Что такое XDR (Extended Detection and Response)?
XDR (англ. Extended Detection and Response, расширенное обнаружение и реагирование) — это открытая архитектура кибербезопасности, которая объединяет инструменты защиты и унифицирует операции на всех уровнях корпоративной сети (пользователи, конечные точки, электронная почта, приложения, сеть, облачные рабочие нагрузки и данные).
В настоящее время платформы XDR являются новой возможностью в индустрии кибербезопасности, но всем ли компаниям они подходят?
Обзор
До сих пор нет единого определения XDR. По мнению специалистов IDC, XDR включает в себя телеметрии безопасности, данные безопасности, их обработку через аналитический механизм, который затем обнаруживает вредоносные действия и, в конечном итоге, реагирует на них.
В то же время специалисты Forrester дополняют определение и говорят, что это эволюция EDR (англ. Endpoint Detection and Response, технология обнаружения и блокировки событий информационной безопасности, доступная на ноутбуках, настольных компьютерах и подобных устройствах). Они также добавляют к определению проактивный поиск угроз и расследование, а затем реагирование.
А Gartner дополняет это определение ещё больше и говорит, что это облачная платформа, которая уменьшает количество инструментов защиты, снижая тем самым нагрузку на специалистов информационной безопасности и сокращая эксплуатационные расходы.
Рынок технологий обнаружения угроз
На рынке информационной безопасности представлены ряд платформ обнаружения:
- Управление событиями информационной безопасности (англ. Security information and event management). Работает на основе сигнатур и существует уже не менее 10 лет.
- Обнаружение угроз (англ. Threat detection), в которой используются методы поведенческого анализа.
- Обнаружение и реагирование на конечные точки (англ. Endpoint Detection and Response). Это апгрейд традиционной антивирусной защиты от вредоносных программ. Она также включает в себя компонент поведенческого анализа, которого нет в большинстве традиционных служб защиты конечных точек.
- Защита электронной почты.
- Проприетарные службы обнаружения, которые доступны через определённые облачные платформы.
Какие проблемы решает XDR?
При всём многообразии доступных вариантов решений по обнаружению угроз сегодня ни один из существующих инструментов на самом деле не эффективен для охвата всех сегментов корпоративной информационной среды (пользователи и конечные точки, браузеры и электронная почта, сеть, облако, приложения SaaS).
Например, в SIEM очень редко прописываются корреляции между платформами защиты электронной почты и защиты облачных сред. Потому что обычно угрозы не передаются в облако через электронную почту, по крайней мере, напрямую.
Но в XDR принимается во внимание активность тех или иных инцидентов, когда что-то подозрительное появляется в электронной почте и потенциально может попасть в облачную среду. Просматриваются все сегменты и устанавливается закономерность тенденций и контекст инцидентов, данные которых передаются инженеру информационной безопасности.
XDR обеспечивает широкое представление об инциденте и сокращает время, необходимое центру управления информационной безопасностью для реагирования на конкретный инцидент.
Как работает XDR?
В основе работы XDR лежит сбор информации об инцидентах. Это целостное представление по сегментам, полученное посредством тщательного анализа данных, которое позволяет связывать оповещения и уведомления более низкого уровня в более существенный кейс. Это в целом приводит к более высокому уровню оповещений и существенно снижает уровень ложных срабатываний.
Поскольку рассматривается несколько оповещений в множестве различных сегментов, происходит объединение этих оповещений, что позволяет специалисту по информационной безопасности сфокусироваться на кластере или группе оповещений, а не на отдельном оповещении, которое он должен отслеживать.
Преимущества и недостатки XDR
Благодаря XDR, решения информационной безопасности, которые не предназначены для совместной работы, могут без каких-либо препятствий взаимодействовать при предотвращении, обнаружении, расследовании угроз и реагировании на них.
XDR устраняет пробелы в видимости между инструментами и уровнями защиты, позволяя перегруженным командам безопасности быстрее и эффективнее обнаруживать и устранять угрозы, а также собирать более полные контекстуальные данные для принятия максимально эффективных решений по предотвращению будущих кибератак.
Возможным вызовом может быть чрезмерная зависимость от автоматизации информационной защиты, особенно для оценки и определения воздействия конкретного события. Инженер по информационной безопасности не может выйти за рамки того, что предоставляется на платформе XDR.
Кому подходит XDR
Платформа XDR подходит в первую очередь организациям, где уже установлены некоторые инструменты защиты. Она не заменит SIEM или EDR, а по сути будет располагаться поверх них и консолидировать информацию из установленных SIEM, EDR и различных других инструментов, которые уже есть в корпоративной ИТ-инфраструктуре. XDR обеспечивает единое представление этих инструментов, которое поможет точно определить, когда необходимо отреагировать на инцидент.
Наиболее всего XDR подойдет:
- крупным компаниям с собственным SOC;
- внешним провайдерам услуг по управлению информационной безопасностью;
- компаниям с высоким приоритетом информационной безопасности.
Заключение
Архитектура платформ XDR впервые была определена в 2018 году и с тех пор быстро развивалась. Сегодня эксперты считают, что XDR — это потенциально глобальнее, чем просто совокупность инструментов и функций, которые она интегрирует, подчеркивая такие преимущества, как сквозная видимость угроз, унифицированный интерфейс и оптимизированные рабочие процессы для обнаружения, расследования и реагирования на угрозы.
Кроме того, аналитики и поставщики классифицируют решения XDR как нативные, которые интегрируют инструменты безопасности только от поставщика решения, или открытые XDR, которые интегрируют все инструменты защиты в экосистему безопасности организации независимо от поставщика. Но становится всё более очевидным, что команды корпоративной безопасности и центры управления безопасностью ожидают, что даже собственные решения XDR будут открытыми, обеспечивая гибкость для интеграции сторонних инструментов безопасности, которые они используют сейчас или, возможно, предпочтут использовать в будущем.