Konsultacja

Czym jest XDR?

utworzone przez | sty 9, 2026

()

Historia 

Cały świat informatyczny rozwija się w błyskawicznym tempie. 

Wraz z nim równie dynamicznie rozwija się jedna z jego dziedzin: cyberbezpieczeństwo. To właśnie ten dział informatyki jest odpowiedzialny za tworzenie i używanie rozmaitych programów. Narzędzia te można podzielić na dwie główne grupy: 

  1. ofensywne – to takie, które służą do działań ofensywnych, czyli włamań do systemów, programów, 
  1. defensywne – to takie, które mają za zadanie neutralizowanie działań tych pierwszych. 

Źródło: https://pixabay.com/pl/photos/sfinks-piramidy-historyczny-egipt-350458/ 

Pierwsze podejmowane próby odnośnie zapewnienia ochrony dotyczyły głównie systemów operacyjnych, ale z biegiem czasu rozszerzano je również na kolejne elementy, na przykład infrastrukturę sieciową. Działania te można by określić jako nieporadne. Poziom techniczny stosowanych wówczas rozwiązań był również daleki od ideału. Jednakże starano się podejmować wszystkie niezbędne czynności, aby sprostać zagrożeniom i zapewnić bezpieczeństwo.  

W znakomitej większości działania te polegały na ochronie lokalnej. Poszczególnym punktom, które mogły stać się celem ataku, na przykład serwerom, jednostkom centralnym, switchom i tym podobnym zapewniano ochronę na poziomie indywidualnym. Oczywiście stosuję w tym przypadku uogólnienie, ponieważ już wtedy istniały ochrony opierające się na innych zasadach. Jednak nie były one zbytnio popularne.  

Tak więc w początkowym okresie informatyzacji obrona w głównej mierze polegała na izolacji. Można by ją określić nawet jako strategię obrony izolowanej. W zastosowaniach domowych oraz małych firm takie podejście nawet współcześnie zdaje się być w zupełności wystarczającym zachowaniem i jest bardzo często stosowane.  

Najgorsze w tym wszystkim jest to, że prawdopodobnie nigdy nie uda się osiągnąć ideału w postaci 100% bezpieczeństwa. Można jedynie próbować dojść do tego celu. 

Rozwój 

Źródło: https://pixabay.com/pl/photos/ewolucja-rozw%c3%b3j-przysz%c5%82y-ma%c5%82pa-4107273/ 

W przypadku dużych środowisk informatycznych sprawa wyglądała inaczej. Taktyka obrony izolowanej okazała się zdecydowanie niewystarczająca. Cała „zabawa” z cyberbezpieczeństwem polega na tym, że osoby, które usiłują uzyskać nieautoryzowany dostęp, skupiają się na wyszukiwaniu coraz to nowych wektorów i technik ataku. Natomiast specjaliści od spraw cyberbezpieczeństwa szukają sposobów, aby je uniemożliwić i zablokować.  

To właśnie z tego powodu atakujący znajdują się zawsze o kilka kroków przed broniącymi, co stawia ich w uprzywilejowanej pozycji.  

Dlatego też stopniowo okazywało się, że ochrona izolowana spełnia swoją funkcję idealnie, ale tylko w przypadku sieci domowych lub mniejszych firm. Są one bowiem zdecydowanie rzadziej celami ataków hackerskich.  

Natomiast w przypadku większych sieci, które chronione były przy pomocy wielu różnych narzędzi, a także zdecydowanie częściej znajdowały się na celowniku ataków, okazywała się niewystarczająca. Nie zapewnia ona bowiem takiej elastyczności i czasu reakcji, jaki jest wymagany w tym przypadku. Stopniowo zaczęły więc powstawać bardziej złożone systemy, które wykorzystuje się do działań obronnych.  

Z takiego właśnie powodu pojawiły się między innymi systemy klasy EDR lub SIEM. Funkcjonują one również dzisiaj. Jednakże z biegiem czasu i rozwoju technik ofensywnych wciąż szukano coraz bardziej efektywnych rozwiązań. Tak więc próbowano jeszcze bardziej zintegrować i zautomatyzować działania, które związane są z cyberbezpieczeństwem.  

W końcu ciągły rozwój wraz z popularyzacją rozwiązań AI doprowadził do powstania platform typu XDR. Szczególnie mocno przyczyniła się do jego rozwoju firma o nazwie Palo Alto. To właśnie jej pracownik stworzył nazwę dla tej nowej technologii. 

Co to jest XDR?

Źródło: https://pixabay.com/pl/photos/lew-zwierz%c4%99-drapie%c5%bcnik-du%c5%bcy-kot-565818/ 

Podejście do sprawy cyberbezpieczeństwa, które reprezentują platformy typu XDR jest całkowitą nowością w porównaniu do istniejących wcześniej na rynku rozwiązań. Czymże jest więc owa nowość? Najpierw jednak skupię się na samym nazewnictwie. 

XDR często określany jest jako program. Jednak wydaje się, że to określenie jest błędne, ponieważ jest ono mocno zawężające. Natomiast technologia ta patrzy na zagadnienie cyberbezpieczeństwa w sposób całościowy. Dlatego też zdecydowanie bardziej właściwe jest używanie w stosunku do niej określenia platformy, a nie tylko programu. 

Extended Detection and Response integruje dane z różnych dostępnych narzędzi i warstw ochrony pracujących w całej sieci. Dzięki takiemu zabiegowi powstaje platforma, która obejmuje swoim zasięgiem wszystkie dostępne usługi. Mogą to być na przykład punkty końcowe, poczta elektroniczna, usługi chmurowe, infrastruktura sieciowa.  

Elementy poddane ochronie mogą być dowolnie rozszerzane w zależności od potrzeb, na przykład choćby o urządzenia mobilne lub inne dowolne urządzenia elektroniczne. Wszystkie zebrane informacje uzyskane ze wszelkich stosów informacyjnych wyświetlane są w jednym miejscu – na ekranie monitora. 

W działaniach XDR bardzo duże znaczenie ma sztuczna inteligencja. Platformy tego typu posiadają szerokie wsparcie AI oraz umiejętność uczenia maszynowego. Zapewnia to im znacznie większą elastyczność oraz możliwość reagowania na incydenty, które nie są jeszcze  aktualnie znane, ale wykazują cechy, przez które należy uznać je za zagrożenie.  

Sztuczna inteligencja pełni również funkcję swoistego rodzaju filtra alertów. Tych, ze względu na zwykle olbrzymie strumienie danych jest dość spora ilość, a nie każdy z nich oznacza zagrożenie. 

Ze specyfikacji XDR niestety nie wynika konieczność obowiązkowego wsparcia przez AI oraz narzędzi do uczenia maszynowego. Decydując się na implementację tego rozwiązania, należy zwrócić uwagę na ten niezwykle ważny aspekt, ponieważ brak tych dwóch elementów nie przynosi pozytywnych efektów. Wręcz przeciwnie – wynik będzie odwrotny od zamierzonego i takie rozwiązanie traci wtedy rację bytu. Tak więc używanie platform bez tych dwóch elementów jest mocno niezalecane. 

Według dostępnych badań średniej wielkości przedsiębiorstwo używa obecnie aż 75 rozmaitych rozwiązań z zakresu cyberbezpieczeństwa. Tak duża ilość narzędzi powoduje generowanie olbrzymich ilości alertów i ostrzeżeń, z których znaczna część jest fałszywa. Ich nadmiar wpływa negatywnie na wydajność pracy i czas reakcji na poszczególne zdarzenia. 

Konieczność analizy i weryfikacji każdego z nich powoduje znaczne obciążenie pracą specjalistów od spraw cyberbezpieczeństwa. Wpływa również na możliwość potencjalnego pominięcia zdarzeń krytycznych. Dodatkowo wpływa na wydłużenie czasu niezbędnego do reakcji na zdarzenia krytyczne lub takie, które są rzeczywiście zagrożeniem. 

Utworzenie jednolitej platformy, która obejmuje swoim zasięgiem całą infrastrukturę sieciową powoduje, że wszelkie informacje spływają do jednego centralnego miejsca i wyświetlane są na monitorze. Samo w sobie nie jest to jakieś rewolucyjne rozwiązanie. Jednakże mechanizmy zaimplementowane w XDR wykorzystując wsparcie AI oraz uczenia maszynowego są w stanie oddzielić fałszywe alarmy od tych, które mogą skutkować prawdziwymi zagrożeniami.  

Dodatkowo wsparcie takie zapewnia skuteczną ochronę przed atakami zero-day czy też wyrafinowanymi, skoordynowanymi atakami. Prowadzi to do większej elastyczności i kontroli nad całym środowiskiem.  

Kluczowe funkcje XDR 

Źródło: https://pixabay.com/pl/illustrations/chmura-s%c5%82%c3%b3w-chmura-chmura-tag%c3%b3w-679917/ 

Posiadane przez platformę XDR funkcje zapewniają wielowymiarowy wpływ na bezpieczeństwo. Skupiają się one nie tylko na wzroście zabezpieczeń obsługiwanych środowisk, ale również w znacznym stopniu przyczyniają się do poprawy komfortu pracy. To niezwykle istotny aspekt dla osób zajmujących się cyberbezpieczeństwem. Wpływa on w sposób istotny na możliwie bezproblemowe funkcjonowania firm. Zmotywowany i zaangażowany pracownik jest jedną z największych wartości w przedsiębiorstwie. 

Z technicznego punkt widzenia XDR posiada dużą ilość niezwykle ciekawych rozwiązań. Wpływają one na pracę całego środowiska informatycznego. Do najważniejszych z nich należą: 

  1. Automatyzacja pracy –  automatyczne reagowanie na incydenty poprzez przerwanie ataku, złośliwych procesów lub izolowanie zainfekowanych urządzeń. 
  1. Naprawa – funkcja przywracania umożliwia odtworzenie zasobów uszkodzonych przez ransomware lub phishing. 
  1. Holistyczne podejście – XDR koreluje ze sobą alerty i incydenty, zapewniając specjalistom od spraw cyberbezpieczeństwa pełny dostęp do potrzebnych informacji. 
  1. Efektywność ochrony – informacje zbierane są z całego środowiska i korelowane ze sobą. Dzięki temu ich skuteczność jest zdecydowanie wyższa niż w przypadku obrony izolowanej. 
  1. Sztuczna inteligencja – monitorowanie, ostrzeganie i nadzór nad działaniami naprawczymi oraz defensywnymi. 
  1. Uczenie maszynowe – służy do tworzenia profili, których zachowanie budzi podejrzenia. Profile te następnie mogą być analizowane przez specjalistów. 
  1. Scenariusze i automatyzacja – reagowanie w określony sposób na przewidziane wcześniej i opisane zachowania. Podjęte działania mogą mieć rozmaity charakter. 

Korzyści z wdrożenia XDR 

Źródło: https://pixabay.com/pl/illustrations/biznesmen-sukces-r%c4%99ka-napisa%c4%87-2245098/ 

Zwykle wdrożenia nowoczesnych platform lub oprogramowań przynoszą znaczne korzyści. Szczególnie dużo dają, jeśli dotyczą bezpieczeństwa informatycznego. Nie inaczej jest w przypadku XDR. Platforma ta oferuje szereg rozwiązań, obok których trudno jest przejść obojętnie. 

Przede wszystkim zapewnia unifikację strumienia danych z wielu źródeł. XDR został zaprojektowany do przetwarzania olbrzymich ilości danych. Dlatego też bez problemu obsługuje równocześnie wiele usług. I tak na przykład może jednocześnie pracować z usługami chmurowymi, domenami, e-mailami, endpointami, sieciami, aplikacjami, a także z  każdym innym urządzeniem, które do niego podłączymy. Taka integracja danych powoduje, że wiele zagrożeń, które mogłyby być niezauważone przez pojedyncze systemy, w tym wypadku zostaną przechwycone i zneutralizowane.  

Dzięki korelacji alertów, wsparciu AI i uczenia maszynowego następuje znacząca redukcja liczby fałszywych ostrzeżeń. Ilość wychwytywanych i początkowo rozpoznanych jako zagrożenie alertów po przeanalizowaniu przez XDR zostaje zredukowana o 90% – 95%. Dzięki takiej oszczędności do pracownika dbającego o bezpieczeństwo infrastruktury trafiają tylko te zgłoszenia, które stanowią realne zagrożenie.  

Kolejnym niezwykle istotnym elementem są scenariusze zdarzeń i automatyzacja. Mają one znaczny wpływ na skracanie średniego czasu reakcji na incydenty MTTR (Mean Time To Respond) w zakresie aż 60% – 80%. Jak widać, są to naprawdę imponujące liczby.  

Tak znaczna redukcja wpływa na zespoły SOC, odciążając je w znacznym stopniu. Umożliwia im jednocześnie na zajęcie się incydentami krytycznymi. Incydenty te na podstawie kluczowych standardów branżowych oraz wytycznych obowiązujących w przedsiębiorstwach samodzielnie wskazuje pracownikom do spraw cyberbezpieczeństwa XDR-y. 

Platforma XDR również znacznie skraca czas przygotowywania raportów bezpieczeństwa, gromadząc wszystkie logi w scentralizowanym repozytorium i eliminując potrzebę ręcznego przeszukiwania rozproszonych narzędzi.  

Rozwiązanie automatycznie przetwarza dane z wielu źródeł, tworząc gotowe raporty zgodności z przepisami takimi jak RODO (GDPR), HIPAA czy PCI-DSS – w tym rejestry audytowe dostępu do danych osobowych, ochronę informacji wrażliwych czy wymogi płatnicze – bez tworzenia dedykowanych skryptów. Dzięki temu unika się fragmentacji informacji i procesy raportowania trwają minuty zamiast godzin. 

Scenariusze i automatyzacja 

Źródło: https://pixabay.com/pl/photos/kod-kodowanie-komputer-dane-rozw%c3%b3j-1839406/ 

Podczas pracy z systemem XDR istnieje możliwość tworzenia scenariuszy. Służą one następnie do wywoływania automatycznej odpowiedniej reakcji w zależności od aktualnej sytuacji. Scenariusze takie mogą zawierać całe spektrum działań, jakie ma podjąć platforma. Mogą one obejmować reakcje automatyczne, półautomatyczne jak i manualne.  

Do najbardziej popularnych scenariuszy należą: 

Działania automatyczne:  

  1.  Usunięcie złośliwego oprogramowania poprzez usunięcie lub poddanie kwarantannie złośliwego procesu, lub pliku. 
  1. Izolacja zainfekowanego urządzenia, czyli odłączenie go od sieci i uniemożliwienie uzyskania ponownego dostępu. 
  1. Zablokowanie złośliwej aktywności w postaci podejrzanych procesów, plików lub połączeń sieciowych na wielu poziomach (punktach końcowych, infrastruktury sieciowej, chmury, itp.). 

Działania półautomatyczne: 

  1. Aktywowanie planu awaryjnego polegającego na uruchomieniu zdefiniowanych wcześniej taktyk. Procedurami takimi mogą być na przykład:  
    wyłączenie serwerów,  
    odtworzenie kopii zapasowych, 
    blokada kont użytkowników. 

Działania manualne: 

  1. Powiadomienie zespołu bezpieczeństwa o zdarzeniu, po czym poinformowana grupa pracowników samodzielnie podejmuje dalsze działania i decyduje o odpowiednich krokach. 
  1. Analiza incydentu przez pracownika, polegająca na zbadaniu zebranych danych w celu identyfikacji zakresu zagrożenia oraz wywołanie odpowiednich działań. 

Automatyzacja całego procesu nadzorczego powoduje, że fałszywe alarmy są wstępnie odsiewane, dzięki czemu ogranicza się nadmiar spływających informacji. Natomiast działanie według zaplanowanych scenariuszy skraca czas reakcji oraz minimalizuje skutki ataków.  

Dodatkowo taktyki zawarte w scenariuszach w znacznym stopniu odciążają pracowników zajmujących się cyberbezpieczeństwem, dzięki czemu mogą oni skupić się tylko na najbardziej krytycznych i kluczowych działaniach. 

XDR kontra tradycyjne systemy bezpieczeństwa działające w izolacji 

Źródło: https://pixabay.com/pl/photos/ko%c5%82a-z%c4%99bate-trybiki-maszyna-1236578/ 

Tradycyjne podejście do zabezpieczania infrastruktury polega na ochronie poszczególnych elementów składowych infrastruktury sieciowej wraz z systemami komputerowymi.  

Platformy XDR dążą do takiego samego celu, stosując całkiem odmienne podejście do tego zadania. Wynika to z całkowicie innej filozofii, na jakiej obie grupy opierają swoje działanie.  

W przypadku platform XDR najważniejszą wartością dodatnią jest tworzenie korelacji pomiędzy pojawiającymi się alertami pochodzącymi z różnych stosów bezpieczeństwa. Jest to olbrzymia wartość tych systemów.  

Dzięki temu platformy XDR umożliwiają podejście holistyczne, czyli całościowe do problemu cyberbezpieczeństwa. Nie traktują poszczególnych elementów składowych systemów bezpieczeństwa architektury jako odrębnych, niezależnych od siebie części. Wręcz przeciwnie, każdy z nich jest tylko fragmentem większej całości obejmującej pełne środowisko.  

Dodatkowo wszystkie informacje są wyświetlane na jednym stanowisku pracy. Umożliwia to pracownikowi monitorującemu pracę infrastruktury natychmiastowy dostęp do wszystkich potrzebnych mu informacji.  

Problemy implementacyjne 

Źródło: https://pixabay.com/pl/photos/kabel-elektryczny-ba%c5%82agan-energia-2654084/ 

Niezwykle istotne jest to, aby pierwszym krokiem, który należy zrobić przed implementacją platformy było wykonanie bardzo dokładnej analizy. Powinna ona obejmować całość obecnie posiadanych systemów zabezpieczeń jak również to, co i w jaki sposób chcemy osiągnąć.  

Ta wstępna czynność jeśli jest wykonana w sposób prawidłowy, wyeliminuje większość kłopotów, z jakimi mogą spotkać się zespoły odpowiedzialne za cyberbezpieczeństwo pracujące na tej platformie. Tak więc to czynność wstępna jest w znakomitej większości odpowiedzialna za prawidłowe i właściwe funkcjonowanie całości. 

Umożliwi ona między innymi wybór jednego z dwóch dostępnych modeli implementacji XDR:  

– natywnego, 

– hybrydowego. 

Przyczyni się również do zawężenia lub całkowitego wyeliminowania mogących występować podczas pracy konfliktów. Na jej podstawie można stworzyć takie wymagania konfiguracyjne, które realnie odciążą pracowników, zwiększą ich efektywność pracy oraz bezpieczeństwo całej infrastruktury. Przyczyni się również do bezproblemowej skalowalności w przyszłości. 

Nie jest więc przesadne stwierdzenie, że problemy lub ich brak w funkcjonowaniu XDR swój początek mają właśnie w dokładnej analizie: 

– analizie wymagań, 

– analizie obecnej infrastruktury, 

– analizie celu, jaki chcemy osiągnąć. 

Rozwiązania implementacji XDR 

Źródło: https://pixabay.com/pl/photos/papier-drabina-niebieski-architekt-3152429/ 

W chwili obecnej istnieją dwa podejścia, czy też może raczej dwa sposoby implementacji rozwiązań XDR. Występujące pomiędzy nimi różnice są dość duże i rzutują na późniejszą pracę. Dlatego należy mieć na uwadze ten aspekt i być świadomym występujących różnic oraz skutków, jakie ze sobą niosą. 

Rozwiązania te nazywają się następująco: 

– natywny XDR, 

– open XDR. 

Natywny XDR 

Źródło: https://pixabay.com/pl/photos/wiking-wojownik-%c5%9bredniowieczny-7736851/ 

Natywny XDR jest jedną z dwóch opcji implementacyjnych tej platformy. Charakteryzuje się on tym, że produkt dostarczony przez producenta oprogramowania nie współpracuje z żadnymi innymi elementami odpowiedzialnymi za cyberbezpieczeństwo dostarczonymi przez innych producentów. Jest tylko jeden wyjątek od tej reguły – z jakichś powodów dostawca natywnego XDR dopuścił możliwość współpracy z oprogramowaniem innego producenta. 

Ten wyjątek jest jednak na tyle rzadki, że nawet nie do końca byłem przekonany czy go tu umieszczać. Skoro jednak taka możliwość istnieje, to dla naświetlenia całości sprawy, zdecydowałem się to zrobić. 

Takie podejście do tematu implementacji spowodowało pojawienie się określenia „natywny” w przypadku tego wdrożenia. Choć na pierwszy rzut oka wydawać by si mogło, że takie stanowisko ma same minusy, to jednak nie do końca okazuje się to prawdą. Ponieważ zwykle nie istnieją rozwiązania tylko dobre lub tylko złe, to również tak jak każde inne posiada zarówno plusy jak i minusy. Istotny jest cel, któremu ma służyć to wdrożenie. 

Z pewnością jednym z najważniejszych plusów jest fakt, że całe oprogramowanie odpowiadające za cyberbezpieczeństwo pochodzi od jednego producenta. Ten element wpływa na znaczne ułatwienie procesu zamawiania, zakupu, dostarczenia oraz wdrożenia całej platformy.  

Dzięki pochodzeniu od jednego dostawcy wszystkie elementy składowe są zoptymalizowane pod kątem współpracy pomiędzy sobą. Zapewnia to prostszą i szybszą implementację, jak również minimalizuje potencjalne problemy z integracją pomiędzy elementami systemu. 

Także automatyzacja procesów nadzoru i reakcji na rozmaite pojawiające się zdarzenia jest mniej problematyczna. Unika się komplikacji oraz wystąpienia potencjalnego narażenia się na błędy wynikające ze współpracy wielu różnych elementów w ramach jednego systemu. 

Do niedogodności z pewnością należy zaliczyć uzależnienie się od jednego dostawcy oprogramowania. Jeżeli nie posiada on w swojej ofercie narzędzi, które kompleksowo pokrywają ochroną wszystkie możliwe wektory ataku, w systemie zabezpieczenia mogą pojawić się luki. Ze względu na specyfikę tej implementacji nie można zastosować do ich załatania środków pochodzących od innych dostawców. 

Open XDR 

Źródło: https://pixabay.com/pl/photos/u%c5%9bcisk-d%c5%82oni-umowa-biznes-4293865/ 

Open XDR często nazywany jest również hybrydowym XDR. Powodem tego jest to, że słowo „open” domyślnie sugeruje, iż jest to platforma otwarto źródłowa. Niestety nie do końca tak jest. Jest to bowiem tak samo płatne środowisko jak w przypadku natywnego XDR. Jednakże podejście do implementacji stosowane w tym przypadku jest całkowicie odmienne. 

Decydując się na zakup w ramach Open XDR kwestia posługiwania się oprogramowaniem zewnętrznych firm pozostaje otwarta. Nie ma bowiem przeciwwskazań do łączenia ze sobą rozmaitych narzędzi pochodzących od różnych dostawców oprogramowania. Open XDR integruje je ze sobą w jedną całość w ramach jednej platformy. 

Zalety takiego rozwiązania są oczywiste. Decydując się na wdrożenie Open XDR nie ma konieczności rezygnacji z rozwiązań, które obecnie funkcjonują w firmie. Można je bez problemu zintegrować i połączyć ze sobą w jedną całość. Jest to więc idealne rozwiązanie dla firm, które posiadają już narzędzia związane z bezpieczeństwem informatycznym i nie chcą ich zmieniać.  

W przypadku wyboru hybrydowego XDR firma nie jest również związana na przyszłość tylko i wyłącznie z jednym dostawcą. Zachowuje możliwość wyboru dowolnego narzędzia od dowolnego producenta w celu włączenia go do istniejącej infrastruktury odpowiadającej za cyberbezpieczeństwo. Może wykonać ten ruch w dowolnym momencie. Tak więc gdy dostrzeże, że jeden z potencjalnych wektorów ataku jest odkryty, może pokryć go dowolnym i odpowiadającym jej z różnych względów narzędziem pochodzącym od innego dostawcy. 

Hybrydowy XDR obarczony jest jednak pewnymi problemami. Jednym z najpoważniejszych może być kłopot z integracją z istniejącą infrastrukturą. Ze względu na brak standaryzacji, problemy te czasami mogą doprowadzić nawet do niemożności jakiejkolwiek integracji, co w takim wypadku  podważa zasadność takiej inwestycji. Wskazuje to jak ważny jest etap analizy przedzakupowej. 

Przykładowi dostawcy XDR 

Źródło: https://pixabay.com/pl/photos/konsultacji-edp-biznesmen-3031678/ 

Na rynku istnieje wielu producentów oferujących swoje platformy XDR. Różnią się oni pomiędzy sobą podejściem do modelu implementacji, skutecznością oraz ceną. Dlatego decydując się na zakup platform tego rodzaju, należy rozeznać się po dostępnych na rynku firmach i ich produktach. 

Do najbardziej znanych i popularnych należą: 

  1. SentinelOne (SentinelOne Singularity XDR), która jest dość ciekawą opcją. Jest to natywny XDR klasy Enterprise z mocnym komponentem EDR oraz automatyzacją. Jego główne przeznaczenie to praca w środowiskach średnich/dużych firm z kilkoma tysiącami końcówek, rozproszonymi oddziałami, w których występuje zarówno praca zdalna jak i lokalna.  
    Świetnie sprawdzi się w chmurze, serwerach on-prem jak i kontenerach. Bardzo dobrze pracuje w sieciach, gdzie panuje duży ruch związany z bezpieczeństwem. To właśnie tam dopiero pokaże swoją prawdziwą moc. 
  1. SentinelOne (Singularity Core) to odpowiednik platformy z punktu 1, ale o ograniczonych możliwościach. Jest to wersja bazowa, która charakteryzuje się w miarę prostym procesem wdrażania i dużą autonomią pracy. Świetnie sprawdzi się w mniejszych firmach, również ze względu na niższy koszt. Jest to silny EPP/EDR z dodatkowymi funkcjami i wsparciem AI. 
  1. Palo Alto Networks (Cortex XDR) – jest to rozwiązanie natywne. Aktywnie wykorzystuje AI do badania wzorców zachowań i odtwarzania sekwencji ataku. Umożliwia elastyczne skalowanie, aktywne poszukiwanie źródeł potencjalnych incydentów, pracę ze scenariuszami.  
    Cortex XDR to platforma, która jest dedykowana firmom, korzystającym z zapór sieciowych, usług chmurowych i innych narzędzi infrastruktury pochodzących z firmy Palo Alto. 
  1.  CrowdStrike (Falcon Insight XDR) – jest to kolejne natywne rozwiązanie. Charakteryzuje się lekkim agentem chmurowym. Posiada wsparcie AI oraz kontekst zgodny z frameworkiem MITRE ATT&CK, oparty na globalnej bazie Threat Graph. 
    Dzięki temu Falcon Insight XDR ułatwia to threat hunting i blokowanie zaawansowanych zagrożeń w czasie rzeczywistym. Jej grupą docelową są średnie i duże spółki stawiające na elastyczność. 
  1.  Microsoft (Defender XDR) – generalnie jest to platforma natywna, ale z elementami open co jest bardzo miłym aspektem. Posiada wsparcie AI, a także bezproblemowo współpracuje z Azure i Teams.  
    Defender XDR zapewnia automatyczną reakcję w chmurze Azure czy też korelację alertów z Defender for Endpoint. Alerty te działają natywnie bez dodatkowych wtyczek, ponieważ jest to zintegrowany stack SaaS. Jest on w pełni skalowalny w środowiskach Microsoft 365.  
    Natomiast Unified RBAC i UEBA są modułami wbudowanymi.  Przyczyniają się do zmniejszenia pracy potrzebnej do konfiguracji.  
    Defender XDR wspiera środowiska oparte na narzędziach Microsoftu.   
  1.  Check Point (Infinity XDR/XPR)to rozwiązanie natywne, obejmujące endpointy, sieć i chmurę. Posiada wsparcie AI.  
    Platforma Infinity XDR/XPR powstała z myślą o środowiskach hybrydowych, dzięki czemu dobrze sprawdza się w klasycznych sieciach on-premise, chmurach publicznych i prywatnych.  
    Check Point Infinity XDR/XPR wspiera model Zero Trust, wymuszając weryfikację użytkowników i urządzeń na każdym etapie dostępu do zasobów. 
  1.  Trend Micro (Vision One XDR) jest to open XDR. Posiada wsparcie AI. Natomiast moduł o nazwie Attack Surface Risk Management służy do identyfikacji i likwidacji luk w konfiguracjach, minimalizując powierzchnię ataku.  
    Vision One XDR ma możliwość pracy w środowiskach hybrydowych, dzięki czemu idealnie nadaje się dla firm z on-premise i chmurą AWS/Azure. Jego przeznaczeniem docelowym jest praca dla małych i średnich firm. 

Potencjalne ograniczenia 

Źródło: https://pixabay.com/pl/photos/przeszkoda-na-drodze-droga-453151/ 

Pomimo tego, że XDR jest bardzo wydajną platformą posiada jednocześnie  pewne ograniczenia, przez które nie może być uznany za panaceum na całe zło. Oprócz problemów wskazanych w poprzednim rozdziale istnieją jeszcze inne, o których nie wspomniałem wcześniej. Należą do nich: 

  1. Nadmierna automatyzacja – zbytnie poleganie na niej powoduje, że zaawansowane metody ataku, które dotychczas nie zostały zidentyfikowane, mogą spowodować powstanie luk. Co prawda AI może częściowo rozwiązać ten problem, ale nie jest to stuprocentowo pewne. 
  1. AI i uczenie maszynowe – stosowanie tych dwóch rozwiązań nie jest niestety wymagane. Wpływają one w sposób pozytywny na pracę, ale niestety nie są elementami obligatoryjnymi platform. Dlatego rozwiązania, które nie posiadają wsparcia tych narzędzi, są mniej skuteczne i efektywne. 
  1. Nadmiar danych – systemy XDR zbierają olbrzymie ilości danych, co powoduje generowanie dużych ilości alertów. Ich nadmiar czasami może przyczynić się do braku właściwej priorytetyzacji zagrożeń. 
  1. Złożoność – XDR nie jest prostą platformą, wręcz przeciwnie – jest to system dość złożony. Dlatego jego implementacja, a także właściwe utrzymanie wymaga prawidłowego planowania i odpowiednich zasobów. 

Jak widać na podstawie powyższej listy XDR nie jest narzędziem idealnym. Dlatego warto zdawać sobie sprawę z jego ograniczeń. Świadomość ta może pomóc w minimalizacji negatywnych konsekwencji, które mogę się pojawić podczas pracy z tą platformą. 

Do konsekwencji tych należą: 

  1. Opóźnione wykrycie i reakcja na incydenty. 
  1. Zwiększone obciążenie zespołów wynikające z ręcznej analizy alertów – jeśli XDR nie jest wspierany przez AI i uczenie maszynowe.   

Przyszłość 

Źródło: https://pixabay.com/pl/photos/cyfrowy-sztuka-sztuka-ai-cyber-8420361/ 

O przyszłości systemów XDR można by bardzo dużo napisać. Podejście do cyberbezpieczeństwa prezentowane przez XDR umożliwia holistyczne spojrzenie na bezpieczeństwo, wpływając dzięki temu na większy poziom zaufania. Bezdyskusyjnym faktem jest, że w obecnych czasach w połączeniu z innymi elementami zabezpieczającymi środowisko informatyczne jest to z pewnością narzędzie optymalne. Możliwość automatyzacji zadań, pracy z wykorzystaniem scenariuszy oraz przy wsparciu AI zapewnia bardzo wysoki poziom zabezpieczenia. Dodatkowo integracja danych pochodzących z wielu różnych źródeł w połączeniu z ich korelacją ze sobą oraz świadomością o dostępnych wektorach ataków wpływają na komfort pracy zespołów SOC. Ich pracownicy zostają odciążeni i z jednego stanowiska komputerowego mają kontrolę nad całą siecią zabezpieczenia przedsiębiorstwa. 

Podsumowanie 

Źródło: https://pixabay.com/pl/photos/ca%c5%82o%c5%9bciowe-zen-medytacja-s%c5%82owo-5570296/ 

Podejście XDR do zagadnienia cyberbezpieczeństwa jest podejściem holistycznym, całościowym. Już to jest swoistego rodzaju nowością, na którą należy zwrócić uwagę. Sama platforma XDR jest rozwiązaniem w pełni komplementarnym. Zarządzanie całą sferą bezpieczeńswa, która obejmuje wszystkie elementy infrastruktury z poziomu jednego miejsca, jest znacznym ułatwieniem. Skalowalność oraz automatyzacja czynności znacznie zwiększa komfort pracy i czas reakcji na incydenty. Dodatkowo platformy te zostały zaprojektowane z myślą o przetwarzaniu olbrzymich ilości danych. To właśnie dzięki temu są wręcz idealne do pracy w dużych i nowoczesnych środowiskach. Wsparcie, które jest zapewniane przez zaimplementowaną sztuczną inteligencję, uczenie maszynowe oraz samodzielna detekcja nowych i nieznanych jeszcze zagrożeń jest właśnie tym, co zapewnia platformom XDR popularność zastosowań. Tak więc wydaje się, że rozwiązania oparte na platformie XDR czeka świetlana przyszłość.  

Artykuł napisał dla Was mgr inż. Arkadiusz Kozub 

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *