В мире кибербезопасности очень много аббревиатур. От AV к EPP, EDR, а теперь и XDR, эти меняющиеся технологии отражают простую истину: злоумышленники не стоят на месте, и защитникам необходимо оставаться на один или несколько шагов впереди. К изменяющемуся ландшафту угроз добавляются инновации в бизнесе и способах его ведения. Мы перешли от локального мира, ограниченного управляемым сетевым периметром, к распределенной облачной инфраструктуре с удаленной работой и 5 миллиардами минут ежемесячных телеконференций, которые усложняют обеспечение безопасности. Вдобавок ко всему, как вам скажет любой директор по информационной безопасности, растет число кибератак и злоумышленников, а также количество инструментов, которые они используют.
Технологии безопасности прошлого не были созданы для того, чтобы справиться со сложной, быстро меняющейся угрозой. Доказательства этого убедительны: рост числа атак с использованием программ-вымогателей в сочетании с утечками данных и кражей интеллектуальной собственности, перегруженные департаменты SOC, которые борются с усталостью от алертов и нехваткой персонала, а также рост числа успешных атак, несмотря на наличие разнообразных СЗИ.
Ясно, что нужен новый и более целостный подход к обнаружению и реагированию на атаки, который не только охватывает традиционные конечные точки, но также включает в себя увеличенную поверхность атаки, такую как сеть и облака. Это лишь некоторые из проблем, для решения которых был разработан XDR. В этом посте мы объясним, что такое XDR и как он меняет правила игры, расширяя возможности специалистов по ИБ и усложняя жизнь злоумышленникам.
Что такое XDR?
XDR (Extended Detection and Response, расширенное выявление и реагирование) — это эволюция EDR (Endpoint Detection and Response, выявление и реагирование на конечных точках). EDR, в частности ActiveEDR, помог обеспечить мониторинг и автоматическое реагирование на конечных точках, таких как ноутбуки и рабочие станции, но в сегодняшней сети есть много других локаций, которые могут быть пройдены злоумышленниками на пути к успешной компрометации, от мобильных телефонов и устройств Интернета вещей до контейнеров и облачных приложений.
XDR, иногда также называемый технологией «многослойного» обнаружения и реагирования, или обнаружения и реагирования на основе любых источников данных, выходит за пределы конечной точки, позволяя принимать решения на основе данных от бОльшего количества СЗИ и реагировать, задействуя сетевые устройства, электронную почту, системы управления учетными записями и др.
В чем преимущества XDR перед EDR?
XDR заменяет точечные СЗИ и помогает организациям решать проблемы кибербезопасности с уницифрованной точки зрения. Благодаря единому пулу сырых данных, содержащему информацию всей экосистемы ИБ, XDR позволяет обнаруживать угрозы и реагировать на них быстрее, глубже и эффективнее, чем EDR, собирая и сопоставляя данные из более широкого спектра источников.
XDR обеспечивает более глубокий мониторинг и контекстуализацию угроз, а инциденты, которые иначе не были бы устранены, будут обнаруживаться на более высоком уровне осведомленности, что позволяет специалистам по ИБ уменьшить любое дальнейшее воздействие злоумышленника и минимизировать масштаб атаки. Типичная программа-вымогатель проходит по сети, попадает в почтовый ящик электронной почты, а затем атакует конечную точку. Подход к ИБ путем рассмотрения каждого из этих шагов по одиночке ставит организацию в невыгодное положение. XDR объединяет стек ИБ организации, позволяя разрешать, блокировать, отзывать доступ и многое другое, реализуя это через настраиваемые правила, написанные пользователем, или логику, встроенную в систему.
Такая всеобъемлющая видимость дает несколько преимуществ, в том числе:
- повышенная способность обнаруживать скрытые атаки,
- сокращенное время нахождения злоумышленника в сети,
- повышенная скорость реагирования.
Более того, благодаря искусственному интеллекту и автоматизации XDR помогает снизить ручную работу аналитиков по безопасности. Решение XDR может проактивно и быстро обнаруживать сложные угрозы, повышая продуктивность службы ИБ или SOC, что в совокупности позволяет снижать издержки на ИБ.
Чем XDR отличается от SIEM?
Хотя XDR и SIEM похожи тем, что собирают данные из нескольких источников, помимо этого у них почти нет ничего общего. В отличие от платформы XDR, SIEM (как и пассивные EDR-решения) сам по себе не имеют возможности определять значимые тенденции и не предоставляют никаких возможностей автоматического обнаружения или реагирования на атаки. Кроме того, чтобы быть полезными, SIEM требует большого количества ручных расследований и анализа.
К счастью, если вы вложили средства в инструменты SIEM, ваша XDR-платформа не сделает их ненужными, поскольку они могут напрямую загружаться в озеро данных XDR, предоставляя необработанные данные для возможностей искусственного интеллекта и машинного обучения XDR.
На что следует обратить внимание при выборе XDR?
Первый ключ к эффективному решению XDR — интеграция. XDR должен беспрепятственно работать в вашем стеке безопасности, используя нативные инструменты с функциональным API. Важна также глубина готового функционала по корреляции событий, предотвращению и реагированию на атаки между разными СЗИ. Необходима также возможность использовать этот движок, позволяя аналитикам писать свои собственные межстековые пользовательские правила для обнаружения и реагирования на атаки. Остерегайтесь незрелых решений, которые могут быть просто набором старых инструментов с новым названием. Выбранный XDR должен представлять собой единую платформу, которая позволяет легко и быстро получать всеобъемлющее представление обо всем происходящем в организации с точки зрения ИБ.
Во-вторых, важна автоматизация, поддерживаемая искусственным интеллектом и проверенными алгоритмами машинного обучения. Имеет ли поставщик богатый опыт разработки современных моделей искусственного интеллекта или он в первую очередь известен своими устаревшими технологиями, но теперь пытается изменить свое направление?
В-третьих, насколько легко изучить, поддерживать, настраивать и обновлять XDR-решение? Одно из основных преимуществ надежного XDR-решения — повышение производительности вашего персонала за счет автоматического обнаружения и реагирования. Однако вам нужно быть уверенным, что вы не просто перенаправляете работу своих сотрудников от детекции атак на управление сложным решением или навигацию по нему.
Преимущества XDR-платформы SentinelOne Singularity
XDR-платформа на базе искусственного интеллекта SentinelOne обладает всеми преимуществами, которые необходимы комплексному решению: глубокий мониторинг, автоматическое обнаружение и реагирование на атаки, широкий набор интеграций и простота эксплуатации. Благодаря единой базе кода и модели внедрения Singularity является первым XDR, который включает в себя функционал защиты IoT и облачных ресурсов.
Все данные Интернета вещей легко интегрируются в Singularity для облегчения поиска угроз и создания ранее недоступного контекста. Используя ИИ для мониторинга и управления доступом к каждому устройству IoT, Singularity XDR позволяет машинам заниматься проблемами, которые ранее было невозможно решить в масштабных средах.
Функционал защиты контейнеров Singularity поддерживается на всех основных физических и виртуальных платформах Linux, в нативных облачных средах и средах Kubernetes. Он обеспечивает предотвращение, обнаружение, реагирование и отслеживание известных и неизвестных киберугроз. Защита покрывает вредоносные файлы и активные атаки в облачных и контейнерных средах, позволяя реализовывать расширенные варианты реагирования и автономное устранение последствий в режиме реального времени.
Заключение
Кибербезопасность часто сравнивают с гонкой вооружений между злоумышленниками и защитниками, и эта гонка уже давно вышла за пределы конечной точки. Поскольку организации используют удаленную работу и облачную инфраструктуру, увеличивая поверхность атаки, только интегрированная платформа может обеспечить мониторинг и автоматическую защиту, необходимые для всех активов. Благодаря объединению телеметрии конечных точек, сети и приложений, XDR предоставляет аналитические данные ИБ, позволяя выиграть эту гонку за счет улучшенных выявления, приоритизации и реагирования на атаки.
Если вы хотите узнать больше о платформе SentinelOne Singularity, свяжитесь с нами или запросите демонстрацию.
