XDR - отечественные комплексные решения, выбираем лучшее

Инструменты класса XDR – относительно свежее направление в сфере информационной безопасности. Эта технология активно развивается с 2018 года, дополняя и расширяя функционал SIEM-продуктов.

XDR расшифровывается как EXtended Detection and Response, то есть система расширенного реагирования на киберинциденты. Логичной аббревиатурой для решения была бы EDR, однако именно так назывался прообраз XDR-систем. EDR или системы Endpoint Detection and Response реагировали на инциденты, представляющие угрозу для конечных точек, и успешно выполняют эту функцию до сих пор. XDR расширили этот функционал и теперь отслеживают риски на всех уровнях сети.

Как работает XDR-система

XDR использует собственные сенсоры и агенты для отслеживания событий на любом уровне сети. В систему также входят:

• межсетевые экраны;
• шлюзы безопасности;
• почтовые системы;
• системы анализа трафика NTA;
• системы обнаружения вторжения IDS;
• системы предотвращения вторжения IPS;
• решение для управления и идентификации доступа IАM;
• продукт для управления учетными данными IDM;
• система управления событиями и информацией о безопасности SIEM;
• решение для предотвращения утечек информации DLP.

Информация из всех этих источников поступает и анализируется в XDR-системе, что существенно повышает уровень защиты. Использовать XDR можно не только чтобы анализировать данные, но и для реагирования на кибератаки. Настройка определенной последовательности действий может быть индивидуальной для каждого уровня системы. Решение успешно работает с блокировкой потенциальных угроз, поступающих по электронной почте, анализирует трафик, борется с фишингом, спамом, ВЕС-атаками и т. п.

В случае реализации киберугроз собранные XDR-решением данные используются для криминалистических экспертиз и расследования инцидента.

Ведущие XDR-продукты не так давно были представлены лишь западными решениями. На отечественном рынке серьезных игроков не наблюдалось. Однако успешное импортозамещение реализуется и для данного класса продуктов. В этот обзор вошли три перспективных российских XDR-системы:

1. Managed XDR от Group-IB;
2. Kaspersky Symphony XDR;
3. Positive Technologies XDR.

Сравнение решений проводилось на основе материалов из открытых источников.

Managed XDR от Group-IB

Managed XDR дополняет комплексное решение компании Threat Hunting и использует данные из этой системы киберразведки для анализа и как основу для машинного обучения. В результате ИБ-специалист компании всегда строит свои действия на актуализированной информации об угрозах.

Данные исследования Forrester свидетельствуют, что использование продукта ускоряет реакцию службы информационной безопасности на киберугрозы в среднем на 20%. Сэкономленное время позволяет эффективнее среагировать на кибератаку, предотвратить компрометирование данных, быстро найти и устранить уязвимость. Разработчики уточняют, что эффективность работы ИБ-команды растет равно сэкономленному времени.

Преимущества Managed XDR для бизнеса:

• Охватывает всю инфраструктуру и демонстрирует полную информацию по безопасности хостов, серверов и электронной почты, а также облачных хранилищ и сетевого трафика.
• Быстрое и простое внедрение благодаря гибким опциям интеграции.
• Алгоритмы машинного обучения используются для автоматизации анализа больших массивов данных. Аналитики SOC получают время для подготовки к отражению реальных угроз.
• Недетектируемые угрозы выявляются на основе международного опыта в данной области. Используются передовые технологические решения.

Аналитики CERT-GIB осуществляют круглосуточный мониторинг угроз. Заявлена следующая скорость реагирования на инциденты: 15 минут на локализацию и 24 часа на создание первичного отчета.

К преимуществам данного решения стоит также отнести предельно легкое пилотное подключение. Достаточно оставить заявку на сайте компании с указанием количества устройств.

Managed XDR от Group IB удобна в использовании. Для быстрого и простого реагирования на инциденты существует единая консоль XDR. На неё выводятся метаданные, логи, NetFlow и ряд других параметров по всем хостам. Пользователь может идентифицировать кибератаку и остановить её в несколько несложных действий. В консоли сохраняются все действия пытающегося проникнуть в корпоративную систему киберзлоумышленника. Эта запись станет достоверным основанием для расследования инцидента.

Kaspersky Symphony XDR

Этот XDR-инструмент входит в комплексную линейку Kaspersky Symphony. Он служит своего рода внешней защитной оболочкой для системы, включающей также EDR, MDR и защиту рабочих мест Security. Сам разработчик называет XDR самым продвинутым решением линейки Symphony.

Kaspersky Symphony XDR защищает:

• ПК;
• ноутбуки;
• серверы;
• виртуальные машины;
• различные операционные системы;
• мобильные устройства.

Инструмент интегрируется с системой Threat Intelligence, которая содержит подробные сведения о ранее зарегистрированных кибератаках, ИБ-политике и процедурах с учетом региона, а также другую информацию, необходимую для корректного и быстрого реагирования на любые киберинциденты. Kaspersky Symphony XDR также можно интегрировать с ИБ-решениями, предоставленными сторонними вендорами. Это позволяет объединить весь используемый компанией инструментарий информационной безопасности в единый слаженный механизм.

В одной лицензии объединены:

• технологии EPP и EDR;
• шлюзы почты и интернета;
• песочница;
• инструменты анализа сетевого трафика;
• аналитические данные по состоявшимся атакам и угрозам;
• мониторинг состояния системы безопасности;
• модуль взаимодействия с ГосСОПКА.

Встроенный модуль Госсопка делает решение соответствующим требованиям регуляторов. Продукт подойдет для защиты объектов критической информационной инфраструктуры (КИИ). Данные о произошедших утечках передаются в Национальный координационный центр по компьютерным инцидентам в соответствии с действующими процедурами. При этом решения Kaspersky имеют международное признание. В частности, EDR-система успешно прошла сертификацию по протоколу MITRE ATTAK.

Kaspersky Symphony XDR также содержит специальную платформу для повышения уровня осведомленности сотрудников в сфере информационной безопасности с онлайн-тренингами по актуальным областям. Знания персонала об актуальных угрозах помогут компании успешнее противостоять им, в частности, в сфере социальной инженерии.

Преимущества Kaspersky Symphony XDR:

• Тесная интеграция компонентов и использование актуальной статистики для повышения продуктивности ИБ-службы
• Соответствие требованиям российского законодательства
• Наличие модуля обучения персонала для снижения рисков социальной инженерии и других видов киберугроз.
• Возможность интеграции с ИБ-продуктами сторонних вендоров.

Positive Technologies XDR

Продукт рассчитан на компании любого размера. Это коробочное решение, однако оно имеет широкие возможности для интеграции в компании с учетом уже установленного софта и необходимости расширения функционала под конкретные задачи.

Данное решение основано на других продуктах Positive Technologies и объединяет в общую систему все продукты информационной безопасности, которые использует компания. Инструмент имеет интеграцию с ГосСОПКА и Linux.

В PT XDR используются:

1. EDR-решение компании для защиты конечных точек корпоративной сети;
2. MaxPatrol SIEM для выявления и мониторинга событий информационной безопасности;
3. песочница PT Sandbox для отражения целевых и массовых атак;
4. система управления уязвимостями MaxPatrol VM;
5. инструмент глубокого анализа сетевого трафика PT Network Attack Discovery;
6. блокировщик веб-атак PT Application Firewall;
7. непрерывный мониторинг защищенности сети АСУ ТП PT Industrial Security Incident Manager.

Первые три пункта списка являются базовыми компонентами Positive Technologies XDR. Остальными XDR-решение дополняется постепенно. Компания постоянно расширяет число компонентов, которые можно интегрировать в PT XDR для своей компании.

PT Application Firewall успешно справляется с блокировкой атак уровня списка OWASP Top 10 и классификации WASC, а также атаками нулевого дня. MaxPatrol VM позволяет компании выстроить полноценную систему менеджмента уязвимостей, а также сохранять контроль над ним в экстренных обстоятельствах. Эта интеграция дает возможность контролировать те, части системы, которые были недоступны для SIEM. С её помощью PT XDR использует информацию по активам в реальном времени.

Решение работает с операционными системами Windows x86 и x64, а также macOS x64. PT XDR дает возможность создать и приоритизировать очередь на анализ угроз. Желающим доступен заказ пилотного проекта Positive Technologies XDR на сайте компании.

Преимущества Positive Technologies XDR:

• Базовая комплектация и возможность дополнять XDR-решение другими продуктами Positive Technologies.
• Можно интегрировать с решениями сторонних вендоров и создать единую систему информационной безопасности.
• Перспективный и активно развивающийся продукт, который в полной мере использует 20-летний опыт и наработки Positive Technologies.

Выводы

Все три рассмотренных в данном обзоре решения имеют схожий функционал. Они предназначены для автоматизации рутинной деятельности ИБ-специалистов, своевременного обнаружения и оперативного реагирования на угрозы и атаки, комплексной защиты системы. Использование любого решения позволит вывести уровень информационной безопасности компании на новый уровень.

И Kaspersky Symphony XDR, и Managed XDR, и Positive Technologies XDR опираются на прочие продукты разработавших их компаний: EDR, SIEM и ряд других. Таким образом их приобретение дает возможность использовать в работе полную и постоянно обновляемую базу данных об атаках и актуальных угрозах, политике и процедурах. Российские разработки обеспечивают защиту и реагирование на атаки в соответствии с мировыми стандартами.

Все инструменты отличаются гибкостью. Их можно интегрировать с другими продуктами сторонних вендоров и использовать для решения даже самых узких задач. Это избавляет покупателя от необходимости перестраивать свою ИБ-систему с нуля и позволяет быстро обеспечить требуемый уровень защиты.

Есть и некоторые отличия. Например, интеграция с системой ГосСОПКА в открытых источниках подтверждена только для продукта Kaspersky Symphony XDR. Для двух других продуктов сведений найти не удалось, хотя это не обязательно означает отсутствие таковой. Если интеграция с ГосСОПКА, которая гарантирует оповещение о киберинцидентах надзорных органов по всем правилам и соответствие решения требованиям действующих норм регуляторов, критически важна для компании, стоит уточнить этот момент у вендора перед покупкой.

Простотой и высокой скоростью подключения отличаются все три решения. При этом особо привлекательные условия подключения пилота указаны для Managed XDR. Обозначив количество устройств на сайте, можно оперативно решить задачу защиты системы. Есть информация по пилотам и на сайте PT XDR. Для Kaspersky Symphony XDR рекомендуем запросить данную информацию у вендора.

Подводя итог обзора, отметим, что любой из трех инструментов будет достойным вариантом с точки зрения обеспечиваемого уровня информационной безопасности.