XDR (eXtended Detection and Response) koostuu yleensä päätelaitteiden suojauksesta (EDR), identiteettien suojauksesta (IDR) sekä verkon suojauksesta (NDR). Näiden teknologioiden painoarvo on tehokkaassa AI-pohjaisessa havainnoinnissa (detection) sekä suorassa tai integraatioiden kautta tapahtuvassa hyökkäyksen nopeasti pysäyttävässä reagoinnissa (response).
Näitä kaikkia kolmea tarvitaan nykyaikaisessa kyberturvan valvonnassa, mutta painotukset voivat vaihdella. XDR-tuotteet hyödyntävät AI-pohjaisessa havainnoinnissa koneoppimista. Koneoppiminen muodostuu algoritmeista, jotka kykenevät tunnistamaan hyökkäyksissä käytettyjä taktiikoita ja tekniikoita. Näihin tekniikoihin voi tutustua tarkemmin MITRE ATT&CK -frameworkin kautta. MITRE ATT&CK -framework auttaa myös ymmärtämään moderneja kyberhyökkäyksiä.
Oheinen taulukko havainnollistaa näiden kolmen suojauksen keskeisiä eroja ja vastaa kysymyksiin: mikä, miten, missä ja miksi.
EDR vs. IDR vs. NDR
|
EDR Endpoint Detection and Response |
IDR Identity Detection & Response |
NDR Network Detection & Response |
|
| Mikä |
EDR on päätelaitesuojaus, joka kykenee päätelaitteissa tapahtuvien prosessien toiminnan eli käyttäytymisen perusteella havaitsemaan epäilyttävät ja haitalliset prosessit sekä pysäyttämään ne. |
IDR on identiteeteille (eli käyttäjille ja palvelutunnuksille) sama asia kuin EDR päätelaitteille. IDR tunnistaa identiteettien epäilyttävät ja normaalista poikkeavat tapahtumat sekä käyttäytymisen.
|
NDR on verkkoliikenteen valvontaa, joka perustuu koneoppiviin algoritmeihin. NDR-algoritmit on viritetty nimenomaan verkkoliikenteen analysointiin, siinä missä EDR ja IDR on suunniteltu päätelaitteille ja identiteeteille. |
| Miten |
Perinteinen antivirus tunnistaa haitallisia tiedostoja uhkatunnistetietokannan avulla, mutta EDR tekee tunnistuksen hyödyntäen koneoppimista ja ymmärrystä siitä, miten ohjelmien normaalisti kuuluu toimia ja milloin niiden toiminta viittaa uhkaavaan toimintaan. EDR kykenee tunnistamaan myös täysin uusia uhkia ilman, että niistä olisi ennakkotietoa uhkatietokannassa. Lisäksi EDR pystyy havaitsemaan tilanteet, joissa hyökkääjä käyttää hyväkseen täysin laillisten ohjelmien ominaisuuksia tai haavoittuvuuksia. |
Perinteisesti identiteettien poikkeavuuksia on valvottu keräämällä palvelimien ja palveluiden lokitietoja SIEM-järjestelmään, jossa ennalta määritellyt käyttäjätoimintaan liittyvät säännöt ovat pyrkineet tunnistamaan epäilyttävät ja uhkaavat tapahtumat. IDR tekee tunnistuksen samalla tavalla kuin EDR eli hyödyntämällä koneoppimisen algoritmeja, jotka havaitsevat identiteetin käyttäytymisessä haitalliset tai normaalista poikkeavat toimet ilman, että järjestelmään täytyy määritellä sääntöjä etukäteen. IDR pystyy tunnistamaan myös täysin uusia uhkia, vaikka niistä ei olisi olemassa aiempaa tietoa tai merkintää uhkatietokannoissa. |
Merkittävä ero NDR:n ja EDR:n (sekä osan IDR-ratkaisuista) välillä on se, että NDR ei tarvitse agentteja päätelaitteille. NDR kuuntelee verkon liikennettä erillisten sensoreiden kautta. Se tarkastelee verkossa kulkevien pakettien otsikko- eli metatietoja ja pystyy niiden perusteella havaitsemaan epäilyttäviä verkkotapahtumia. NDR:n havainnointi perustuu sekä normaalista poikkeavan verkon käytöksen tunnistamiseen että hyökkääjien käyttämiin verkkotoimintoihin liittyvien poikkeamien havaitsemiseen. Perinteisesti verkkoa on valvottu palomuureilla verkon reunoilla, ja niiden lokitietoja on analysoitu sääntöpohjaisesti SIEM-järjestelmässä. NDR laajentaa valvonnan koskemaan kaikkea verkossa tapahtuvaa liikennettä ja hyödyntää tähän tehokkaita koneoppimisalgoritmeja. |
| Missä | EDR toimii laitteissa, joihin voidaan asentaa EDR-agentti. EDR-agentti käyttää isäntäkoneen suoritinta ja muistia. | IDR voi toimia esimerkiksi Active Directoryssä domain controllerille asennettavan agentin kautta tai Entra ID:ssä API-liitoksen kautta. | NDR toimii ilman agentteja ja se on vahvimmillaan, kun mahdollisimman paljon verkkoliikennettä voidaan peilata NDR-sensoreille. Sensorit toimivat fyysisissä verkoissa ja virtuaaliympäristöjen verkoissa. |
| Miksi |
EDR:n tulee nykyään olla käytössä kaikissa työkoneissa ja palvelimissa. Tämä on erityisen tärkeää etätyöympäristöissä, koska kyberhyökkäykset kohdistuvat usein joko suoraan tai sivullisesti työasemiin ja palvelimiin. EDR mahdollistaa myös hyökkäyksen kohteena olevan laitteen eristämisen sekä laitteen tarkan analysoinnin sen fyysisestä sijainnista riippumatta. Tämä parantaa merkittävästi kyberhyökkäysten torjuntaa ja nopeuttaa reagointia. |
Kyberhyökkäyksissä varastetaan yleensä identiteettejä, joita hyökkääjät käyttävät hyökkäyksen läpiviemiseen. Identiteettejä voidaan varastaa suoraan työasemien muistista, mutta on‑prem‑ympäristöissä hyökkäysten päätavoitteena on usein Active Directory (AD), ja SaaS‑palveluissa pyritään saamaan haltuun identiteettejä Entra ID:stä. Identiteettien suojaus on erityisen tärkeää organisaatioissa, jotka käyttävät SaaS‑palveluita eli käytännössä kaikissa organisaatioissa. On‑premises‑ympäristöissä Active Directory on monilla yrityksillä ollut käytössä kymmeniä vuosia. Tämän seurauksena sinne on usein kertynyt tarpeettomia tilejä ja vanhentuneita konfiguraatioita, joita hyökkääjät pystyvät hyödyntämään. Jos Active Directorya ei ole tarkistettu, auditoitu ja kovennettu, IDR on välttämätön myös kaikissa AD:n domain controllereissa. |
Koska NDR ei vaadi agentteja ja se näkee kaiken, mitä verkossa tapahtuu, NDR muodostaa tärkeän lisäpuolustuskerroksen tilanteissa, joissa EDR tai IDR eivät havaitse hyökkäystä tai SIEM:in säännöt eivät tunnista poikkeamia. Kaikki tapahtuu verkossa, joten myös verkkoa täytyy valvoa. Tämä on erityisen tärkeää IoT‑ ja OT‑laitteissa, joihin ei voida asentaa EDR‑agentteja. NDR havaitsee näiden laitteiden liikenteessä esiintyvät poikkeamat ja tuo näkyvyyden sellaiseen ympäristöön, jossa perinteiset päätelaitesuojausratkaisut eivät toimi. |
Ja lisäksi vielä SIEM
Kybertuvallisuuslaki (NIS2), GDPR ja ilmoitusvelvollisuus viranomaiselle suuntaa painotusta kyberturvallisuuden valvonnassa edelleen paljon lokienhalintaan ja SIEM:iin. SIEM on edelleen tärkeä, mutta SIEM ei ole yksinään riittävän tehokas havaitsemaan ja pysäyttämään nykyaikaisia kyberhyökkäyksiä. Lokienhallinta ja SIEM ovat tärkeitä, kun täytyy selvittää mitä tapahtui, mutta XDR tarvitaan, jotta kyetään havaitsemaan mitä tapahtuu juuri nyt.
Blogin kirjoittaja
