Обзор систем XDR. Функционал, модели применения и кейсы.
Информационная безопасность Информационная безопасность

Что такое XDR? Варианты построения системы? Must have продукты экосистемы XDR?

Информационная безопасность Тема номера

Пара слов об XDR

Дата публикации:
28.09.2022
Посетителей:
312
Просмотров:
336
Время просмотра:
2.3

Авторы

Автор
Гурген Цовян Руководитель направления защиты от сложных целевых атак компании «Инфосистемы Джет»
Автор
Ринат Сагиров Руководитель отдела систем мониторинга ИБ и защиты приложений центра информационной безопасности компании «Инфосистемы Джет»

 

Что такое XDR?


Варианты построения системы?


Must have продукты экосистемы XDR?

 

Существует множество ИБ-продуктов, которые призваны защитить вас или хотя бы помочь выявить атаки на ИТ-инфраструктуру: NGFW, анализаторы сетевого трафика (NTA), EDR, DLP, песочницы, SIEM и т. д. Но помимо средств защиты, нужны квалифицированные кадры, а их в отрасли катастрофически не хватает. Проблема усугубляется тем, что заказчики чаще всего собирают целый зоопарк решений: NGFW от одного вендора, NTA от второго, EDR от третьего. Найти специалистов, которые умеют работать с широким пулом технологий, сложно.

По нашему опыту, в SIEM-системе компании, где работают около 1000 сотрудников, в среднем регистрируется до 10 000 событий в секунду. Только за день в таком потоке будет выплывать более 100 подозрительных активностей, которые нужно обработать и отделить зерна от плевел. Для решения этой задачи был разработан новый класс решений — XDR.

 

XDR-системы (eXtended Detection and Response) автоматически собирают и сопоставляют данные от разных ИБ-решений. По сути, это логичное развитие EDR. Но при использовании последних в область мониторинга попадают только действия на конечных хостах, а XDR расширяет ее и на другие элементы инфраструктуры: внутреннюю сеть, почту, учетные записи пользователей. Проще говоря, в зону ответственности XDR также входит первый рубеж ИБ-обороны, что позволяет обнаруживать злоумышленников до того, как они доберутся до самого сладкого.

 

XDR дополняет EDR и помогает сформировать полную картину атаки: понять точку входа, логику злоумышленника, стратегию его закрепления и перемещения по сети. Более того, с помощью системы вы можете исследовать сеть на предмет индикаторов компрометации IoC, присущих конкретной преступной группировке, и определить, кто именно вас атакует.


Есть два подхода к созданию XDR-решений: нативный и гибридный. В первом случае вендор формирует из своих ИБ-продуктов XDR-экосистему, в центре которой находится единая система управления. Гибридный подход предполагает, что вендор также включает в экосистему решения сторонних производителей. На отечественном рынке пока представлены только нативные XDR.

Что под капотом

 

Глазами и ушами XDR, т. е. сенсорами, выступают различные средства защиты. Прежде чем превратиться в инцидент, события, полученные от них, проходят несколько этапов. На первом они собираются в едином хранилище и попутно нормализуются по заданным параметрам. Затем происходит корреляция с последующим реагированием на конечных хостах. Схема похожа на работу SIEM, но главное отличие в том, что XDR позволяет уже во время обработки свести множество событий из разных источников в единую цепочку атаки.

 

Существуют два варианта организации технологического ядра системы. Первый — классический для XDR — создание Security Data Lake с использованием ML-алгоритмов. Благодаря машинному обучению в XDR автоматически выстраивается связь между событиями, в том числе теми, которые не кажутся подозрительными отдельно друг от друга. Благодаря этому сокращается время на обработку инцидентов, ведь вам не нужно реагировать на атомарные события в инфраструктуре. В результате аналитик видит цепочку действий злоумышленника и путь атаки, который может пролегать через электронную почту, конечные устройства, серверы, сети и др. Кроме того, специалист может подробно проанализировать каждый шаг хакера и выбрать оптимальные меры реагирования. При таком подходе к организации ядра ваше участие в управлении XDR будет минимальным: робот сам определяет, что нужно выявлять. Но готовы ли вы к такому?

 

Второй вариант — подключить необходимые источники к старому доброму SIEM. В этом случае схема будет привычна: события от ИБ-решений поступают в SIEM, при этом вы также можете настроить сбор из других элементов инфраструктуры (например, корпоративного домена). С SIEM вы расширяете область мониторинга, получаете полный контроль над логикой детекта и сами определяете, что нужно выявлять. Однако и здесь есть нюансы. В данном случае автоматическая агрегация событий от различных сенсоров в единую цепочку атаки не происходит, а ведь в этом вся суть концепции XDR. Вам придется самим задавать корреляционные правила, их нет «из коробки». Вы можете с тем же успехом использовать связку SIEM, Sandbox и EDR от разных вендоров и получить функционал, аналогичный XDR.

При этом главное преимущество XDR — в лицензировании. Система всегда лицензируется по количеству хостов: купить ее как набор продуктов от одного вендора дешевле, чем собирать «корзину» из отдельных решений. Но здесь важно ответить на вопрос: «Есть ли у меня компетенции для развития своей базы детекта, или я готов полностью довериться экспертизе вендора и интегратора, внедряющих XDR?» Проще говоря, кадровую проблему никто не отменял. 

 

С ядром разобрались, переходим к сенсорам. Один мы уже назвали — EDR, отвечающий за выявление и реагирование на подозрительные активности на хостах. Второй must have — песочница. Изолированная виртуальная среда, в которой безопасно запускаются объекты и выдается вердикт: может файл нанести вред или нет. Сценарии использования Sandbox давно известны:

 

  • Поведенческий анализ почтовых вложений в изолированной среде — если антивирусное ПО на почтовом шлюзе пропустило угрозу из-за отсутствия сигнатур. Мы реализовали подобный проект на 10+ тыс. пользователей. Чтобы распределить нагрузку на песочницу, мы направляли на анализ только файлы, которые не блокировались, проходя через другие эшелоны защиты — например, антивирусное ПО на почтовом шлюзе.
  • Поведенческий анализ файлов, скачанных из интернета.

 

Связка EDR и Sandbox позволяет реализовать эффективный процесс работы с подозрительными объектами — оперативно проверять их и выявлять угрозы. Это особенно актуально для новых зловредов, для которых еще не выпущены сигнатуры. Такое сочетание решений будет полезно и аналитикам SOC: с его помощью они смогут быстро получать вердикты по найденным на конечных хостах сущностям и восстанавливать цепочку атаки. Мы реализовали такой сценарий в инфраструктуре Jet CyberCamp, чтобы отрабатывать процесс расследования инцидентов.

 

Дополнительно для выявления признаков атаки на сетевом уровне набор сенсоров можно расширить анализатором сетевого трафика. В отличие от IPS/IDS, NTA использует не только сигнатурные методы выявления инцидентов, но и определяет аномальное поведение. Это расширяет контекст инцидентов на хостах и помогает снизить вероятность фолзов.

Кейс

 

В одном из проектов по внедрению NTA мы выявляли попытки компрометации инфраструктуры в сетевом трафике. У заказчика часто возникали атомарные сработки на уровне хоста, но без понимания трафика сложно было раскрутить цепочку атаки и понять, фолз это или нет. Допустим, на хосте добавлен новый процесс, SIEM задетектил это, а с помощью NTA мы увидели, что далее АРМ начал подключаться к С2С-серверам для загрузки вредоноса.


При внедрении NTA важно понимать, что прямой сбор со SPAN-портов не гарантирует чистоты разбора трафика. В этом случае на NTA льются вообще все данные, а часть из них может не представлять интереса для разбора. Рекомендуем использовать сетевой TAP + брокер фильтрации.

***
При внедрении XDR важно понимать, что это не магическая коробка, которая развернется по схеме «далее — далее». Это набор самостоятельных ИБ-продуктов, результат работы которых анализируется централизованно. Грубо говоря, XDR не равняется «легкому внедрению». Но при правильной настройке система поможет эффективнее обрабатывать поток инцидентов и снизить количество фолзов.

 

В 2020 году Gartner назвал XDR самым трендовым ИБ-решением, которое в ближайшие пять лет станет одной из ключевых частей современного ИБ-ландшафта. Мы полностью согласны с этой оценкой и считаем, что XDR в значительной мере нивелирует проблему нехватки кадров на рынке и позволяет построить комплексную и качественную защиту даже с небольшим штатом ИБ-специалистов.

Уведомления об обновлении тем – в вашей почте

Российские межсетевые экраны: плюсы, точки роста и особенности импортозамещения

Краткий обзор отечественных межсетевых экранов? Как повысить эффективность NGFW? Какого функционала еще нет в российских продуктах?

Интервью Алексея Комкова, Технического директора компании "Лаборатория Касперского"

Интервью Комкова Алексея, технического директора компании "Лаборатория Касперского" информационному бюллетеню "Jet ...

Решения Hewlett Packard для защиты информацион ных систем

Современные компании все шире внедряют корпоративные информационные системы (КИС) в свою деятельность. Это позволяет повысить эффективность деятельности за счет использования более оперативной и полной информации внутри компании, а также ...

«Карл у Клары украл кораллы»: Road Show SearchInform 2022

ИБ-тренды 2022. Кейс: как поймать инсайдера, который сливает информацию конкурентам?

DLP-отношения: от рабочей рутины до судебных процессов

Кто кому должен: обязанности компаний и сотрудников? Как регламентировать работу с конфиденциальной информацией? DLP-кейсы: почему компания может проиграть дело? Чек-лист: как оформлять данные из DLP для судебного разбирательства?

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

5000 слов о защите контейнеров

Функциональные ИБ-требования для защиты контейнеров. Как выбрать оптимальное решение? Перечень Enterprise и Open Source инструментов для защиты.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня