Поиск по сайту:

Что такое XDR и как он может повысить вашу безопасность?

XDR некоторое время ждал своего часа, но, возможно, его момент уже настал. Как этот новый поворот старой стратегии может помочь вашей кибербезопасности? Вот наше краткое руководство.

XDR достигает критической массы

Кажется, что некоторым вещам нужно время, чтобы набрать обороты. Должен пройти какой-то период времени, прежде чем идея закрепится в коллективном сознании и начнет оказывать влияние на решения, касающиеся безопасности, бюджета или и того, и другого. Если концепция является скорее стратегией или инициативой, чем продуктом, может потребоваться больше времени, чтобы эта идея набрала критическую массу. Должно быть достаточно людей, говорящих о нем, внедряющих его и, в конечном итоге, рекомендующих, чтобы он набрал обороты на рынке.

Примером этого является сеть с нулевым доверием. Первоначально это обсуждалось в докторской диссертации. диссертацию Стивена Пола Марша в 1994 году. Почти 16 лет спустя Джон Киндерваг вывел ее за рамки научных кругов и предложил практический способ создания такой сети, а также соответствующую точку зрения и мышление. Именно этот фундаментальный сдвиг в мышлении — и принятие — иногда требует времени, чтобы догнать практическое новшество.

Сегодня сети с нулевым доверием обсуждаются повсеместно и рекомендуются Национальным центром кибербезопасности и Национальным институтом стандартов и технологий.

Аналогичный медленно работающий XDR, или eXtended Detection and Response, похоже, подходит к своему моменту. XDR лучше всего рассматривать как инициативу или стратегию, которую можно реализовать с помощью сочетания сетевой архитектуры и набора интегрированных технологий.

Видение XDR

Реализация XDR требует согласования набора продуктов безопасности и сетевых архитектур, чтобы они взаимодействовали в духе сотрудничества. Цель состоит в том, чтобы предотвратить успешные кибератаки, обнаруживая продолжающиеся атаки и обеспечивая автоматический ответ на эти атаки.

Определение XDR все еще не определено. Различные поставщики, как правило, искажают свое определение XDR, чтобы оно напоминало или сосредоточивалось вокруг технологий и продуктов, которые они традиционно предлагали, которые они полностью понимают и хорошо разбираются в поставке. Тем не менее, реализация XDR, вероятно, будет включать технологии, которые обеспечивают или решают следующие вопросы:

  • Безопасность конечных точек в самом широком смысле. Помимо конечных точек, таких как корпоративные ПК и ноутбуки, сюда также входят физические и виртуальные серверы — локальные или в центрах обработки данных — и виртуальные серверы в облаке.
  • Защита для часто используемых векторов распространения угроз, таких как деловая электронная почта, корпоративные веб-сайты и порталы.
  • Автоматическая изоляция файлов и угроз и песочница.
  • Аналитика угроз. Это обеспечивает аналитику, отчетность и оповещения.

Основной принцип заключается в том, что интеграция технологий и расширенной аналитики значительно ускорит обнаружение угроз и реагирование на них. XDR должен обнаруживать малозаметные долгосрочные атаки так же легко, как и вредоносные программы и вирусы. Многие кибератаки включают длительные периоды скрытого удаленного доступа. Злоумышленники используют это время для картографирования сети, чтобы обеспечить максимальное воздействие своей атаки программ-вымогателей или для поиска важных данных, которые они хотят украсть.

Эффективная система XDR также должна обнаруживать сложные постоянные угрозы, для которых требуется длительное наблюдение. Аналитика и мониторинг будут обнаруживать активность, модели поведения и другие предупреждающие признаки, которые не учитываются при использовании традиционных методов защиты.

Сложные кибератаки следуют линейному процессу, называемому цепочкой убийств (военный термин), который описывает поэтапное выполнение атаки.

  • Разведка: поиск уязвимости путем сканирования портов, проверки средств защиты, сбора полезной информации о других утечках данных или социальной инженерии.
  • Оружие: создание или выбор вредоносной полезной нагрузки, которая может быть доставлена путем использования выявленной уязвимости.
  • Доставка: доставка комплекта программного обеспечения для оружия. Это может быть связано с фишинговой атакой. Как правило, это троян удаленного доступа или другое вредоносное ПО, которое предоставляет злоумышленникам скрытый доступ к вашей сети.
  • Эксплойт: получение доступа к скомпрометированной сети и дальнейшая разведка или выполнение таких действий, как повышение привилегий.
  • Установка: установка вредоносных полезных данных атаки. Например, это может быть программа-вымогатель.
  • Командование и управление (C2): установление линии связи между вредоносным ПО и удаленными серверами управления и контроля злоумышленника. Они принимают информацию от вредоносного ПО и отправляют вредоносному ПО инструкции, обновления и другие полезные данные.
  • Действия. Злоумышленники выполняют атаку, и ваша сеть шифруется, удаляется или иным образом повреждается.

Обещание или видение XDR состоит в том, чтобы тесно связать элементы управления безопасностью и средства защиты с операциями безопасности — центр операций безопасности, будь то скромный или сложный — в комплексное интегрированное решение, которое может обнаруживать различные этапы цепочки уничтожения.

Как развернуть XDR

Вы не можете просто пойти и купить XDR, так же как вы не можете пойти и купить кибербезопасность. В обоих случаях вы можете найти поставщиков, которые помогут вам спланировать медленную миграцию на XDR, а также порекомендуют или предоставят некоторые системы, необходимые для ее реализации. Поскольку для XDR не существует универсальных магазинов, открытые API, открытые отраслевые стандарты и развитие экосистем пользователей и партнеров имеют решающее значение для устойчивости XDR как решения. Продавцы и заинтересованные группы усердно работают над этим.

Подобно сети с нулевым доверием, система XDR может быть встроена с нуля, если вы управляете новым сайтом и начинаете с нуля. Без этой роскоши вам нужно спланировать, как вы собираетесь внедрять ее поэтапно. Это включает в себя определение того, какие из ваших существующих инструментов и систем можно заменить или модернизировать до тех, которые поддерживают возможности XDR.

Это позволит идентифицировать этапы на основе оставшегося срока службы идентифицированных компонентов. Знание того, когда эти компоненты должны быть заменены или обновлены, дает вам набор моментов времени. Некоторые из них будут стоять отдельно, другие можно немного продвинуть вперед или отложить на короткий период, чтобы сгруппировать их в логически управляемые этапы.

Чем крупнее организация, тем сложнее будет развернуть ее и убедить топ-менеджеров в том, что это изменение и расходы оправданы. Кроме того, крупные предприятия, скорее всего, будут в состоянии разработать или ввести в эксплуатацию собственный сквозной интегрированный эквивалент реализации XDR, созданный из готовых приложений. По этой причине XDR более привлекателен для малых и средних предприятий верхнего уровня.

Зрелый набор функций

Хотя XDR оказался в центре внимания, и многие крупные игроки, такие как Fortinet, Cisco и McAfee, предлагают XDR, это все еще новый подход к проблеме обнаружения угроз, отчетности и автоматизированного управления. Существуют разные интерпретации того, что является и что не является XDR. Неудивительно, что каждый из них предпочитает технологии и опыт каждого поставщика.

Вам следует поговорить с поставщиками XDR, а также поговорить с вашими текущими стратегическими партнерами по безопасности и спросить их о XDR и каков их план действий в этой области.

Внимательно изучите свои текущие системы обнаружения угроз и реагирования на них. Что работает, что нет и что можно улучшить? Возможно, вам больше подойдет набор инструментов следующего поколения от существующих поставщиков.

Если XDR является перспективой для вашей организации, начните планирование поэтапного внедрения и задействуйте все заинтересованные стороны, включая специалистов по безопасности и ИТ-операторов.