DR его побери! X/E/M/MX - DR-ы

Егор Микитюк
Ведущий технический эксперт Infosecurity a Softline company

Удивительная вещь произошла с этими четырьмя аббревиатурами – EDR, MDR, XDR, MXDR. Их отождествляют друг с другом настолько сильно, что даже используют как синонимы, что некорректно само по себе. Мало того что XDR вышел из EDR чисто механически, так ещё и приставка M-anaged превратила данные продукты в сервисы (или добавила сервисы в продукт – это уже как посмотреть). Да и сама приставка «M» весьма неоднозначна и под ней каждый понимает что-то свое. Но как вы успели заметить (а если не успели, читайте предыдущую статью), мы резко прыгнули от NTA до самого настоящего комплекса, частью которого NTA может являться.

Рассуждая о вопросах консолидации ИБ-решений, сосредоточим внимание на XDR. Если точнее, поговорим о нем и сопутствующих ему продуктах и сервисах.

Самый непонятный на рынке ИБ

К сожалению, само по себе очертание XDR сейчас на российском рынке настолько абстрактное, что даже производители ИБ-решений позволяют себе вольности, например, называть составную часть XDR (допустим, EDR) непосредственно целым XDR-ом. Что уж говорить о посредниках, продающих решения: им что приносят в материалах о продукте, то они и распространяют по рынку. Винить в этом, по сути, некого, достаточно вспомнить через какой путь прошло становление отдельных составляющих XDR в прошлом. Помните, как появились антивирусы нового поколения и как рынок так и не принял их, и они потихоньку растворились в EDR и AV? Уже тогда были разговоры об искусственном интеллекте и победе над всеми возможными атаками злоумышленников. А может быть в памяти всплывает, как NTA/IDS и EDR начали превращаться в MDR с управляемыми сервисами?

Любой специалист по информационной безопасности может сейчас рассказать свою версию становления XDR и будет в чем-то прав. А все дело в стихийности развития продукта, которая привела к разночтениям трактовок терминологии и понимания XDR.

По порядку: что мы хотим видеть от XDR сегодня

Тематика сложных и целевых атак достаточно долго была прерогативой внешних угроз. Бизнес и вендоры рассматривали их с точки зрения внешнего атакующего и ориентировались на песочницы, NTA и защиту/выявление атак на внешних входящих потоках данных, например, в веб- или почтовом трафике. Однако, при изучении этих атак стало очевидным, что необходимо также учитывать внутренние угрозы. То есть, конечно, надо понимать, что об угрозах на автоматизированных рабочих местах (АРМ) и серверах помнили всегда. Но в то время средства защиты не позволяли указывать им, какие файлы вредоносны, а какие нет, и не имели возможности предотвращать распространение не обнаруженной вовремя угрозы. Поэтому противодействие такого рода производилось не средствами готовых продуктов, а в виде отдельных услуг.

Добавление производителями СЗИ в продуктовую линейку решений типа EDR открыло недостающий элемент, заполнив пробел и создав будущую концепцию XDR на рынке. Таким образом, основные векторы атаки, которые охватывали самые сложные части защищаемой инфраструктуры, были закрыты, а именно:

• вектор веб-/сетевого трафика (в том числе, внутреннего);
• вектор почтового трафика;
• вектор внутреннего нарушителя.

Сами по себе NTA, песочница и EDR могут хорошо выполнять свои функции и защищать от заявленных атак, однако при исследовании инцидентов стало ясно, что сложность корреляции событий с разных решений, даже если они от одного вендора, приводит к потере времени и ресурсов. Ресурсы, затрачиваемые на исследование выявленных инцидентов, могут значительно возрастать с ростом количества используемых СЗИ. По логике вещей данную проблему могли бы решить SIEM-решения, но этого не произошло. Проблема состояла в объединении разрозненных данных с разных типов источников и их корреляции таким образом, чтобы максимально эффективно поставлять данные об инциденте, автоматически локализовывать его и, при необходимости, принимать меры по возврату системы в состояние до взлома или заражения.

Естественно, понимать, как эффективно интегрировать свои продукты (NTA, EDR, sandbox) в единый XDR могут только производители этих самых продуктов, потому что XDR, в первую очередь, является логичной консолидацией портфеля решений одного производителя, что позволяет создать единую среду обмена данными и управлять процессами из одной точки. При ином подходе возникли бы те же проблемы, что и с SIEM: качество выявления и отражения атак уменьшится, если разные составляющие XDR будут производить разные вендоры. Как вы знаете, производителей EDR не так уж и много, а производителей хороших EDR – ещё меньше. К счастью, производители хороших EDR выпускают также и хорошие NTA и песочницы.

На зарубежном рынке совсем не много вендоров, производящих и внедряющих XDR. На рынке РФ ситуация не лучше – есть несколько флагманских производителей XDR с полным набором инструментов и несколько других, стремящихся к XDR, но еще не реализовавших все необходимые функции и модули.

Итак, в настоящее время происходит значительное количество атак, требующих от специалистов изучения контекста с использованием различных ИТ и ИБ решений. Сложность таких атак может быть чрезвычайно высокой. Естественно, офицеры информационной безопасности используют ряд решений, защищающих от APT (Advanced Persistent Threat), однако, как известно, с увеличением количества таких решений возрастает сложность суммарной аналитической нагрузки. Кроме того, чтобы комплексно видеть производимую атаку и соотносить между собой события информационной безопасности во время атаки, ИБ-специалистам необходимо одновременно получать информацию со всех направлений, как с периметра сети, так и внутри нее. Специалисты хотят получать эту информацию автоматически и без дополнительных затрат времени.

Внимательный читатель начинает понимать, что суть концепции XDR заключается в глобальном отслеживании атаки до ее начала и автоматизированном реагировании на ее признаки в пределах защищаемой сети. Кстати, следует отметить, что существуют XDR, которые не ограничиваются только этим и могут отследить атаку на подступах к защищаемой сети, что также полезно.

В общем случае не имеет значения, на каком направлении был обнаружен первый удар – в веб-трафике, в почтовом трафике, на автоматизированных рабочих местах и серверах или в файловых хранилищах. Хорошая система XDR должна автоматически сопоставить данные, которые на этот момент ещё не считаются атакой, с данными на всех остальных направлениях, и выдать полную цепочку событий до начала проникновения в защищаемую сеть. Это возможно благодаря дополнительным инструментам XDR, таким как:

1. Инструменты по централизованному удаленному контролю и администрированию из консоли XDR для удобства отражения атаки и восстановления в ручном режиме.
2. Автоматическая аналитика вендора по атрибуции атак для облегчения принятия решений специалистом ИБ при отражении атаки и последующим восстановлении.
3. Сбор и хранение «сырых» данных со всех возможных направлений атак (нужен аккуратный сбор данных, учитывая проблемы избыточности при таком подходе).

Раз XDR все защитил, зачем же офицеру безопасности еще что-то делать?

Да, речь о том самом ненавистном ручном труде, который все же необходим в условиях заявленной автоматизации. К сожалению, многие виды восстановительных работ сложно автоматизировать, а мнение вендора по поводу устранения последствий атак может не совпадать с мнением команды по информационной безопасности конкретной компании. В таких условиях система XDR не может самостоятельно принять решение или предпринять конкретные действия по устранению последствий атаки. Эта задача ложится на плечи офицера безопасности.

Помимо этого, реализация XDR открыла дополнительные возможности решения, которые в мировой практике вылились в отдельное перспективное направление – threat hunting (оно же «охота за угрозами», оно же – поиск и проверка наличия угрозы). Надо сказать, что при высоком уровне зрелости подходов к информационной безопасности в компании заниматься «охотой на угрозы» очень даже полезно. Однако threat hunting также требует серьезного вовлечения офицера безопасности как для анализа актуальных для компании угроз, так и при разборе событий информационной безопасности, способных указывать на наличие этой угрозы в компании. Так что в дополнение к вышеописанным требованиям для облегчения этого труда появляются следующие требования к решениям XDR:

• наличие инструментов автоматизации обнаружения угроз;
• сбор сырых данных, достаточных для эффективного обнаружения угроз.

Как видно, XDR становится все более масштабным и требующим еще больше трудозатрат при использовании, но это не означает, что SMB не могут использовать его. В этом помогают сервисы, которые позволяют отдавать аналитическое сопровождение решения на аутсорс провайдеров Managed-услуг. Таким сервисом является Managed Extended Detection and Response (MXDR), представляющий собой:

• внешний SOC;
• внешний сервис по форензике;
• внешний сервис по охоте за угрозами.

Даже при использовании таких сервисов работа аналитика со стороны клиента все еще необходима, но ее объем значительно сокращается. А при использовании возможностей threat hunting работа, теоретически, не закончится никогда, но при необходимой степени автоматизации как самого XDR, так и поступающих для использования в «охоте», в этом нет ничего плохого. Более того, описанная автором статьи «громоздкость» XDR относится лишь к системам, развернутым on-premise (локально на мощностях Заказчика). Флагманские производители уже достигли уровня, при котором XDR в крупных компаниях можно развернуть хоть завтра. Это стало возможным благодаря переносу систем в облако, что в свою очередь не только облегчает внедрение такой системы, но и упрощает использование сервисов.

Managed XDR: что это и почему можно доверять внешнему SOC?

Managed XDR (MXDR) – это подход к реализации и управлению технологией XDR, который предоставляется в виде сервиса или облачной платформы. В отличие от самостоятельной реализации XDR, где организация сама устанавливает и поддерживает инфраструктуру и программное обеспечение, MXDR предлагает аутсорсинг этих задач. Это позволяет организациям сосредоточиться на своей основной деятельности, в то время как провайдер MXDR берет на себя ответственность за обнаружение и реагирование на киберугрозы, анализ данных и предоставление рекомендаций по обеспечению безопасности.

Реализация платформы XDR в виде сервиса предполагает, что центральный модуль и дополнительные функции хранятся в облачном хранилище, а системы обнаружения и реагирования на конечных узлах и сетевые сенсоры разворачиваются в защищаемой сети. Это позволяет быстро внедрить систему и начать ее использование уже буквально через сутки. Независимо от того, используется ли облачная версия XDR или локальная установка, некоторые вендоры предлагают активировать дополнительные сервисы в рамках уже развернутого решения.

Существует определенное противоречие между потребностями бизнеса и его возможностями. С одной стороны, бизнес не желает раскрывать свои проблемы информационной безопасности третьим лицам. С другой стороны, надо признать – бизнесу тяжело защищаться от этих проблем самостоятельно даже при наличии хорошо подобранных штатных ИБ-специалистов, тем более что найти на рынке труда хороших специалистов такого профиля сложно, и экономически это не всегда выгодно. А вот иметь такого специалиста на аутсорсе гораздо выгоднее по всем показателям, и такого специалиста может предоставить сервис по форензике и поиску угроз.

Поставщики таких сервисов аккумулируют у себя профессионалов-энтузиастов в области практической кибербезопасности, и предоставляют им возможность проведения исследований угроз и инцидентов безопасности в широком спектре отраслей. Некоторые поставщики могут даже вести полноценные расследования киберпреступлений, вплоть до суда. Это позволяет как увеличить личную экспертизу специалистов, так и накопить обширную базу знаний об угрозах и злоумышленниках на уровне провайдера услуг. Систематизация этих знаний, их использование при разработке собственных инструментов и методик расследования и противодействия угрозам порождает качественно новый уровень – экспертизу провайдера услуг, которая многократно превышает возможности отдельного специалиста. При этом провайдеры услуг трепетно берегут бизнес своих клиентов, обеспечивая при этом сохранность и секретность данных, получаемых в процессе реализации услуг.

Уверенность в надежности провайдера основывается на множестве факторов: высокий уровень экспертизы самого провайдера и его сотрудников, его репутация на рынке поставщиков услуг, юридические договоренности с клиентами, строгое выполнение требований законодательства, и личная ответственность экспертов и идеологов провайдера перед клиентами. Все это служит надежным фундаментом для установления доверительных отношений между клиентом такого сервиса, и его поставщиком.

В качестве заключения

К сожалению, для современного бизнеса потери от сложных атак являются чрезвычайно болезненными и могут влиять на финансовую стабильность и репутацию на рынке. Реализация XDR в качестве комплексной системы, объединяющей различные продукты, позволяет бизнесу и командам информационной безопасности эффективно справляться с современными вызовами, так как они объединяют в себе различные инструменты и технологии для обнаружения и предотвращения атак. Они позволяют быстро и точно выявлять подозрительную активность и анализировать ее, что позволяет оперативно реагировать на угрозы и минимизировать потенциальный ущерб.

В свете текущих требований к кибербезопасности, решения и сервисы XDR необходимы для эффективной защиты от угроз. Простота их внедрения и использования является значимым преимуществом перед злоумышленниками, которые стараются найти уязвимости в системах защиты. Однако, на сегодняшний день количество поставщиков XDR в России остается невеликим, особенно в сравнении с производителями других типов систем защиты информации (СЗИ). Эта недостаточность поставщиков XDR затрудняет развитие данной отрасли в России. При ограниченном выборе поставщиков, небольшие компании, перед которыми стоит задача обеспечения надежной защиты, могут оказаться в затруднительном положении. Они могут столкнуться с нехваткой решений, которые соответствуют их потребностям и бюджету.

Также ограниченное количество поставщиков в данной отрасли может влиять на технологический прогресс. Конкуренция между производителями стимулирует инновации и развитие новых технологий в области кибербезопасности. Однако, в случае с небольшим количеством поставщиков XDR, этот стимул может оказаться недостаточным. Для достижения прогресса и дальнейшего совершенствования системы защиты необходимо большее количество разнообразных решений и сервисов.

Таким образом, необходимо создать условия для развития отрасли XDR в России, такие как поддержка инноваций, финансовая поддержка и содействие внедрению этих решений в компаниях. Также важно активно привлекать и подготавливать специалистов в области XDR, чтобы обеспечить наличие квалифицированных кадров.