XDR vs. SIEM: Hvad er det rigtige for din organisation?
Da de har ret ens mål og implementering, er det svært at skelne mellem de to og konkludere, hvilken der er den rigtige for din organisation.
XDR og SIEM er komplekse cybersikkerhedsværktøjer beregnet til at styrke en organisations trusselsforsvar; mens de deler nogle ligheder, er de fundamentalt forskellige. Dette er ifølge rapporter fra Palo Alto Networks og CrowdStrike; mens SIEM hovedsageligt fokuserer på indsamling og analyse af logdata, har XDR til gengæld en bredere tilgang, hvor den konsoliderer data fra flere sikkerhedslag og giver sofistikeret trusselsdetektion og respons på tværs af hele sikkerhedsstakken i en organisation.
XDR-syntaktik ved brug af eksisterende sikkerhedsteknologier
Evaluering af XDR vedrørende eksisterende sikkerhedsløsninger er afgørende for at forbedre organisationers cybersikkerhedsstatus. XDR-løsninger kan enten være lukkede, assimilere til sikkerhedsanalyse, SIEM’er og SOAR’er eller åbne for at forbedre resultater med firewalls, EDR’er og andre sikkerhedsteknologilag. Dette gøres normalt på forskellige måder, f.eks. ved brug af log forwarders, connectors, applikationsprogrammeringsgrænseflader og datastreamingmekanismer. XDR bidrager til øget synlighed gennem en organisations kontaktpunkter, bedre trusselsanalyse og automatiseret respons. Ikke desto mindre er det afgørende at ændre, at integration kan være delikat, især hvor organisationen anvender et sammensat format, som omfatter en blanding af moderne og gamle modeller. Nogle retningslinjer, der kan vedtages under integration, er som følger: ‘Big bang’ tilgang bør undgås; Det anbefales, at der oprettes forbindelser til én datakilde ad gangen, integrationen skal først udføres på testfaciliteter.
Cost-benefit-analyse af XDR og SIEM
Beslutningen om, hvorvidt XDR- og SIEM-løsninger skal implementeres, og hvilken leverandørs tilbud der skal vælges, er således baseret på flere forhold, der gør det muligt at sammenligne omkostningerne ved implementerede løsninger med de modtagne fordele. XDR har normalt en konkurrencefordel, der tilskrives faktorer såsom evnen til at reducere kompleksiteten af sikkerhed og lavere omkostninger. Men ved at forenkle strukturen kan der være store omkostningsfordele med hensyn til driften og forpligtelserne for dens ledelse. På den anden side er der SIEM-løsninger, som kan være mere fleksible, men som stadig kræver flere ressourcer og indsats, og som kan indeholde logstyring og compliance-rapporter, som er uundværlige i nogle tilfælde. XDR kan nemlig nemt integreres med de eksisterende sikkerhedsstrukturer og dets primære mål er trusselsforebyggelse og dette kan føre til TCO reduktion i mange organisationer. På grund af inkorporeringen af kunstig intelligens samt automatisering kan brugen af XDR-løsninger føre til optimering af operationel effektivitet i stor skala, hvilket kan begrænse behovet for ekstra sikkerhedspersonale. Men hvis organisationen kræver avanceret logstyring og/eller compliance, kan det være mere fordelagtigt at bruge SIEM, selvom den har de højere start- og løbende gebyrer. Spørgsmålet om, hvilken løsning der skal vælges for øget sikkerhed – XDR eller SIEM – bør således besvares med henvisning til de særlige forhold i en organisations eksisterende system, budget og sikkerhedsbehov.
Casestudier: Vellykkede XDR-implementeringer
De positive resultater af XDR er blevet observeret i undersøgelser, der viste øget effektivitet i trusselsidentifikation og afbødning for forskellige industrier. Visse sager udført på de virksomheder, der bruger XDR, har vist, at de har modtaget forbedrede MTTD og MTTR af sikkerhedstrusler. For eksempel er det rapporteret, at High Wire Networks udryddede 99% af alarmstøjen og fordoblede deres SOC’ers kapacitet efter implementering af en Smart SOAR, som typisk er et element i XDR-løsninger. En af de førende finansielle virksomheder i Storbritannien var også i stand til at inkorporere XDR i deres sikkerhedsprocesser og forbedre deres måder at håndtere forskellige typer trusler på den finansielle sfære, især inden for rammerne af overholdelse af strenge regler. Fra ovenstående scenarier fra det virkelige liv er det klart, at med korrekt XDR-applikation er proceduren effektiv til at forbedre sikkerhedsoperationer, produktivitet og beredskab mod cyberkriminalitet.
Den bedste praksis for integration af XDR er som følger
Adskillige retningslinjer skal overholdes ved implementering af XDR i en organisation, der allerede har en sikkerhedsinfrastruktur. Først bør man begynde med at kommunikere til alle interessenter for at forklare, hvordan deres roller vil blive påvirket af XDR. Start med pilotapplikationer til at begynde med, og brug én kilde ad gangen til at tjekke for problemer og kompatibilitet. Anskaf detaljerede planer for at håndtere de identificerede trusler for at reducere deres samlede virkninger. Brug testsenge til at anvende XDR-løsningen på produktionsprogrammet og overhold typiske ændringskontrolforanstaltninger under integrationsøvelsen. For at få mest. ud af XDR, tilpasse sig nuværende løsninger og processer, bygge på eksisterende sikkerhedsteknologistak. Sidst bør aktionærerne/ledelsen uddanne de medarbejdere, der direkte skal håndtere XDR-platformen, i, hvordan værktøjet fungerer, for at opnå tillid til at håndtere det og eller bruge alle de tilgængelige funktioner.
Skjulte omkostninger ved SIEM
På trods af påstanden om at give bedre sikkerhed, står organisationer over for adskillige skjulte omkostninger ved SIEM-løsningerne, der kompromitterer deres implementering og endda budgetter. Når det kommer til omfanget af data, kan disse omkostninger stige betydeligt for at håndtere og imødekomme de stigende logdata. Nogle af de skjulte udgifter kan være de ekstra licensomkostninger, erhvervelse af konsulenttjenester, ændring af infrastrukturen for at imødekomme voksende mængder af data. Der er også ressourcekrævende spørgsmål vedrørende implementering af SIEM i de eksisterende sikkerhedsrammer, som mange organisationer kommer til at støde på høje udgifter til tid, midler og menneskelige ressourcer. En almindelig ulempe ved vækst er skalerbarhedsproblemer og efterfølgende problemer i SIEM’ens langsommelighed og mangel på fuldstændig hændelseslogning. For at undgå disse skjulte omkostninger, er der forskellige leverandører, der nu foreslår abonnementsplaner, som er baseret på en ubegrænset og ubegrænset udvidet model, hvor der på denne måde ikke er ekstra omkostninger ved brug af kapacitet. Det er dog afgørende for enhver organisation at foretage en analyse af den pågældende organisations behov og afveje forskellige aspekter relateret til forskellige priser og slippe af med chokerende tillæg i tilfælde af SIEM.