XDR — новое слово в борьбе с киберугрозами

0

Ежегодно растет число киберугроз и их сложность. Сетевые мошенники разрабатывают сложнейшие системы, с которыми обычному антивирусу не справиться. Крупные компании переходят на более инновационные и надежные системы защиты. Среди них XDR — Extended Detection and Response — принципиально новое решение в сфере борьбы с кибератаками, которое обеспечивает надежную защиту всех конечных точек. Внедрив такую систему в любую компанию, можно свести к минимуму риски проникновения злоумышленников в сеть и кражи данных. Эксперт ИТ-компании WIAT рассказал Digital Report о системе XDR: особенностях, преимуществах от внедрения, перспективах развития и другом.

XDR (Extended Detection and Response) — система, обеспечивающая постоянный анализ угроз и реагирование на них на конечных точках по типу ПК или ноутбуков.

Так как сегодня подобных конечных точек стало намного больше и все они подвержены риску взлома со стороны злоумышленников, нужны принципиально другие решения. В том числе и те, которые способны защищать не только смартфоны и планшеты, но и облачные приложения.

Технология XDR, которая часто называется методикой «многослойного» выявления и реагирования, отличается от EDR тем, что позволяет выходить за пределы конечных точек и реагировать на угрозы, опираясь на данные от многих средства защиты информации. При этом в процессе реагирования будут задействованы все возможные и доступные инструменты: электронная почта, роутеры, маршрутизаторы, системы управления данными и учетными записями.

Что такое XDR-системы

XDR-система объединяет инструменты, формирующие платформу, способную выявлять нарушения безопасности ИТ-инфраструктуры и быстро реагировать на них. С помощью XDR-системы можно организовать комплексный контроль над потенциальными угрозами со стороны злоумышленников. Этот глобальный контроль обусловлен тем, что система собирает прошлые и текущие данные на следующих уровнях:

  • конечные точки доступа
  • сетевые устройства (сенсоры, шлюзы, WAF, FW, IPS)
  • e-mail трафик
  • инструменты виртуализации
  • облачные сервисы
  • системы разграничения доступа
  • DLP-системы

Данные, которые собираются на этих уровнях, проходят через разные этапы:

  • «Нормализация» информации по параметрам, заданным ранее. Поступление данных в Data Lake.
  • Корреляция полученной информации и реагирование на инциденты, а затем, при необходимости, выполнение расследования.

Схема работы XDR похожа на работу SIEM — Security Information and Event Management — управление безопасностью информации и управление событиями безопасности. Но XDR может объединять одновременного множество разных событий, которые поступают из различных источников, формируя максимально полную стратегию и историю атаки.

XDR — новое слово в борьбе с киберугрозами

С помощью XDR можно узнать, какое самое первое действие совершил злоумышленник — с чего конкретно началось его проникновение в сеть. И главное, сделать это можно с помощью всего одной консоли, без необходимости применения разрозненных систем администрирования и сравнения и анализа полученные из них данных.

Сбор, обработка и анализ событий в XDR базируется на автоматических действиях XDR-системы и методе машинного обучения. Поэтому с помощью этой технологии можно сильно сократить число администраторов сети, отвечающих за ее безопасность, реагирование на угрозы и их дальнейшее расследование.

Преимущества XDR относительно EDR

XDR заменяет отдельно взятые СЗИ и позволяет унифицировать организацию решения проблем кибербезопасности. Так как используется единый пул информации, включающий все данные об экосистеме информационной безопасности, XDR-система способна обнаружить угрозы и реагировать на них быстрее чем EDR. XDR может быстрее, глубже и эффективнее собирать и анализировать информацию из гораздо большего числа источников.

С помощью XDR можно обеспечить максимально детальный мониторинг потенциальных уязвимостей, а все инциденты, которые не удалось устранить, в дальнейшем обрабатываются на максимальном уровне осведомленности. Другими словами, это позволит экспертам по ИБ уменьшить ущерб от атаки, а также свести к минимуму любое воздействие злоумышленников на ИТ-инфраструктуру компании.

Так, классическое «приложение-вымогатель» идет по сетевому каналу, попадает на e-mail, а на последнем этапе атакует конечную точку — например, ПК жертвы. Если рассматривать все эти этапы по одному, корпорация занимает крайне невыгодное положение. А XDR в такой ситуации объединит весь стек ИБ и предоставит возможность открывать/закрывать доступ, отзывать права и выполнять множество других важных процессов, которые можно заранее запрограммировать при помощи пользовательских правил.

Все вышеописанное наделяет XDR как минимум тремя важными преимуществами:

  1. Высокая способность распознавать скрытые попытки проникновения в ИТ-инфраструктуру.
  2. Значительное сокращение времени нахождения злоумышленника внутри сети.
  3. Высокая скорость реагирования на угрозы и их быстрое пресечение.

XDR базируется на ИИ, помогающем системе свести к минимуму все ручные операции, которые должны выполнять аналитики систем безопасности. XDR — проактивное решение, способное оперативно выявить сложные угрозы и многократно улучшить эффективность работы системы ИБ, снижая ее нагрузку.

Зачем компаниям внедрять XDR

С каждым годом или даже месяцем сложность и частота угроз, с которыми сталкивается любая компания, растет в геометрической прогрессии. Используемые корпорациями устройства и вспомогательные гаджеты становятся технически более сложными, параллельно растет число лазеек, которые обнаруживают злоумышленники. Все это чревато взломами, кражей данных и даже полным разрушением бизнеса.

Поэтому информационной безопасности компании обязательно нужно уделять максимум внимания — корпорации не должны становиться жертвами. И здесь на помощь приходит XDR — принципиально новое решение в сфере борьбы с кибератаками, которое обеспечивает надежную защиту всех конечных точек.

Внедрив XDR, компания получает значительное усиление своей ИТ-безопасности:

  1. Обнаружение и устранение угроз на конечных устройствах с сокращением времени реагирования на инциденты не менее, чем на 80% за счет оперативного обнаружения угроз и их автоматического устранения.
  2. Интеграцию с облаком или локальным хранилищем данных для работы с уже произошедшими инцидентами и сведения к минимуму рисков возникновения повторных инцидентов.
  3. Отслеживание и устранение угроз на сетевом уровне параллельно с сокращением ложных срабатываний системы безопасности за счет сетевого и облачного мониторинга.

После запуска XDR можно рассчитывать на:

  • сокращение времени обнаружения потенциальных угроз как минимум на 70%
  • выполнение оперативного поиска потенциальных угроз и их анализа
  • экономию времени в среднем на 10 часов при работе с каждым инцидентом
  • 100% контроль над функционированием своей сети, частного облака

Компания, внедрившая XDR, получает простые и удобные интерфейсы управления операциями для защиты своей ИТ-инфраструктуры, аналитические инструменты, которые адаптируются к конкретной информации, автоматизацию рутинных задач на базе готовых сценариев, а также возможность реализовать непрерывное обнаружение и устранение угроз.

Для каких компаний актуально внедрение XDR

XDR — универсальное решение, актуальное для всех компаний, которым необходимо получить расширенные возможности в плане выявления, устранения угроз и расследования целенаправленных атак на ИТ-инфраструктуру. Независимо от сферы деятельности, XDR станет оптимальным и актуальным решением для предприятия, на котором необходимо обеспечить анализ:

  • сетевого трафика
  • электронной почты
  • облачных продуктов

Большая часть кибератак приходится как раз на электронные письма. XDR позволяет фиксировать все потенциально опасные письма. Это эффективное в плане защиты данных комплексное решение для компаний, которые работают с разными устройствами — ПК, смартфонами, планшетами. Благодаря XDR можно обеспечить расширенный процесс обнаружения угроз, стандартизировать видимость и взять под контроль все конечные устройства, сети, облачные хранилища.

Рынок XDR России

Согласно мнению экспертов из компании «Тайгер Оптикс» сегодня в РФ XDR относится к части рынка EPP. Обороты в отрасли, по данным аналитиков, составляют порядка 5 миллионов долларов в год.

XDR — новое слово в борьбе с киберугрозами

Клиенты, которым необходима надежная защита хостов, часто неосознанно находят именно XDR-решения. В итоге XDR со всеми возможностями становится как-бы «приятным бонусом» к системе информационной безопасности компании. Главное препятствие для развития российского XDR-рынка — отсутствие квалифицированных экспертов в сфере информационной безопасности.

На рынке РФ представлено больше XDR-продуктов от зарубежных разработчиков:

  • SecureX
  • Fortinet
  • Cortex XDR
  • FortiXDR
  • Microsoft Defender
  • McAfee MVISION XDR
  • SentinelOne Singularity XDR
  • Sophos XDR
  • Symantec Endpoint Security Complete
  • Trend Micro Vision One

Тренды и прогнозы развития рынка XDR в мире

В прошлом году компания Gartner выпустила материал «Gartner Top 9 Security and Risk Trends for 2020». В нем XDR был удостоен звания «одного из самых трендовых решений в ИБ». Эксперты Gartner выделил 3 важные требования к XDR-системе, при которых она получит широкое распространение:

  1. Централизация сбора информации с элементов системы XDR
  2. Корреляция происшествий и рассылка уведомлений администраторам ИБ при обнаружении угрозы
  3. Централизация системы реагирования на угрозу, которая затрагивает различные части общей ИТ-инфраструктуры

С XDR также можно добиться высокой степени безопасности ЦОДов, но для этого нужно применять дополнительные инструменты по типу облачных платформ для защиты рабочей нагрузки, а также решения для управления облачными системами безопасности.

Среди важных задач XDR следует отметить возможность временного повышения производительности мониторингового центра ИБ с параллельным увеличением точности обнаружения потенциальных угроз. Такая концепция подразумевает использование решений, которые в совокупности смогут выявить угрозу и оперативно проинформировать о ней в общей цепочке атак.

Перспективы развития XDR отлично описаны также экспертами Gartner в материале «Hype Cycle for Security Operations, 2020». Исследователи выдвинули гипотезу, что сегодня XDR находится на первом этапе цикла, в фазе технологического прорыва и скоро достигнет зрелости — займет «плато производительности», но на это потребуется не менее пяти лет. Пока же этот класс решений имеет низкий процент проникновения на рынок — всего 1% во всем мире.

Digital Report
Share.

About Author

Digital-Report.ru — информационно-аналитический портал, который отслеживает изменения цифровой экономики. Мы описываем все технологические тренды, делаем обзоры устройств и технологических событий, которые влияют на жизнь людей.

Comments are closed.