© 1995-2022 Компания «Инфосистемы Джет»
Обзор систем XDR. Функционал, модели применения и кейсы.
Информационная безопасность Информационная безопасность

Что такое XDR? Варианты построения системы? Must have продукты экосистемы XDR?

28.09.2022

Посетителей: 104

Просмотров: 105

Время просмотра: 2.3

Авторы

Автор
Гурген Цовян Руководитель направления защиты от сложных целевых атак компании «Инфосистемы Джет»
Автор
Ринат Сагиров Руководитель отдела систем мониторинга ИБ и защиты приложений центра информационной безопасности компании «Инфосистемы Джет»

 

Что такое XDR?


Варианты построения системы?


Must have продукты экосистемы XDR?

 

Существует множество ИБ-продуктов, которые призваны защитить вас или хотя бы помочь выявить атаки на ИТ-инфраструктуру: NGFW, анализаторы сетевого трафика (NTA), EDR, DLP, песочницы, SIEM и т. д. Но помимо средств защиты, нужны квалифицированные кадры, а их в отрасли катастрофически не хватает. Проблема усугубляется тем, что заказчики чаще всего собирают целый зоопарк решений: NGFW от одного вендора, NTA от второго, EDR от третьего. Найти специалистов, которые умеют работать с широким пулом технологий, сложно.

По нашему опыту, в SIEM-системе компании, где работают около 1000 сотрудников, в среднем регистрируется до 10 000 событий в секунду. Только за день в таком потоке будет выплывать более 100 подозрительных активностей, которые нужно обработать и отделить зерна от плевел. Для решения этой задачи был разработан новый класс решений — XDR.

 

XDR-системы (eXtended Detection and Response) автоматически собирают и сопоставляют данные от разных ИБ-решений. По сути, это логичное развитие EDR. Но при использовании последних в область мониторинга попадают только действия на конечных хостах, а XDR расширяет ее и на другие элементы инфраструктуры: внутреннюю сеть, почту, учетные записи пользователей. Проще говоря, в зону ответственности XDR также входит первый рубеж ИБ-обороны, что позволяет обнаруживать злоумышленников до того, как они доберутся до самого сладкого.

 

XDR дополняет EDR и помогает сформировать полную картину атаки: понять точку входа, логику злоумышленника, стратегию его закрепления и перемещения по сети. Более того, с помощью системы вы можете исследовать сеть на предмет индикаторов компрометации IoC, присущих конкретной преступной группировке, и определить, кто именно вас атакует.


Есть два подхода к созданию XDR-решений: нативный и гибридный. В первом случае вендор формирует из своих ИБ-продуктов XDR-экосистему, в центре которой находится единая система управления. Гибридный подход предполагает, что вендор также включает в экосистему решения сторонних производителей. На отечественном рынке пока представлены только нативные XDR.

Что под капотом

 

Глазами и ушами XDR, т. е. сенсорами, выступают различные средства защиты. Прежде чем превратиться в инцидент, события, полученные от них, проходят несколько этапов. На первом они собираются в едином хранилище и попутно нормализуются по заданным параметрам. Затем происходит корреляция с последующим реагированием на конечных хостах. Схема похожа на работу SIEM, но главное отличие в том, что XDR позволяет уже во время обработки свести множество событий из разных источников в единую цепочку атаки.

 

Существуют два варианта организации технологического ядра системы. Первый — классический для XDR — создание Security Data Lake с использованием ML-алгоритмов. Благодаря машинному обучению в XDR автоматически выстраивается связь между событиями, в том числе теми, которые не кажутся подозрительными отдельно друг от друга. Благодаря этому сокращается время на обработку инцидентов, ведь вам не нужно реагировать на атомарные события в инфраструктуре. В результате аналитик видит цепочку действий злоумышленника и путь атаки, который может пролегать через электронную почту, конечные устройства, серверы, сети и др. Кроме того, специалист может подробно проанализировать каждый шаг хакера и выбрать оптимальные меры реагирования. При таком подходе к организации ядра ваше участие в управлении XDR будет минимальным: робот сам определяет, что нужно выявлять. Но готовы ли вы к такому?

 

Второй вариант — подключить необходимые источники к старому доброму SIEM. В этом случае схема будет привычна: события от ИБ-решений поступают в SIEM, при этом вы также можете настроить сбор из других элементов инфраструктуры (например, корпоративного домена). С SIEM вы расширяете область мониторинга, получаете полный контроль над логикой детекта и сами определяете, что нужно выявлять. Однако и здесь есть нюансы. В данном случае автоматическая агрегация событий от различных сенсоров в единую цепочку атаки не происходит, а ведь в этом вся суть концепции XDR. Вам придется самим задавать корреляционные правила, их нет «из коробки». Вы можете с тем же успехом использовать связку SIEM, Sandbox и EDR от разных вендоров и получить функционал, аналогичный XDR.

Авторы

При этом главное преимущество XDR — в лицензировании. Система всегда лицензируется по количеству хостов: купить ее как набор продуктов от одного вендора дешевле, чем собирать «корзину» из отдельных решений. Но здесь важно ответить на вопрос: «Есть ли у меня компетенции для развития своей базы детекта, или я готов полностью довериться экспертизе вендора и интегратора, внедряющих XDR?» Проще говоря, кадровую проблему никто не отменял. 

 

С ядром разобрались, переходим к сенсорам. Один мы уже назвали — EDR, отвечающий за выявление и реагирование на подозрительные активности на хостах. Второй must have — песочница. Изолированная виртуальная среда, в которой безопасно запускаются объекты и выдается вердикт: может файл нанести вред или нет. Сценарии использования Sandbox давно известны:

 

  • Поведенческий анализ почтовых вложений в изолированной среде — если антивирусное ПО на почтовом шлюзе пропустило угрозу из-за отсутствия сигнатур. Мы реализовали подобный проект на 10+ тыс. пользователей. Чтобы распределить нагрузку на песочницу, мы направляли на анализ только файлы, которые не блокировались, проходя через другие эшелоны защиты — например, антивирусное ПО на почтовом шлюзе.
  • Поведенческий анализ файлов, скачанных из интернета.

 

Связка EDR и Sandbox позволяет реализовать эффективный процесс работы с подозрительными объектами — оперативно проверять их и выявлять угрозы. Это особенно актуально для новых зловредов, для которых еще не выпущены сигнатуры. Такое сочетание решений будет полезно и аналитикам SOC: с его помощью они смогут быстро получать вердикты по найденным на конечных хостах сущностям и восстанавливать цепочку атаки. Мы реализовали такой сценарий в инфраструктуре Jet CyberCamp, чтобы отрабатывать процесс расследования инцидентов.

 

Дополнительно для выявления признаков атаки на сетевом уровне набор сенсоров можно расширить анализатором сетевого трафика. В отличие от IPS/IDS, NTA использует не только сигнатурные методы выявления инцидентов, но и определяет аномальное поведение. Это расширяет контекст инцидентов на хостах и помогает снизить вероятность фолзов.

Кейс

 

В одном из проектов по внедрению NTA мы выявляли попытки компрометации инфраструктуры в сетевом трафике. У заказчика часто возникали атомарные сработки на уровне хоста, но без понимания трафика сложно было раскрутить цепочку атаки и понять, фолз это или нет. Допустим, на хосте добавлен новый процесс, SIEM задетектил это, а с помощью NTA мы увидели, что далее АРМ начал подключаться к С2С-серверам для загрузки вредоноса.


При внедрении NTA важно понимать, что прямой сбор со SPAN-портов не гарантирует чистоты разбора трафика. В этом случае на NTA льются вообще все данные, а часть из них может не представлять интереса для разбора. Рекомендуем использовать сетевой TAP + брокер фильтрации.

***
При внедрении XDR важно понимать, что это не магическая коробка, которая развернется по схеме «далее — далее». Это набор самостоятельных ИБ-продуктов, результат работы которых анализируется централизованно. Грубо говоря, XDR не равняется «легкому внедрению». Но при правильной настройке система поможет эффективнее обрабатывать поток инцидентов и снизить количество фолзов.

 

В 2020 году Gartner назвал XDR самым трендовым ИБ-решением, которое в ближайшие пять лет станет одной из ключевых частей современного ИБ-ландшафта. Мы полностью согласны с этой оценкой и считаем, что XDR в значительной мере нивелирует проблему нехватки кадров на рынке и позволяет построить комплексную и качественную защиту даже с небольшим штатом ИБ-специалистов.

Уведомления об обновлении тем – в вашей почте

Как реагировать на нарушения информационной безопасности

Цель настоящего документа – сформулировать ожидания Интернет-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Нет возможности определить набор ...

Информационная безопасность - обзор основных положений. Часть 2

Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ  В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа ...

Облачная НЕбезопасность и как с ней бороться

Риски частных, публичных инфраструктурных облаков и облачных приложений. Как защитить компанию при переходе в cloud-среду?

SOC за четыре недели? А что, так можно было?

Что такое «быстро SOC»? Создание базовой конфигурации решения. Кейс «100 дней на SOC с нуля».

Хорошая безопасность работает с людьми

Топы, рядовые пользователи, подрядчики… Выстраиваем с ними ИБ-отношения? Как мы обучаем сотрудников нашей компании защите от фишинга? Почему в ИБ нужны экстраверты?

«Информационная безопасность банков»: что прогнозируют российские ИБ-специалисты

Появились ли за последние два месяца новые ИБ-угрозы? Из-за чего происходит «окирпичивание» оборудования? Почему текущие проблемы — это только начало?

Кто виноват и что делать: о чем спорили участники форума DLP+

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Open Source в SOC

Тест-драйв Elastic Stack. Что показало тестирование? Плюсы и минусы ПО с открытым кодом.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня