Ежегодно растет число киберугроз и их сложность. Сетевые мошенники разрабатывают сложнейшие системы, с которыми обычному антивирусу не справиться. Крупные компании переходят на более инновационные и надежные системы защиты. Среди них XDR — Extended Detection and Response — принципиально новое решение в сфере борьбы с кибератаками, которое обеспечивает надежную защиту всех конечных точек. Внедрив такую систему в любую компанию, можно свести к минимуму риски проникновения злоумышленников в сеть и кражи данных. Эксперт ИТ-компании WIAT рассказал Digital Report о системе XDR: особенностях, преимуществах от внедрения, перспективах развития и другом.
XDR (Extended Detection and Response) — система, обеспечивающая постоянный анализ угроз и реагирование на них на конечных точках по типу ПК или ноутбуков.
Так как сегодня подобных конечных точек стало намного больше и все они подвержены риску взлома со стороны злоумышленников, нужны принципиально другие решения. В том числе и те, которые способны защищать не только смартфоны и планшеты, но и облачные приложения.
Технология XDR, которая часто называется методикой «многослойного» выявления и реагирования, отличается от EDR тем, что позволяет выходить за пределы конечных точек и реагировать на угрозы, опираясь на данные от многих средства защиты информации. При этом в процессе реагирования будут задействованы все возможные и доступные инструменты: электронная почта, роутеры, маршрутизаторы, системы управления данными и учетными записями.
Что такое XDR-системы
XDR-система объединяет инструменты, формирующие платформу, способную выявлять нарушения безопасности ИТ-инфраструктуры и быстро реагировать на них. С помощью XDR-системы можно организовать комплексный контроль над потенциальными угрозами со стороны злоумышленников. Этот глобальный контроль обусловлен тем, что система собирает прошлые и текущие данные на следующих уровнях:
- конечные точки доступа
- сетевые устройства (сенсоры, шлюзы, WAF, FW, IPS)
- e-mail трафик
- инструменты виртуализации
- облачные сервисы
- системы разграничения доступа
- DLP-системы
Данные, которые собираются на этих уровнях, проходят через разные этапы:
- «Нормализация» информации по параметрам, заданным ранее. Поступление данных в Data Lake.
- Корреляция полученной информации и реагирование на инциденты, а затем, при необходимости, выполнение расследования.
Схема работы XDR похожа на работу SIEM — Security Information and Event Management — управление безопасностью информации и управление событиями безопасности. Но XDR может объединять одновременного множество разных событий, которые поступают из различных источников, формируя максимально полную стратегию и историю атаки.
С помощью XDR можно узнать, какое самое первое действие совершил злоумышленник — с чего конкретно началось его проникновение в сеть. И главное, сделать это можно с помощью всего одной консоли, без необходимости применения разрозненных систем администрирования и сравнения и анализа полученные из них данных.
Сбор, обработка и анализ событий в XDR базируется на автоматических действиях XDR-системы и методе машинного обучения. Поэтому с помощью этой технологии можно сильно сократить число администраторов сети, отвечающих за ее безопасность, реагирование на угрозы и их дальнейшее расследование.
Преимущества XDR относительно EDR
XDR заменяет отдельно взятые СЗИ и позволяет унифицировать организацию решения проблем кибербезопасности. Так как используется единый пул информации, включающий все данные об экосистеме информационной безопасности, XDR-система способна обнаружить угрозы и реагировать на них быстрее чем EDR. XDR может быстрее, глубже и эффективнее собирать и анализировать информацию из гораздо большего числа источников.
С помощью XDR можно обеспечить максимально детальный мониторинг потенциальных уязвимостей, а все инциденты, которые не удалось устранить, в дальнейшем обрабатываются на максимальном уровне осведомленности. Другими словами, это позволит экспертам по ИБ уменьшить ущерб от атаки, а также свести к минимуму любое воздействие злоумышленников на ИТ-инфраструктуру компании.
Так, классическое «приложение-вымогатель» идет по сетевому каналу, попадает на e-mail, а на последнем этапе атакует конечную точку — например, ПК жертвы. Если рассматривать все эти этапы по одному, корпорация занимает крайне невыгодное положение. А XDR в такой ситуации объединит весь стек ИБ и предоставит возможность открывать/закрывать доступ, отзывать права и выполнять множество других важных процессов, которые можно заранее запрограммировать при помощи пользовательских правил.
Все вышеописанное наделяет XDR как минимум тремя важными преимуществами:
- Высокая способность распознавать скрытые попытки проникновения в ИТ-инфраструктуру.
- Значительное сокращение времени нахождения злоумышленника внутри сети.
- Высокая скорость реагирования на угрозы и их быстрое пресечение.
XDR базируется на ИИ, помогающем системе свести к минимуму все ручные операции, которые должны выполнять аналитики систем безопасности. XDR — проактивное решение, способное оперативно выявить сложные угрозы и многократно улучшить эффективность работы системы ИБ, снижая ее нагрузку.
Зачем компаниям внедрять XDR
С каждым годом или даже месяцем сложность и частота угроз, с которыми сталкивается любая компания, растет в геометрической прогрессии. Используемые корпорациями устройства и вспомогательные гаджеты становятся технически более сложными, параллельно растет число лазеек, которые обнаруживают злоумышленники. Все это чревато взломами, кражей данных и даже полным разрушением бизнеса.
Поэтому информационной безопасности компании обязательно нужно уделять максимум внимания — корпорации не должны становиться жертвами. И здесь на помощь приходит XDR — принципиально новое решение в сфере борьбы с кибератаками, которое обеспечивает надежную защиту всех конечных точек.
Внедрив XDR, компания получает значительное усиление своей ИТ-безопасности:
- Обнаружение и устранение угроз на конечных устройствах с сокращением времени реагирования на инциденты не менее, чем на 80% за счет оперативного обнаружения угроз и их автоматического устранения.
- Интеграцию с облаком или локальным хранилищем данных для работы с уже произошедшими инцидентами и сведения к минимуму рисков возникновения повторных инцидентов.
- Отслеживание и устранение угроз на сетевом уровне параллельно с сокращением ложных срабатываний системы безопасности за счет сетевого и облачного мониторинга.
После запуска XDR можно рассчитывать на:
- сокращение времени обнаружения потенциальных угроз как минимум на 70%
- выполнение оперативного поиска потенциальных угроз и их анализа
- экономию времени в среднем на 10 часов при работе с каждым инцидентом
- 100% контроль над функционированием своей сети, частного облака
Компания, внедрившая XDR, получает простые и удобные интерфейсы управления операциями для защиты своей ИТ-инфраструктуры, аналитические инструменты, которые адаптируются к конкретной информации, автоматизацию рутинных задач на базе готовых сценариев, а также возможность реализовать непрерывное обнаружение и устранение угроз.
Для каких компаний актуально внедрение XDR
XDR — универсальное решение, актуальное для всех компаний, которым необходимо получить расширенные возможности в плане выявления, устранения угроз и расследования целенаправленных атак на ИТ-инфраструктуру. Независимо от сферы деятельности, XDR станет оптимальным и актуальным решением для предприятия, на котором необходимо обеспечить анализ:
- сетевого трафика
- электронной почты
- облачных продуктов
Большая часть кибератак приходится как раз на электронные письма. XDR позволяет фиксировать все потенциально опасные письма. Это эффективное в плане защиты данных комплексное решение для компаний, которые работают с разными устройствами — ПК, смартфонами, планшетами. Благодаря XDR можно обеспечить расширенный процесс обнаружения угроз, стандартизировать видимость и взять под контроль все конечные устройства, сети, облачные хранилища.
Рынок XDR России
Согласно мнению экспертов из компании «Тайгер Оптикс» сегодня в РФ XDR относится к части рынка EPP. Обороты в отрасли, по данным аналитиков, составляют порядка 5 миллионов долларов в год.
Клиенты, которым необходима надежная защита хостов, часто неосознанно находят именно XDR-решения. В итоге XDR со всеми возможностями становится как-бы «приятным бонусом» к системе информационной безопасности компании. Главное препятствие для развития российского XDR-рынка — отсутствие квалифицированных экспертов в сфере информационной безопасности.
На рынке РФ представлено больше XDR-продуктов от зарубежных разработчиков:
- SecureX
- Fortinet
- Cortex XDR
- FortiXDR
- Microsoft Defender
- McAfee MVISION XDR
- SentinelOne Singularity XDR
- Sophos XDR
- Symantec Endpoint Security Complete
- Trend Micro Vision One
Тренды и прогнозы развития рынка XDR в мире
В прошлом году компания Gartner выпустила материал «Gartner Top 9 Security and Risk Trends for 2020». В нем XDR был удостоен звания «одного из самых трендовых решений в ИБ». Эксперты Gartner выделил 3 важные требования к XDR-системе, при которых она получит широкое распространение:
- Централизация сбора информации с элементов системы XDR
- Корреляция происшествий и рассылка уведомлений администраторам ИБ при обнаружении угрозы
- Централизация системы реагирования на угрозу, которая затрагивает различные части общей ИТ-инфраструктуры
С XDR также можно добиться высокой степени безопасности ЦОДов, но для этого нужно применять дополнительные инструменты по типу облачных платформ для защиты рабочей нагрузки, а также решения для управления облачными системами безопасности.
Среди важных задач XDR следует отметить возможность временного повышения производительности мониторингового центра ИБ с параллельным увеличением точности обнаружения потенциальных угроз. Такая концепция подразумевает использование решений, которые в совокупности смогут выявить угрозу и оперативно проинформировать о ней в общей цепочке атак.
Перспективы развития XDR отлично описаны также экспертами Gartner в материале «Hype Cycle for Security Operations, 2020». Исследователи выдвинули гипотезу, что сегодня XDR находится на первом этапе цикла, в фазе технологического прорыва и скоро достигнет зрелости — займет «плато производительности», но на это потребуется не менее пяти лет. Пока же этот класс решений имеет низкий процент проникновения на рынок — всего 1% во всем мире.
- Роскомнадзор включил WhatsApp в реестр организаторов распространения информации - 21/12/2024 18:44
- Что такое антидетект-браузер? - 21/12/2024 18:34
- Аналитики предсказывают возможное банкротство Ubisoft в 2025 году - 20/12/2024 21:18