Что такое XDR?
Варианты построения системы?
Must have продукты экосистемы XDR?
Существует множество ИБ-продуктов, которые призваны защитить вас или хотя бы помочь выявить атаки на ИТ-инфраструктуру: NGFW, анализаторы сетевого трафика (NTA), EDR, DLP, песочницы, SIEM и т. д. Но помимо средств защиты, нужны квалифицированные кадры, а их в отрасли катастрофически не хватает. Проблема усугубляется тем, что заказчики чаще всего собирают целый зоопарк решений: NGFW от одного вендора, NTA от второго, EDR от третьего. Найти специалистов, которые умеют работать с широким пулом технологий, сложно.
По нашему опыту, в SIEM-системе компании, где работают около 1000 сотрудников, в среднем регистрируется до 10 000 событий в секунду. Только за день в таком потоке будет выплывать более 100 подозрительных активностей, которые нужно обработать и отделить зерна от плевел. Для решения этой задачи был разработан новый класс решений — XDR.
XDR-системы (eXtended Detection and Response) автоматически собирают и сопоставляют данные от разных ИБ-решений. По сути, это логичное развитие EDR. Но при использовании последних в область мониторинга попадают только действия на конечных хостах, а XDR расширяет ее и на другие элементы инфраструктуры: внутреннюю сеть, почту, учетные записи пользователей. Проще говоря, в зону ответственности XDR также входит первый рубеж ИБ-обороны, что позволяет обнаруживать злоумышленников до того, как они доберутся до самого сладкого.
XDR дополняет EDR и помогает сформировать полную картину атаки: понять точку входа, логику злоумышленника, стратегию его закрепления и перемещения по сети. Более того, с помощью системы вы можете исследовать сеть на предмет индикаторов компрометации IoC, присущих конкретной преступной группировке, и определить, кто именно вас атакует.
Есть два подхода к созданию XDR-решений: нативный и гибридный. В первом случае вендор формирует из своих ИБ-продуктов XDR-экосистему, в центре которой находится единая система управления. Гибридный подход предполагает, что вендор также включает в экосистему решения сторонних производителей. На отечественном рынке пока представлены только нативные XDR.
Что под капотом
Глазами и ушами XDR, т. е. сенсорами, выступают различные средства защиты. Прежде чем превратиться в инцидент, события, полученные от них, проходят несколько этапов. На первом они собираются в едином хранилище и попутно нормализуются по заданным параметрам. Затем происходит корреляция с последующим реагированием на конечных хостах. Схема похожа на работу SIEM, но главное отличие в том, что XDR позволяет уже во время обработки свести множество событий из разных источников в единую цепочку атаки.
Существуют два варианта организации технологического ядра системы. Первый — классический для XDR — создание Security Data Lake с использованием ML-алгоритмов. Благодаря машинному обучению в XDR автоматически выстраивается связь между событиями, в том числе теми, которые не кажутся подозрительными отдельно друг от друга. Благодаря этому сокращается время на обработку инцидентов, ведь вам не нужно реагировать на атомарные события в инфраструктуре. В результате аналитик видит цепочку действий злоумышленника и путь атаки, который может пролегать через электронную почту, конечные устройства, серверы, сети и др. Кроме того, специалист может подробно проанализировать каждый шаг хакера и выбрать оптимальные меры реагирования. При таком подходе к организации ядра ваше участие в управлении XDR будет минимальным: робот сам определяет, что нужно выявлять. Но готовы ли вы к такому?
Второй вариант — подключить необходимые источники к старому доброму SIEM. В этом случае схема будет привычна: события от ИБ-решений поступают в SIEM, при этом вы также можете настроить сбор из других элементов инфраструктуры (например, корпоративного домена). С SIEM вы расширяете область мониторинга, получаете полный контроль над логикой детекта и сами определяете, что нужно выявлять. Однако и здесь есть нюансы. В данном случае автоматическая агрегация событий от различных сенсоров в единую цепочку атаки не происходит, а ведь в этом вся суть концепции XDR. Вам придется самим задавать корреляционные правила, их нет «из коробки». Вы можете с тем же успехом использовать связку SIEM, Sandbox и EDR от разных вендоров и получить функционал, аналогичный XDR.
При этом главное преимущество XDR — в лицензировании. Система всегда лицензируется по количеству хостов: купить ее как набор продуктов от одного вендора дешевле, чем собирать «корзину» из отдельных решений. Но здесь важно ответить на вопрос: «Есть ли у меня компетенции для развития своей базы детекта, или я готов полностью довериться экспертизе вендора и интегратора, внедряющих XDR?» Проще говоря, кадровую проблему никто не отменял.
С ядром разобрались, переходим к сенсорам. Один мы уже назвали — EDR, отвечающий за выявление и реагирование на подозрительные активности на хостах. Второй must have — песочница. Изолированная виртуальная среда, в которой безопасно запускаются объекты и выдается вердикт: может файл нанести вред или нет. Сценарии использования Sandbox давно известны:
- Поведенческий анализ почтовых вложений в изолированной среде — если антивирусное ПО на почтовом шлюзе пропустило угрозу из-за отсутствия сигнатур. Мы реализовали подобный проект на 10+ тыс. пользователей. Чтобы распределить нагрузку на песочницу, мы направляли на анализ только файлы, которые не блокировались, проходя через другие эшелоны защиты — например, антивирусное ПО на почтовом шлюзе.
- Поведенческий анализ файлов, скачанных из интернета.
Связка EDR и Sandbox позволяет реализовать эффективный процесс работы с подозрительными объектами — оперативно проверять их и выявлять угрозы. Это особенно актуально для новых зловредов, для которых еще не выпущены сигнатуры. Такое сочетание решений будет полезно и аналитикам SOC: с его помощью они смогут быстро получать вердикты по найденным на конечных хостах сущностям и восстанавливать цепочку атаки. Мы реализовали такой сценарий в инфраструктуре Jet CyberCamp, чтобы отрабатывать процесс расследования инцидентов.
Дополнительно для выявления признаков атаки на сетевом уровне набор сенсоров можно расширить анализатором сетевого трафика. В отличие от IPS/IDS, NTA использует не только сигнатурные методы выявления инцидентов, но и определяет аномальное поведение. Это расширяет контекст инцидентов на хостах и помогает снизить вероятность фолзов.
Кейс
В одном из проектов по внедрению NTA мы выявляли попытки компрометации инфраструктуры в сетевом трафике. У заказчика часто возникали атомарные сработки на уровне хоста, но без понимания трафика сложно было раскрутить цепочку атаки и понять, фолз это или нет. Допустим, на хосте добавлен новый процесс, SIEM задетектил это, а с помощью NTA мы увидели, что далее АРМ начал подключаться к С2С-серверам для загрузки вредоноса.
При внедрении NTA важно понимать, что прямой сбор со SPAN-портов не гарантирует чистоты разбора трафика. В этом случае на NTA льются вообще все данные, а часть из них может не представлять интереса для разбора. Рекомендуем использовать сетевой TAP + брокер фильтрации.
***
При внедрении XDR важно понимать, что это не магическая коробка, которая развернется по схеме «далее — далее». Это набор самостоятельных ИБ-продуктов, результат работы которых анализируется централизованно. Грубо говоря, XDR не равняется «легкому внедрению». Но при правильной настройке система поможет эффективнее обрабатывать поток инцидентов и снизить количество фолзов.
В 2020 году Gartner назвал XDR самым трендовым ИБ-решением, которое в ближайшие пять лет станет одной из ключевых частей современного ИБ-ландшафта. Мы полностью согласны с этой оценкой и считаем, что XDR в значительной мере нивелирует проблему нехватки кадров на рынке и позволяет построить комплексную и качественную защиту даже с небольшим штатом ИБ-специалистов.