36 ИНФРАБИЛД 1'2025 за киберсигурността за организации, които предпочитат да „изнесат“ част от грижата за кибербезопасността си към външни, висококвалифицирани екипи, работещи посредством най-новите технологии. Подходящо е за случаи, когато: 1. организацията няма собствен екип по информационната сигурност или има, но е малък и претоварен; 2. има собствен екип по информационна сигурност, но има нужда да го разтовари от част от грижата по защитата; 3. има нужда от денонощен мониторинг и 24/7 готовност за реагиране при инциденти, но няма ресурси за наемане на допълнителен персонал. MDR включва мониторинг и анализи, както и елемент за реагиране при заплаха. Въпреки че софтуерът е важен тук, ключът към успешната MDR услуга е наличието на висококвалифицирани анализатори в екипа на специализирания доставчик. Оркестрация, автоматизация и реакция на сигурността SOAR е решение, което допълва и разширява SIEM платформите. SOAR (съкр. от Security Orchestration, Automation and Response) има за цел да обогати данните за събития, да опрости идентифицирането на критични инциденти и да автоматизира действията за реагиране на конкретни събития. Целта е заплахите да стигат до вниманието на отдела по сигурност само тогава, когато е необходима човешка намеса. SOAR придоби популярност в индустрията за киберсигурност, защото предоставя централизирана платформа за управление на инциденти, намалявайки необходимостта от ръчни процедури и различни технологии. Какви са основните различия между всички тези решения? XDR обикновено се разглежда като „следващо поколение EDR“. EDR се фокусира предимно върху крайните устройства. Следователно недостатъкътму е, че пропуска какво се случва востаналите частиотИТинфраструктурата. Организациите, които търсят по-цялостен погледвърху атакуемата сиповърхност,трябва да инвестират в допълнителни технологии и инструменти, увеличавайки разходите. XDR, от друга страна, разширява възможностите на EDR отвъд крайните точки и добавя допълнителни видове телеметрия – включително е-поща, мрежи, облачни услуги, управлениенаидентификацията. XDRсъщотака добавя възможностза разследване на атаките, докато EDR предоставя ограничен изглед само на действията, предприети върхукрайнитеточки. SIEMплатформите първоначално са проектирани за отчетност и за одити за регулаторно съответствие. Затова основната им функция е да събират всякаква регистрационна информация. По-късно SIEM са еволюирали в инструменти за анализ на сигурността и откриване на заплахи. Богатият регистър, който поддържат, позволява да се използват за разследване на заплахи. Основните предизвикателства пред SIEM инструментите са, чемакардадействаткато централнохранилище зарегистрационниданни, те генериратогромен брой предупреждения – непосилномного запроследяванеотекипитепо сигурността. Специалистите поИТ защитата имат нужда да филтрират и приоритизират предупреждениятавсредканонадатаоталарми. Освен това SIEM не предоставят контекстуална информация, която да помага на екипите при справянето с тези сигнали. XDR, от друга страна, прави точно това. XDR предоставят анализи и правят изводи, с което помагат за разпознаване на заплахи. Консолидирайки данните, този род системи предоставят и контекст на цялата атака - и автоматизиран анализ. SOAR, подобно на SIEM, събира информация за сигурността от множество области. “ Изкуственият интелект играе все по-важна роля в развитието на платформите за киберзащита
RkJQdWJsaXNoZXIy MTEyMTYwMw==