XDR odstraňuje tzv. „bezpečnostní sila“. V běžné firmě má e-mailový filtr, firewall a antivirus vlastní konzoli. Útočník se může pohybovat mezi těmito systémy nenápadně. XDR všechna tato data slije do jednoho „jezera“ (Data Lake), kde je analyzuje pomocí umělé inteligence.
XDR není náhradou za EDR, ale jeho evolucí.
| Vlastnost | EDR | XDR |
|---|---|---|
| Rozsah dat | Pouze koncová zařízení (PC, servery) | PC + síť + cloud + e-mail + identity |
| Kontext | Vidí, co se stalo na jednom stroji | Vidí, jak útok začal e-mailem a pokračoval v síti |
| Detekce | Zaměřeno na procesy a soubory | Zaměřeno na komplexní vzorce chování |
| Reakce | Izolace počítače | Zablokování uživatele v Cloudu, změna pravidel firewallu |
Bezpečnostní analytici jsou často zaplaveni tisíci varováními denně. XDR používá korelaci událostí:
V době, kdy zaměstnanci pracují z domova a využívají cloudové služby, už klasický firewall na hranici firmy nestačí. XDR poskytuje ochranu tam, kde se zrovna nachází data a uživatelé, bez ohledu na to, zda jsou v kanceláři nebo v kavárně.
Zajímavost: XDR je považováno za klíčový prvek architektury Zero Trust (nikomu nevěř). V tomto modelu se neustále prověřuje identita a chování každého uživatele i zařízení, a právě XDR k tomu dodává potřebná data v reálném čase.