопросах обеспечения безопасности вашей организации, вы получаете не только преимущества, но и проблемы.

К недостаткам MDR относятся:

Ограничения по охвату и масштабу: Поставщик, продающий MDR, может делать это только по названию; когда дело доходит до охвата и масштаба, определенные аспекты сети исключаются или становятся неприоритетными. Кроме того, решение может не интегрироваться с некоторыми частями существующего технологического стека организации, что потребует ситуации «взять и заменить» для более широкого охвата.
Различные возможности реагирования: Организациям следует внимательно изучить, как поставщик MDR реагирует на обнаруженные им угрозы и какие действия он может предпринять. У разных провайдеров это может быть по-разному, что может повлиять на результаты обеспечения безопасности, например, какие действия автоматизированы или предварительно одобрены и что именно подразумевается под «оповещением», особенно если это происходит в нерабочее время.
Несоответствие экспертным знаниям, предоставляемым человеческим фактором: Хотя MDR предлагает управляемый человеческий фактор, его объем может варьироваться в зависимости от поставщика. Есть ли в компании специалисты по безопасности, хорошо знающие вашу среду? Как вы будете с ними общаться? Каков общий объем управления? Ответы на эти вопросы могут варьироваться в зависимости от поставщика и контракта, и их следует рассмотреть до развертывания решения MDR.

Заключение

Каждой организации необходимо решение для обнаружения и реагирования на угрозы кибербезопасности, но единого варианта для каждой организации не существует. Выбор зависит от таких факторов, как уровень зрелости системы безопасности, цели безопасности, потребности бизнеса, бюджет и многое другое.