erid: 2SDnjcjDGxK
DR его побери! X/E/M/MX - DR-ы
DR его побери! X/E/M/MX - DR-ы
31.08.2023

IMG_3952.JPG
Егор Микитюк
Ведущий технический эксперт Infosecurity a Softline company

Удивительная вещь произошла с этими четырьмя аббревиатурами – EDR, MDR, XDR, MXDR. Их отождествляют друг с другом настолько сильно, что даже используют как синонимы, что некорректно само по себе. Мало того что XDR вышел из EDR чисто механически, так ещё и приставка M-anaged превратила данные продукты в сервисы (или добавила сервисы в продукт – это уже как посмотреть). Да и сама приставка «M» весьма неоднозначна и под ней каждый понимает что-то свое. Но как вы успели заметить (а если не успели, читайте предыдущую статью), мы резко прыгнули от NTA до самого настоящего комплекса, частью которого NTA может являться.

Рассуждая о вопросах консолидации ИБ-решений, сосредоточим внимание на XDR. Если точнее, поговорим о нем и сопутствующих ему продуктах и сервисах.

Самый непонятный на рынке ИБ

К сожалению, само по себе очертание XDR сейчас на российском рынке настолько абстрактное, что даже производители ИБ-решений позволяют себе вольности, например, называть составную часть XDR (допустим, EDR) непосредственно целым XDR-ом. Что уж говорить о посредниках, продающих решения: им что приносят в материалах о продукте, то они и распространяют по рынку. Винить в этом, по сути, некого, достаточно вспомнить через какой путь прошло становление отдельных составляющих XDR в прошлом. Помните, как появились антивирусы нового поколения и как рынок так и не принял их, и они потихоньку растворились в EDR и AV? Уже тогда были разговоры об искусственном интеллекте и победе над всеми возможными атаками злоумышленников. А может быть в памяти всплывает, как NTA/IDS и EDR начали превращаться в MDR с управляемыми сервисами?

Любой специалист по информационной безопасности может сейчас рассказать свою версию становления XDR и будет в чем-то прав. А все дело в стихийности развития продукта, которая привела к разночтениям трактовок терминологии и понимания XDR.

По порядку: что мы хотим видеть от XDR сегодня

Тематика сложных и целевых атак достаточно долго была прерогативой внешних угроз. Бизнес и вендоры рассматривали их с точки зрения внешнего атакующего и ориентировались на песочницы, NTA и защиту/выявление атак на внешних входящих потоках данных, например, в веб- или почтовом трафике. Однако, при изучении этих атак стало очевидным, что необходимо также учитывать внутренние угрозы. То есть, конечно, надо понимать, что об угрозах на автоматизированных рабочих местах (АРМ) и серверах помнили всегда. Но в то время средства защиты не позволяли указывать им, какие файлы вредоносны, а какие нет, и не имели возможности предотвращать распространение не обнаруженной вовремя угрозы. Поэтому противодействие такого рода производилось не средствами готовых продуктов, а в виде отдельных услуг.

Добавление производителями СЗИ в продуктовую линейку решений типа EDR открыло недостающий элемент, заполнив пробел и создав будущую концепцию XDR на рынке. Таким образом, основные векторы атаки, которые охватывали самые сложные части защищаемой инфраструктуры, были закрыты, а именно:

  • вектор веб-/сетевого трафика (в том числе, внутреннего);
  • вектор почтового трафика;
  • вектор внутреннего нарушителя.

Сами по себе NTA, песочница и EDR могут хорошо выполнять свои функции и защищать от заявленных атак, однако при исследовании инцидентов стало ясно, что сложность корреляции событий с разных решений, даже если они от одного вендора, приводит к потере времени и ресурсов. Ресурсы, затрачиваемые на исследование выявленных инцидентов, могут значительно возрастать с ростом количества используемых СЗИ. По логике вещей данную проблему могли бы решить SIEM-решения, но этого не произошло. Проблема состояла в объединении разрозненных данных с разных типов источников и их корреляции таким образом, чтобы максимально эффективно поставлять данные об инциденте, автоматически локализовывать его и, при необходимости, принимать меры по возврату системы в состояние до взлома или заражения.

Естественно, понимать, как эффективно интегрировать свои продукты (NTA, EDR, sandbox) в единый XDR могут только производители этих самых продуктов, потому что XDR, в первую очередь, является логичной консолидацией портфеля решений одного производителя, что позволяет создать единую среду обмена данными и управлять процессами из одной точки. При ином подходе возникли бы те же проблемы, что и с SIEM: качество выявления и отражения атак уменьшится, если разные составляющие XDR будут производить разные вендоры. Как вы знаете, производителей EDR не так уж и много, а производителей хороших EDR – ещё меньше. К счастью, производители хороших EDR выпускают также и хорошие NTA и песочницы.

На зарубежном рынке совсем не много вендоров, производящих и внедряющих XDR. На рынке РФ ситуация не лучше – есть несколько флагманских производителей XDR с полным набором инструментов и несколько других, стремящихся к XDR, но еще не реализовавших все необходимые функции и модули.

Итак, в настоящее время происходит значительное количество атак, требующих от специалистов изучения контекста с использованием различных ИТ и ИБ решений. Сложность таких атак может быть чрезвычайно высокой. Естественно, офицеры информационной безопасности используют ряд решений, защищающих от APT (Advanced Persistent Threat), однако, как известно, с увеличением количества таких решений возрастает сложность суммарной аналитической нагрузки. Кроме того, чтобы комплексно видеть производимую атаку и соотносить между собой события информационной безопасности во время атаки, ИБ-специалистам необходимо одновременно получать информацию со всех направлений, как с периметра сети, так и внутри нее. Специалисты хотят получать эту информацию автоматически и без дополнительных затрат времени.

Внимательный читатель начинает понимать, что суть концепции XDR заключается в глобальном отслеживании атаки до ее начала и автоматизированном реагировании на ее признаки в пределах защищаемой сети. Кстати, следует отметить, что существуют XDR, которые не ограничиваются только этим и могут отследить атаку на подступах к защищаемой сети, что также полезно.

В общем случае не имеет значения, на каком направлении был обнаружен первый удар – в веб-трафике, в почтовом трафике, на автоматизированных рабочих местах и серверах или в файловых хранилищах. Хорошая система XDR должна автоматически сопоставить данные, которые на этот момент ещё не считаются атакой, с данными на всех остальных направлениях, и выдать полную цепочку событий до начала проникновения в защищаемую сеть. Это возможно благодаря дополнительным инструментам XDR, таким как:

  1. Инструменты по централизованному удаленному контролю и администрированию из консоли XDR для удобства отражения атаки и восстановления в ручном режиме.
  2. Автоматическая аналитика вендора по атрибуции атак для облегчения принятия решений специалистом ИБ при отражении атаки и последующим восстановлении.
  3. Сбор и хранение «сырых» данных со всех возможных направлений атак (нужен аккуратный сбор данных, учитывая проблемы избыточности при таком подходе).

Раз XDR все защитил, зачем же офицеру безопасности еще что-то делать?

Да, речь о том самом ненавистном ручном труде, который все же необходим в условиях заявленной автоматизации. К сожалению, многие виды восстановительных работ сложно автоматизировать, а мнение вендора по поводу устранения последствий атак может не совпадать с мнением команды по информационной безопасности конкретной компании. В таких условиях система XDR не может самостоятельно принять решение или предпринять конкретные действия по устранению последствий атаки. Эта задача ложится на плечи офицера безопасности.

578134-1200x675-1.jpg

Помимо этого, реализация XDR открыла дополнительные возможности решения, которые в мировой практике вылились в отдельное перспективное направление – threat hunting (оно же «охота за угрозами», оно же – поиск и проверка наличия угрозы). Надо сказать, что при высоком уровне зрелости подходов к информационной безопасности в компании заниматься «охотой на угрозы» очень даже полезно. Однако threat hunting также требует серьезного вовлечения офицера безопасности как для анализа актуальных для компании угроз, так и при разборе событий информационной безопасности, способных указывать на наличие этой угрозы в компании. Так что в дополнение к вышеописанным требованиям для облегчения этого труда появляются следующие требования к решениям XDR:

  • наличие инструментов автоматизации обнаружения угроз;
  • сбор сырых данных, достаточных для эффективного обнаружения угроз.

Как видно, XDR становится все более масштабным и требующим еще больше трудозатрат при использовании, но это не означает, что SMB не могут использовать его. В этом помогают сервисы, которые позволяют отдавать аналитическое сопровождение решения на аутсорс провайдеров Managed-услуг. Таким сервисом является Managed Extended Detection and Response (MXDR), представляющий собой:

  • внешний SOC;
  • внешний сервис по форензике;
  • внешний сервис по охоте за угрозами.

Даже при использовании таких сервисов работа аналитика со стороны клиента все еще необходима, но ее объем значительно сокращается. А при использовании возможностей threat hunting работа, теоретически, не закончится никогда, но при необходимой степени автоматизации как самого XDR, так и поступающих для использования в «охоте», в этом нет ничего плохого. Более того, описанная автором статьи «громоздкость» XDR относится лишь к системам, развернутым on-premise (локально на мощностях Заказчика). Флагманские производители уже достигли уровня, при котором XDR в крупных компаниях можно развернуть хоть завтра. Это стало возможным благодаря переносу систем в облако, что в свою очередь не только облегчает внедрение такой системы, но и упрощает использование сервисов.

Managed XDR: что это и почему можно доверять внешнему SOC?

Managed XDR (MXDR) – это подход к реализации и управлению технологией XDR, который предоставляется в виде сервиса или облачной платформы. В отличие от самостоятельной реализации XDR, где организация сама устанавливает и поддерживает инфраструктуру и программное обеспечение, MXDR предлагает аутсорсинг этих задач. Это позволяет организациям сосредоточиться на своей основной деятельности, в то время как провайдер MXDR берет на себя ответственность за обнаружение и реагирование на киберугрозы, анализ данных и предоставление рекомендаций по обеспечению безопасности.

Реализация платформы XDR в виде сервиса предполагает, что центральный модуль и дополнительные функции хранятся в облачном хранилище, а системы обнаружения и реагирования на конечных узлах и сетевые сенсоры разворачиваются в защищаемой сети. Это позволяет быстро внедрить систему и начать ее использование уже буквально через сутки. Независимо от того, используется ли облачная версия XDR или локальная установка, некоторые вендоры предлагают активировать дополнительные сервисы в рамках уже развернутого решения.

Существует определенное противоречие между потребностями бизнеса и его возможностями. С одной стороны, бизнес не желает раскрывать свои проблемы информационной безопасности третьим лицам. С другой стороны, надо признать – бизнесу тяжело защищаться от этих проблем самостоятельно даже при наличии хорошо подобранных штатных ИБ-специалистов, тем более что найти на рынке труда хороших специалистов такого профиля сложно, и экономически это не всегда выгодно. А вот иметь такого специалиста на аутсорсе гораздо выгоднее по всем показателям, и такого специалиста может предоставить сервис по форензике и поиску угроз.

Поставщики таких сервисов аккумулируют у себя профессионалов-энтузиастов в области практической кибербезопасности, и предоставляют им возможность проведения исследований угроз и инцидентов безопасности в широком спектре отраслей. Некоторые поставщики могут даже вести полноценные расследования киберпреступлений, вплоть до суда. Это позволяет как увеличить личную экспертизу специалистов, так и накопить обширную базу знаний об угрозах и злоумышленниках на уровне провайдера услуг. Систематизация этих знаний, их использование при разработке собственных инструментов и методик расследования и противодействия угрозам порождает качественно новый уровень – экспертизу провайдера услуг, которая многократно превышает возможности отдельного специалиста. При этом провайдеры услуг трепетно берегут бизнес своих клиентов, обеспечивая при этом сохранность и секретность данных, получаемых в процессе реализации услуг.

Уверенность в надежности провайдера основывается на множестве факторов: высокий уровень экспертизы самого провайдера и его сотрудников, его репутация на рынке поставщиков услуг, юридические договоренности с клиентами, строгое выполнение требований законодательства, и личная ответственность экспертов и идеологов провайдера перед клиентами. Все это служит надежным фундаментом для установления доверительных отношений между клиентом такого сервиса, и его поставщиком.

В качестве заключения

К сожалению, для современного бизнеса потери от сложных атак являются чрезвычайно болезненными и могут влиять на финансовую стабильность и репутацию на рынке. Реализация XDR в качестве комплексной системы, объединяющей различные продукты, позволяет бизнесу и командам информационной безопасности эффективно справляться с современными вызовами, так как они объединяют в себе различные инструменты и технологии для обнаружения и предотвращения атак. Они позволяют быстро и точно выявлять подозрительную активность и анализировать ее, что позволяет оперативно реагировать на угрозы и минимизировать потенциальный ущерб.

В свете текущих требований к кибербезопасности, решения и сервисы XDR необходимы для эффективной защиты от угроз. Простота их внедрения и использования является значимым преимуществом перед злоумышленниками, которые стараются найти уязвимости в системах защиты. Однако, на сегодняшний день количество поставщиков XDR в России остается невеликим, особенно в сравнении с производителями других типов систем защиты информации (СЗИ). Эта недостаточность поставщиков XDR затрудняет развитие данной отрасли в России. При ограниченном выборе поставщиков, небольшие компании, перед которыми стоит задача обеспечения надежной защиты, могут оказаться в затруднительном положении. Они могут столкнуться с нехваткой решений, которые соответствуют их потребностям и бюджету.

Также ограниченное количество поставщиков в данной отрасли может влиять на технологический прогресс. Конкуренция между производителями стимулирует инновации и развитие новых технологий в области кибербезопасности. Однако, в случае с небольшим количеством поставщиков XDR, этот стимул может оказаться недостаточным. Для достижения прогресса и дальнейшего совершенствования системы защиты необходимо большее количество разнообразных решений и сервисов.

Таким образом, необходимо создать условия для развития отрасли XDR в России, такие как поддержка инноваций, финансовая поддержка и содействие внедрению этих решений в компаниях. Также важно активно привлекать и подготавливать специалистов в области XDR, чтобы обеспечить наличие квалифицированных кадров.


Популярные публикации

Комментарии 0