Все, что вы хотели знать про XDR
Количество аббревиатур в кибербезопасности неустанно растет. Опытные безопасники, молодые специалисты и даже C-level уже знакомы с такими аббревиатурами как EDR, MDR, NDR, XDR или MXDR. Однако оперировать ими в дискуссиях — еще не значит понимать все тонкости технологий и их отличия.
Сейчас наибольшее внимание привлекает XDR. Ряд поставщиков решений безопасности называют свои продукты XDR-платформами, искусно делая "ребрендинг" устаревших решений.
В этой статье мы постараемся разобраться в сути XDR-технологии, выявить ее главные характеристики и определить области применения.
XDR — eXtended Detection and Response
Согласно Forrester, XDR представляет собой виток эволюции технологии EDR, которая оптимизирует процессы обнаружения, исследования, реагирования и мониторинга угроз в реальном времени. XDR использует данные не только с конечных точек, но и из инструментов вроде NAV (Network Analysis and Visibility), системы защиты электронной почты, управления доступом и идентификацией (IAM), облачной безопасности и других. Будучи облачной платформой, XDR использует мощности анализа больших данных и предоставляет командам безопасности гибкость, масштабируемость и автоматизацию.
XDR проводит корреляцию собранных данных для автоматического выявления угроз и предоставляет возможность для ручного поиска. Что более важно, XDR учитывает мельчайшие детали, что способствует обнаружению ранее незамеченных угроз.
Какие бывают типы XDR
Условно все XDR-технологии делятся на две категории — Native и Open.
Native XDR целиком сосредоточен на решениях одного вендора. Это зачастую работает в ущерб интеграциям с продуктами других производителей, ведь все интеграции и сбор данных ориентированы только на продукты данного вендора.
Среди преимуществ Native XDR — глубокая интеграция и возможности тонкой настройки благодаря фокусу на целевых решениях. Также требуется меньше времени для развертывания и первичной настройки системы.
Говоря о недостатках, следует отметить, что один поставщик не может предоставить все необходимые решения, что может привести к недостаточной видимости угроз. Помимо этого, невозможность интеграции с продуктами других поставщиков снижает общую функциональность системы безопасности.
Open XDR фокусируется на интеграции с продуктами различных поставщиков, а также сборе данных для анализа и реагирования на угрозы.
Интеграция с продуктами разных поставщиков является несомненным плюсом, так как позволяет повысить эффективность уже существующих средств безопасности. Помимо этого, этот тип XDR предоставляет возможность интегрировать разнообразные решения, обеспечивая анализ данных со всех уровней организации.
Среди недостатков — сложность интеграции с новыми и изменяющимися продуктами, так как рынок безопасности не стоит на месте. Вдобавок, большая свобода в интеграциях может вызвать сложности при конфигурировании.
Каждый из этих типов XDR имеет свои плюсы и минусы, при этом оба могут значительно улучшить безопасность организации. Какой из них вы предпочтете — в корне зависит от текущей инфраструктуры вашей организации, поставщиков средств безопасности и потребностей бизнеса. Поэтому, прежде чем выбрать, проанализируйте потребности и вектор развития вашей компании и определитесь с ожиданиями от новой технологии.
Как XDR помогает оптимизировать процессы
Цифровизация влечет за собой автоматизацию человеческого труда. Если раньше задачи выполнялись неделями, то сейчас искусственный интеллект делает их в разы быстрее, и XDR — хороший пример таких перемен.
Автоматическое сопоставление событий существенно сокращает время обнаружения угроз и делает этот процесс более эффективным. Больше не нужно проводить ручной анализ сотен тысяч событий — вместо этого можно уделить время более стратегически важным задачам. XDR также производит приоритизацию угроз, показывая, какие инциденты требуют немедленных мер, а какие могут подождать. В совокупности это уменьшает среднее время на обнаружение и устранение угроз — важную характеристику зрелости инфраструктуры безопасности. Сокращение порога входа для работы с продуктами безопасности означает, что даже младшие аналитики могут успешно проводить расследования и устранять угрозы.
Все вышеуказанные моменты показывают, что XDR значительно снижает зависимость от человеческих ресурсов, экономя средства на оплате труда и обучении, при этом увеличивая потенциал в области кибербезопасности организации. Однако не стоит забывать, что на данный момент роль человека в области информационной безопасности все еще важна, так как именно человек, а не искусственный интеллект. принимает ключевые решения.
Как реагировать на угрозы
Популярность автоматизированных средств для атак постоянно растет — как и популярность автоматизированных средств для защиты. XDR предоставляет варианты реагирования, которые воздействуют как на конечные точки, так и на сеть, электронную почту, контроль утечки данных, веб-фильтрацию и другие компоненты безопасности.
Зачастую для борьбы с угрозами требуется выполнить серию рутинных задач. Для оптимизации процессов безопасности, такие действия можно формализовать в виде плейбуков — последовательности шагов, созданных для реагирования на определенные типы угроз.
Так, в плейбуке XDR могут быть такие действия:
- Создать кейс в системе управления заявками с добавлением в заявку полной информации об угрозе. Если кейс уже существует, обновить его новыми данными.
- Инициировать расследование в системе EDR.
- Добавить обнаруженный вредоносный IP-адрес в черный список в системе IPS/IDS.
XDR способен запускать плейбуки автоматически, например, при обнаружении определенной угрозы или события. Их также можно запускать вручную — например, для внесения начальных данных (IP-адрес, хеш и т. д.) или если плейбуки потенциально могут повлиять на бизнес-процессы.
Как автоматический, так и ручной запуск плейбуков способствует ускорению процесса реагирования и уменьшению влияния человеческого фактора. Чем четче прописаны шаги, тем меньше риск возникновения путаницы при обнаружении угроз. Ну а освободившееся благодаря автоматизации время можно посвятить решению других проблем.
Немного о Trellix
Trellix — это вендор, который предлагал ключевые функции XDR еще до появления термина XDR. Как истинный ветеран среди поставщиков решений кибербезопасности, Trellix не следует трендам рынка, а формирует их.
Краткая сводка:
- Trellix включен в наибольшее количество отчетов об XDR и средствах безопасности, опубликованных Gartner, Forrester и IDC.
- Trellix — ведущий поставщик XDR с наибольшим количеством отзывов о средствах безопасности на сайте Gartner Peer Insights.
- Trellix занимает 6-е место среди поставщиков ПО для обеспечения безопасности по общим доходам в рейтинге Market Share Analysis: Security Software, Worldwide, 2021.
- Trellix занимает 3-е место среди поставщиков современных средств защиты конечных точек в отчете IDC Worldwide Modern Endpoint Security Market Shares, июль 2021 — июнь 2022 года.
Что такое Trellix XDR?
Почти каждая команда информационной безопасности нуждается в надежном помощнике, который повышал бы эффективность обнаружения, расследования и реагирования на угрозы. Trellix XDR — это облачная платформа, которая смело претендует на это звание. Ее уникальность заключается в том, что она объединяет в себе оба типа XDR — Native и Open — лишая вас трудностей выбора. Trellix XDR взял лучшее от обоих: интеграцию более чем с 1000 источниками данных (как Open XDR), а также глубокие интеграции внутри платформы Trellix (как Native XDR).
Решение Trellix XDR легко развертывается и интегрируется в существующую инфраструктуру безопасности, а также имеет обширный набор решений Trellix в своем арсенале.
Что включает платформа безопасности Trellix
Продукты Trellix охватывают приблизительно 70% потребностей организаций в области информационной безопасности. Их слаженная работа позволяет выявлять и блокировать угрозы, обмениваться данными о безопасности и передавать всю собранную телеметрию в Trellix XDR для последующего анализа.
Платформа Trellix XDR черпает информацию от Trellix Advanced Research Center, который объединяет ведущих экспертов в области информационной безопасности. Они тщательно изучают поступающую телеметрию, анализируют новейшие угрозы и постоянно улучшают качество продуктов Trellix. Благодаря многочисленным интеграциям, к Trellix XDR также подключаются решения от сторонних поставщиков, что дополняет его данными о безопасности и телеметрией. С точки зрения пользовательского интерфейса, XConsole выступает в качестве связующего компонента для ключевых решений Trellix. Теперь можно забыть про множество вкладок в браузере и рассеянности в информационном потоке — все основные элементы управления доступны в XConsole.
В итоге платформа безопасности Trellix XDR представляет собой следующее:
Настройка подключения источников
Вся работа, связанная с процессом настройки Trellix XDR, начинается с подключения источников данных. Например, к Trellix XDR можно подключить:
- Продукты для обеспечения безопасности конечных точек, сети, электронной почты, облачных ресурсов и мобильных устройств.
- Решения для управления уязвимостями и активами.
- Облачные платформы, такие как AWS и Azure.
- События, связанные с операционными системами Windows и службой Active Directory.
- И множество других источников.
Для интеграции с облачными продуктами разных поставщиков Trellix XDR использует инструмент Cloud Connect. Этот механизм спроектирован так, чтобы процесс интеграции был быстрым и не требовал долгого изучения многостраничных инструкций. Это применимо как к продуктам Trellix, так и к решениям от сторонних разработчиков. Вот лишь несколько примеров доступных интеграций:
В консоли XDR вы сможете видеть все подключенные источники данных, оценить количество событий, которые они генерируют, и легко начать поиск информации с выбранного источника одним кликом.
Поиск угроз в Trellix XDR
Информация, собранная с различных устройств, может быть обработана как автоматически, так и вручную.
XDR может автоматически обнаружить угрозы с использованием корреляционных правил, искусственного интеллекта и анализа поведения пользователей и активов (UEBA).
Для эффективного ручного анализа и поиска угроз в Trellix XDR существуют несколько технологий, включая Trellix Query Language и Investigation Tips.
Trellix Query Language (TQL) — это язык запросов, разработанный Trellix, который обладает простым синтаксисом и позволяет быстро создавать сложные точечные запросы.
Технология Investigation Tips позволяет на каждом этапе расследования понимать, в каком направлении двигаться дальше. Представьте себе, что вы проводите расследование инцидента вместе с ведущим экспертом Trellix, который задает наводящие вопросы, чтобы помочь выявить истинную причину инцидента.
Допустим, у нас возник инцидент на сетевом уровне. Trellix XDR берет IP-адрес атакованной рабочей станции и предоставляет информацию о выявленных угрозах, полученную из других средств безопасности, связанных с этой системой. Таким образом, становится понятно, например, какой файл мог вызвать вредоносную сетевую активность, и существовали ли похожие инциденты, на которые стоит обратить внимание.
В результате использования Investigation Tips уровень квалификации аналитиков повышается, а скорость и качество обработки инцидентов увеличиваются.
Автоматизация в Trellix XDR
Одной из сильных сторон Trellix XDR являются плейбуки. Все они разработаны для эффективного устранения угроз в различных сценариях и в зависимости от потребностей. Trellix самостоятельно создает универсальные плейбуки, постоянно совершенствуя и добавляя новые функции в систему. В случае необходимости расширения возможностей "из коробки" вы также можете создавать собственные плейбуки, которые учитывают особенности ваших средств безопасности и уникальные задачи.
Примеры предустановленных плейбуков в Trellix XDR включают в себя:
- Определение имени атакуемого пользователя из инцидента и блокировка его через Azure AD.
- Определение IP-адреса из инцидента и создание автоматического расследования в Trellix EDR.
- Определение атакуемой рабочей станции и назначение на нее тега, который применяет наиболее строгие политики и изолирует ее от сети.
Очевидно, что возможности автоматизации в Trellix XDR играют важную роль в формировании процессов безопасности, способствуя ускорению реагирования на угрозы и повышению его эффективности.
Вместо заключения
XDR представляет собой перспективную технологию, интегрирующую различные решения в области безопасности и автоматизирующую процессы выявления и реагирования на угрозы. С ним количество времени, затраченного на рутинные задачи, уменьшается, а качество обнаружения и реагирования на угрозы — увеличивается.
Платформа Trellix XDR служит примером зрелого XDR. Внутри нее находится тесно интегрированное решение, позволяющее обмениваться актуальной информацией об угрозах и более эффективно предотвращать их. Благодаря интеграциям с Trellix XDR пользователи получают возможность подключения решений от сторонних поставщиков, что обогащает систему данными и контекстом, улучшая выявление скрытых злоумышленников.
Trellix XDR предлагает разнообразные инструменты для обнаружения угроз. Автоматическая корреляция значительно упрощает задачу аналитика, а в случае необходимости Trellix XDR позволяет проводить поиск по всей доступной информации с использованием Trellix Query Language и предоставляет рекомендации для дальнейшего расследования с помощью Investigative Tips.
Для эффективного противодействия выявленным угрозам в Trellix XDR имеется множество предустановленных плейбуков, способствующих более быстрому и компетентному реагированию. Все это делает Trellix XDR решением, которое поднимает уровень безопасности организации на новую высоту и способствует обучению персонала передовым практикам в области информационной безопасности.
Если у вас есть вопросы по решению, напишите нам: [email protected]