XDR (от англ. Extended Detection and Response, «расширенные обнаружение и реагирование») — класс систем информационной безопасности, предназначенных для автоматического проактивного выявления угроз на разных уровнях инфраструктуры, реагирования на них и противодействия сложным атакам.
XDR включает широкий набор инструментов, которые интегрируются с имеющимися программами и приложениями для обеспечения безопасности и обеспечивают мониторинг данных на уровне конечных точек, сети, облака и серверов электронной почты, а также функции аналитики и автоматизации для обнаружения и устранения текущих и потенциальных угроз.
Отличия XDR от других систем информационной безопасности
Некоторые инструменты киберзащиты схожи с XDR, но из-за более узкой специализации в них, как правило, меньше функций. Например:
- EDR обеспечивают защиту только на уровне конечных точек, без сетевых и облачных служб.
- SIEM осуществляют только сбор и анализ информации во внутренней сети, без реагирования.
- UEBA анализируют только поведение пользователей, устройств и приложений, без реагирования на аномалии.
- SOAR охватывают большую часть инфраструктуры, но работают в основном по сигнатурам и типовым сценариям реагирования, не обеспечивая проактивную защиту. Кроме того, у решений типа SOAR более низкий уровень совместимости с решениями и приложениями, служащими источниками данных.
Недостатки XDR-решений
Технологии XDR относительно новы и очень перспективны, однако их использование сопряжено с определенными сложностями и рисками:
- На данный момент разные XDR-системы обладают очень разным набором возможностей, что усложняет их сравнение и выбор.
- Системы класса XDR включают в себя много различных функций, при этом вендоры, поставляющие эти системы, чаще всего специализируются в одном или нескольких направлениях, не охватывая все, что может привести к попыткам реализовать те или иные возможности без необходимой экспертизы. А это, в свою очередь, повышает вероятность ошибок.
- Некоторые XDR-системы совместимы только с защитными решениями определенного вендора или ограниченного числа вендоров. В связи с этим возможны ситуации, когда пользователям XDR придется искать компромисс между оптимальными для них узкоспециализированными решениями и полнотой использования XDR.