Open XDR kumpara sa SIEM

Pagtutugma ng Mga Mapagkukunan at Panganib sa Negosyo gamit ang Tamang Solusyon

Pagkuha ng kakayahang makita at pagtugon sa mga pag-atake sa buong imprastraktura ng enterprise (mga endpoint, server, application, SaaS, cloud, mga gumagamit, atbp.) Ay isang napakataas na kaayusan sa kapaligiran ng cybersecurity ngayon. Pinilit ang mga negosyo na lumikha ng mga kumplikadong stack ng seguridad na binubuo ng SIEM, UEBA, SOAR, EDR, NDR, TIP at iba pang mga tool upang maabot ang hamong ito. Para sa maraming mga negosyo, SIEM ay ang pangunahing tool para sa pagsasama-sama at pag-aralan ang data mula sa imprastraktura. Halos kalahati ng mga negosyo ang nag-uulat na hindi sila nasiyahan sa kanilang SIEMs [1], ngunit lahat ng negosyo ay mabilis na ituturo ang dami ng kapital, oras at mga mapagkukunang ibinuhos nila sa paninindigan at pagpapanatili ng kanilang SIEMs. Open XDR ay umuusbong na bilang isang bagong diskarte sa pagtugon sa hamon ng pagkakaroon ng kakayahang makita at pagtugon sa mga pag-atake sa buong imprastraktura ng enterprise. Sa artikulong ito, titingnan natin kung paano Open XDR at SIEM masukat bilang mga solusyon sa seguridad.

Pagtukoy Open XDR

Tinutukoy ni Gartner XDR, o eXtended Detection and Response, bilang “isang pinag-isang plataporma para sa pagtuklas at pagtugon sa insidente ng seguridad na awtomatikong nangongolekta at nag-uugnay ng datos mula sa maraming proprietaryong bahagi ng seguridad.” Ang kahulugang ito, na nagsimula pa noong 2020, ay hindi sumasaklaw sa Open XDR bilang isang umuusbong na kategorya ng XDR na nangongolekta at nag-uugnay ng data mula sa lahat ng mayroon nang mga sangkap ng seguridad, hindi lamang pagmamay-ari o mga solong-vendor. Kaya, Open XDR ay tinukoy na pareho sa Gartner's XDR kahulugan maliban sa na nagtatapos sa "Lahat ng mayroon nang mga sangkap ng seguridad, naihatid sa pamamagitan ng isang bukas na arkitektura". ang Bukas vs. Katutubo XDR Ang pagkakaiba ay tatalakayin nang detalyado sa ibang artikulo. Sa artikulong ito, tututuon tayo sa Open XDR kung ikukumpara ito sa SIEM. Kaya Open XDR ay may mga sumusunod na teknikal na kinakailangan upang matupad ang pangako ng kahulugan sa itaas:

• Kakayahang magamit - Cloud-katutubong microservice na arkitektura para sa kakayahang sumukat, kakayahang magamit at kakayahang umangkop ng pag-deploy
• Data Fusion - Sentralisahin, gawing normal at pagyamanin ang data sa buong ibabaw ng pag-atake, kabilang ang network, cloud, mga endpoint, application at pagkakakilanlan
• Pagtuklas -  Mga naka-automate na detection sa pamamagitan ng Pag-aaral ng Machine 
• Ugnayan - Mataas na katapatan na naiugnay ang mga pagtuklas sa maraming mga tool sa seguridad
• Matalinong Tugon - Isang-click o awtomatikong tugon mula sa parehong platform.

Tunog katulad sa SIEM plus konti KAYA? Ito ay sapagkat ito ay. Gayunpaman, may mga pangunahing pagkakaiba sa arkitektura na pinapayagan Open XDR upang maihatid ang marami sa mga pangako ng SIEMs saan SIEMs ay bumagsak.

Pagtukoy SIEM

Tinutukoy ni Gartner SIEM, o Pamamahala ng Impormasyon at Kaganapan sa Seguridad, bilang teknolohiyang "sumusuporta sa pagtuklas ng banta, pagsunod at pamamahala ng insidente sa seguridad sa pamamagitan ng pagkolekta at pagsusuri (kapwa sa halos totoong oras at pangkasaysayan) ng mga kaganapan sa seguridad, pati na rin ang iba't ibang iba pang mga mapagkukunan ng datos ng kaganapan at konteksto." Ang kahulugang ito ay kapansin-pansing katulad ng kahulugan ng XDRAng arkitektura ang siyang pinakamalaking pagkakaiba, ngunit sa kahulugan lamang SIEM ipinangalan batay sa pangunahing layunin nito – ang pamahalaan ang impormasyon at mga kaganapan. XDR ay ipinangalan din batay sa pangunahing layunin nito – ang pagtuklas at pagtugon. Maaaring mukhang maliit na punto lamang ito, ngunit ang pagkakaibang ito sa mga layunin ng negosyo ang siyang nagtutulak sa pamamaraang arkitektura, at ito ang dahilan kung bakit SIEMNapakalaki ng puhunan sa sitwasyon ng seguridad ngayon.

Inihambing ang Mga Arkitektura

Ang paghahambing na ito ay nakatuon lamang sa mga pagkakaiba. Mayroong isang bilang ng mga teknikal na pagkakatulad kabilang ang pangmatagalang imbakan, bukas na pagsasama sa mga tool sa seguridad, cloud-nativity, at mahusay na paghahanap at pagbabanta-pagbabanta.
Gayunpaman, Open XDR ay may limang pangunahing pagkakaiba sa arkitektura mula sa SIEMs:

1. Napilitan ang data sa isang na-normalize at napayaman na estado, at ginagawa ito bago itago ang data sa isang lawa ng data.
2. Ang mga pagtuklas at ugnayan ng mga alerto ay awtomatikong hinihimok ng AI sa Open XDR, hindi mga tuntuning isinulat ng tao gaya ng SIEMs.
3. Ang mga insidente ay nalilikha mula sa mga magkakaugnay na alerto, kung saan isang tugon lamang sa parehong platform ang kinokontrol, kumpara sa isang SIEM, na nagpapadala ng mga alerto sa ibang SOAR platform na siyang nagsasagawa ng downstream correlation at response.
4. Maraming mga tool na kinakailangan para sa pagpapatakbo ng seguridad ay pinag-isa, tulad ng Lawa ng Big Data, UEBA, PUMAPAINGA, TIP, NDR or Si EDR sa isang plataporma habang marami SIEMkasama lamang ang isang Big Data Lake, pinipilit SIEM ang mga gumagamit upang manu-manong pagsamahin ang maraming mga kumplikadong tool na magkasama sa kanilang sarili.

Magkasabay ang mga pagkakaiba 1 at 2. Upang makabuo at mapanatili ang makabuluhang AI sa anumang industriya, dapat malutas ang problema sa data. Sa seguridad, nangangahulugan ito na ang data ay dapat na sentralisado, gawing normal, at pagyamanin upang mabawasan ang pagiging kumplikado ng data. Kung ang data ay iba ang pagmomodelo sa bawat pag-deploy ng isang platform, magiging imposibleng problema ang pagpapanatili ng mga modelo ng AI. XDR pinipilit ang data na imodelo sa parehong paraan sa bawat deployment bago mapunta ang data sa isang Data Lake; ang data ay magagamit lamang sa normalized at enriched state nito. SIEM alinman sa nagbibigay nito bilang opsyonal na functionality o hindi talaga nagbibigay ng feature na ito; sa opsyonal na kaso, ang normalization at enrichment ay itinuturing na isang post-processing step sa raw data na nakaimbak na.

Sa buod, sa mga teknikal na pagkakaiba 1 at 2, Open XDR pinipilit ang normalisasyon at pagpapayaman sa data, kaya't may kakayahang bumuo ng makabuluhang AI na magkakaugnay ng mga kaganapan at alerto. Para sa parehong mga kadahilanan, SIEM Ang arkitektura ay hindi kayang gumawa ng isang AI engine na may parehong katapatan dahil sa pagproseso nito ng datos. SIEMMagagamit ng mga s ang AI, ngunit magiging mahirap itong palawakin.

Teknikal na pagkakaiba 3 ay bumaba sa isang Open XDR pagsasagawa ng ugnayan at tugon sa parehong platform. Ang isang mas mataas na pagbuo ng order ng isang insidente (maraming mga kaugnay na alerto) ay awtomatikong ginawa sa isang Open XDR platform, at iyon ay tumugon sa holistically. A SIEM dapat ipasa ang mga alerto sa a KAYA, na dapat maiugnay ang mga alerto kasama ang mga panuntunan nang walang malalim na konteksto ng lahat ng nangyayari sa kapaligiran. Open XDR lumilikha ng tugon na parang SIEM at ginagawa ito ng SOAR, ngunit ang response fidelity ay mas mataas sa XDR dahil ito ay pinangangasiwaan mula sa parehong plataporma na nagsasagawa ng mga pag-detect at mga ugnayan na hinimok ng AI, kung saan magagamit ang lahat ng datos.

Ang pangwakas na teknikal na pagkakaiba ay nakasentro sa paligid ng diskarte sa pagbuo at pagpapanatili ng pangkalahatang stack ng seguridad. Open XDR ay dinisenyo upang pag-isahin ang lahat ng pangunahing kagamitan para sa mga operasyon sa seguridad nang sa gayon ay maaari silang i-orkestra mula sa isang plataporma. Marami SIEMNag-aalok ang s ng mahahabang listahan ng mga plugin at malalalim na antas ng pagpapasadya, ngunit inilalagay nito ang responsibilidad sa mga gumagamit na buuin at i-configure ang kanilang sistema.

Para sa negosyo, ang mga teknikal na pagkakaibang ito ay nakakaimpluwensya sa kapital, oras, at mga mapagkukunang kinakailangan upang patakbuhin ang isang plataporma ng seguridad. SIEMay mga open-ended na teknolohiya, kaya magiging magastos ang mga ito gamitin. Open XDR ang mga platform ay mga teknolohiyang nakaireseta ng seguridad, at samakatuwid ang mga negosyo ay magiging mas mahusay kapag ginagamit ang mga ito.

Panghuli, bagama't hindi mahigpit na teknikal na pagkakaiba, dalawang lugar kung saan SIEMMas nakatuon ang mga kompanya sa mabigat na imbakan na may kaugnayan sa pagsunod at paggamit ng parehong platform para sa mga Operasyon ng IT. XDR ay dinisenyo para sa resulta ng pagtuklas at pagtugon. Maaari pa rin nitong matugunan ang mga kinakailangan sa pagsunod, ngunit hindi ito idinisenyo para doon mula sa simula. Ang mga Operasyon ng IT sa parehong platform ay isang bagay na tanging SIEM maaaring mag-angkin, bilang Open XDR ay mahigpit na nakatuon sa seguridad.

Kumusta naman ang NG-SIEMs?

Ang anumang "Susunod na Gen" ay nagsisenyas ng isang bagay na mas mahusay, hindi naiiba. NG-SIEMs ay mas mahusay kaysa sa SIEMs sa pangangatwirang teorya. Open XDR ay naiiba sa pareho. NG-SIEMnagdulot ng malalaking pagsulong sa maraming larangan kung saan ang pamana SIEMs ay hindi pagsunod sa mga hinihingi ng kapaligiran sa seguridad ngayon. Kapansin-pansin na mga pagpapabuti ay:

• Paggamit ng mga teknolohiya ng Big Data (wala na SIEM patuloy na natutumba)
• Ilang Pagsusuri sa Pag-uugali ng Gumagamit at Entidad (UEBA) sa pamamagitan ng iba't ibang mga algorithm
• Pagpapabuti ng UI / UX sa mga pangunahing daloy ng trabaho tulad ng Banta-Pangangaso
• Katutubong o bukas na pagsasama sa PATAY
• Mga plugin ng pagmomodelo ng data.

NG-SIEMs tiyak na mapapaliit ang agwat sa kakayahan sa pagitan ng Open XDR at SIEM, ngunit ang mga pagkakaiba sa arkitektura ay nananatiling pareho.

Sinasabi ng Ilang Vendor na Nag-aalok Sila ng SIEM At Isang XDR Plataporma – Ano ang Naibibigay?

Maraming pagkakatulad sa pagitan SIEM at Open XDR, gaya ng nabanggit sa itaas. Maliit ang mga teknikal na pagkakaiba, ngunit may malaking implikasyon sa halaga ng negosyo at kapital na kinakailangan upang gumana. Mayroong dalawang pahayag na ginagawa ng mga vendor kung ginagamit nila ang pareho SIEM at Open XDR upang ilarawan ang kanilang produkto.

Ang unang maaaring gawin ng mga vendor ng paghahabol ay maaari silang gumamit "SIEM Mga Kakayahan upang sumangguni sa kanilang Open XDR platform pagkakaroon ng lahat ng mahahalagang kakayahan ng isang SIEM – bukas na koleksyon, imbakan, paghahanap, pag-uulat, cloud-native – bilang isang paraan upang ilarawan kung paano Open XDR maaaring i-deploy sa isang enterprise security stack, partikular na para palitan ang isang umiiral na SIEM.

Ang pangalawang vendor ng paghahabol ay maaaring gawin ay upang sabihin na ang kanilang platform ay pareho a SIEM at isang Open XDR platformIto ay isang nakalilitong punto na malamang na makatitiyak na ang nagtitinda ay hindi makaligtaan ang potensyal na category marketing at maaaring magbenta ng produkto sa mga customer kahit na naghahanap sila o hindi. SIEM or Open XDR. Gayunpaman, gaya ng tinalakay sa itaas, SIEM at Open XDR ay magkaiba, kaya hindi maaaring pareho ang iisang produkto.

Pag-navigate sa Agos ng Banggaan ng XDR at SIEM

XDR ay nasa isang banggaan kurso sa SIEM at SOAR, gaya ng nabanggit ni Forrester [2]. Kailangang lapitan ng mga negosyo ang parehong kategorya ng teknolohiya nang isinasaalang-alang ang kanilang pangmatagalang resulta sa negosyo at mga magagamit na mapagkukunan. Mas mahalaga ba ang mataas na katapatan, awtomatikong pagtuklas at tugon na galing sa kahon? Mahalaga ba ang kakayahan ng pagtugon mula sa parehong platform ng parehong koponan upang mabawasan ang oras ng pag-atake? Kulang ba ang tauhan ng koponan at/o nangangailangan ng maraming pagsasanay upang patakbuhin ang tool? Ito ang mga pangunahing tanong na dapat itanong ng mga negosyo kapag tinutukoy ang kanilang diskarte sa security stack at nagpapasya kung XDR or SIEM ay tama para sa kanila.