Przez ostatnie dwie dekady platformy zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) były jednym z kluczowych rozwiązań służących do zapewniania pełnej widoczności i kontroli nad siecią. Oprogramowanie SIEM umożliwia bowiem sprawne scentralizowanie działań związanych z wykrywaniem ataków i zagrożeń. Na chwilę obecną jednak branża ochoczo spogląda w kierunku nowego typu rozwiązania, znanego jako rozszerzone wykrywanie i reagowanie — XDR.
Rozwiązania XDR oraz SIEM są do siebie zbliżone pod kątem niektórych funkcjonalności. Z tego powodu często nie do końca wiadomo, czym się różnią. Niemniej jednak wybór właściwego rozwiązania jest niezwykle istotny w kontekście budowania skutecznej i zrównoważonej architektury bezpieczeństwa. W artykule wyjaśniamy zatem zasadnicze różnice pomiędzy tymi narzędziami.
XDR i SIEM — kluczowe różnice
SIEM, w porównaniu do XDR, stosuje znacznie bardziej ogólne podejście do incydentów. Można więc pokusić się o stwierdzenie, że jest wobec tego mniej skuteczny niż platformy XDR. Te z kolei są wyspecjalizowane w korelowaniu informacji związanych z bezpieczeństwem. Co za tym idzie, są w stanie wykrywać anomalne zachowania i ataki z dużo mniejszym wysiłkiem. Narzędzia SIEM umożliwiają organizacjom zbieranie logów i alertów z wielu rozwiązań. Technologia ta nie obejmuje jednak analityki ani automatyzacji, w przeciwieństwie do XDR, który zawiera elementy EDR (Endpoint Detection and Response) i MDR (Managed Detection and Response), tworząc rozwiązanie end-to-end, które usprawnia wykrywanie i reagowanie. XDR często wykorzystuje dane zebrane z SIEM, idealnie uzupełniając tę technologię i ułatwiając tym samym zarządzanie alertami.
Co więcej, można powiedzieć, że XDR oferuje alternatywę dla tradycyjnego podejścia narzędzi EDR, NDR i User Behavior Analysis (UBA) lub właśnie SIEM. Podczas gdy te zapewniają warstwową widoczność ataków, XDR jest w stanie realizować działania reaktywne, pozyskując dane z różnych źródeł, korelując je i klasyfikując automatycznie w celu wygenerowania detekcji. Po wykryciu zagrożenia przyznawany jest mu wynik krytyczności, na podstawie którego wykonywane jest określone działanie. To samo działanie może zostać zaprogramowane do wykonania również w przyszłości, gdy wystąpi sytuacja zgodna z tymi samymi kryteriami. Dla porównania pasywny SIEM pozostaje przy informowaniu użytkowników poprzez generowanie alertów. Tymi z kolei musi zarządzać wykwalifikowany personel.
Cele
Większość rozwiązań SIEM zapewnia scentralizowane zarządzanie logami i możliwości analizy dla organizacji. Obejmuje to generowanie alertów, korelowanie danych z wielu wybranych rozwiązań oraz umożliwienie analizy po wystąpieniu zdarzenia. SIEM może być również wykorzystywany do monitorowania zgodności i bardziej kompleksowego raportowania.
XDR z kolei koncentruje się na wykorzystaniu gromadzonych danych do poprawy wykrywania i reagowania na zagrożenia. Jego celem jest identyfikacja, zbadanie i podjęcie odpowiednich działań w celu szybkiego i skutecznego rozwiązywania incydentów.
Złożoność zarządzania
Rozwiązania SIEM często wymagają znacznych nakładów na zarządzanie, aby połączyć je ze źródłami danych, skorelować zdarzenia i skonfigurować alerty. Biorąc pod uwagę ilość informacji, które przetwarzają w celu uzyskania scentralizowanej widoczności, produkują one dużą ilość trudnych do sklasyfikowania i priorytetyzacji alertów.
W przeciwieństwie do SIEM, rozwiązania XDR są zaprojektowane tak, aby łatwiej integrować się z firmową architekturą bezpieczeństwa. Zaletą takiego rozwiązania jest zmniejszenie liczby alertów, co zapobiega ich przeoczeniu. Dzięki wdrożeniu automatycznej korelacji danych z różnych warstw zabezpieczeń alerty mogą być potwierdzane automatycznie. Skraca to czas, jaki analitycy bezpieczeństwa potrzebują na ocenę alertów i zagrożeń oraz podjęcie decyzji, co wymaga szczególnej uwagi. Zarządzanie XDR wymaga również mniejszej liczby godzin szkoleniowych i zapewnia ujednolicony wgląd w infrastrukturę bezpieczeństwa.
Gromadzenie danych
Podczas gdy rozwiązania SIEM działają jako centralne repozytorium danych i umożliwiają ich długoterminowe przechowywanie, XDR zazwyczaj uzyskuje dostęp i przechowuje dane tymczasowo wyłącznie w celach analitycznych.
Responsywność
Chociaż większość obecnych SIEM-ów posiada również pewne możliwości reagowania, są one w zasadzie narzędziem analitycznym, które dostarcza danych i alertów potrzebnych do identyfikacji zagrożeń atakujących organizację. XDR rozszerza te możliwości i może wspierać oraz koordynować działania związane z reagowaniem w ramach tego samego rozwiązania.
XDR czy SIEM?
SIEM jest jak najbardziej użytecznym narzędziem, pod warunkiem że poświęci się mu wystarczająco dużo czasu oraz zasobów. Głównym wyzwaniem, jakie stawia SIEM jest bowiem zmęczenie alertami. O ile alerty same w sobie są niezwykle ważne, o tyle ich przesyt, zwłaszcza tych fałszywie pozytywnych, może wywoływać niemałe przytłoczenie.
XDR jest idealnym rozwiązaniem dla małych i średnich firm, ponieważ pozwala zaoszczędzić zasoby, czas i koszty. Należy jednak podkreślić, że jest to rozwiązanie znacznie bardziej wyspecjalizowane. Jest to znaczna różnica w porównaniu do SIEM. Ten bowiem pozwala na korelację większej ilości rozbieżnych danych, w tym także pochodzących z rozwiązań poza firewallem i punktami końcowymi, takie jak logi proxy lub aplikacji.
Niemniej jednak automatyzacja w rozwiązaniach XDR eliminuje sporą część pracy, która byłaby wymagana przez narzędzia SIEM. Ponadto technologia ta nie wymaga tak wysokiego poziomu specjalizacji od zespołu. To szczególnie ważne, biorąc pod uwagę obecny niedobór specjalistów w dziedzinie cyberbezpieczeństwa.
Jeśli chcesz dowiedzieć się więcej o tej technologii, wejdź do świata XDR firmy WatchGuard! Odkryj, jak ThreatSync może pomóc Ci uwolnić moc zunifikowanego bezpieczeństwa.
Jeśli nadal jesteś ciekawy, jakie inne korzyści zapewniają rozwiązania XDR i SIEM, sprawdź te posty na blogu:
SIEM – wykrywanie zagrożeń i reagowanie na incydenty- blog Net Complex
EDR vs XDR. Jak je odróżnić? – Blog Net Complex
Rozszerzone wykrywanie i reagowanie, czyli XDR (netcomplex.pl)
Źródło: https://www.watchguard.com/wgrd-news/blog/what-difference-between-xdr-and-siem
Grafika: kjpargeter, Freepik
Redaktorka Net Complex Blog