Ландшафт угроз продолжает меняться и расширяться быстрыми темпами. Векторов атаки становится все больше: они нацелены на конечные точки, сети, облака и контейнерные среды. Для защиты от конкретного вектора и связанных с ним уязвимостей многие организации внедряют отдельные точечные СЗИ, стараясь выбрать лучшие продукты в своем классе. Однако эти точечные средства защиты не позволяют объединить информацию о безопасности из всех сред компании. В результате данные анализируются по отдельности, без контекста и корреляции, что создает пробелы в мониторинге и обнаружении сложных угроз.
К тому же, чем больше СЗИ задействовано в организации, тем сложнее ими управлять и реагировать на инциденты, количество которых тоже растет. Администраторы могут оказаться перегружены большим объемом данных, поступающих из различных источников, и не справиться с бесконечным потоком алертов.
Это заставляет департаменты ИБ искать новые подходы к процессам защиты.
Что такое XDR — расширенное выявление и реагирование на угрозы
XDR, или Extended Detection and Response, — это эволюция EDR (обнаружение и реагирование на угрозы на конечных точках). XDR объединяет мониторинг и контроль хостов, сетей и облачных сред. Такое объединение дает более качественное понимание угроз, а это, в свою очередь, помогает эффективнее их устранять. XDR автоматически собирает и коррелирует данные о множестве векторов атаки, способствуя более быстрому обнаружению угроз. Благодаря этому специалисты по ИБ могут реагировать на угрозы оперативнее, пока они не распространились на всю организацию. Иными словами, XDR выходит за пределы конечной точки, позволяя принимать решения на основе данных из более широкого спектра СЗИ и реагировать на угрозы, задействуя сетевые устройства, электронную почту, системы управления учетными записями и др.
Поскольку XDR получает всё большее распространение и становится ключевым СЗИ нового поколения, эта статья посвящена пяти факторам, которые следует учитывать при выборе XDR-решения.
1. Обеспечивает ли XDR-решение мониторинг разных типов СЗИ по всей экосистеме ИБ?
EDR-решения отлично подходят для получения ИБ-данных с хостов. Однако у EDR недостаточно телеметрии, и, значит, он не может обеспечить комплексный мониторинг и дать точное представление о поведении и целях злоумышленников, которые могут действовать через другие источники. Хорошая XDR-платформа решает эту проблему, собирая телеметрические данные с инструментов на различных эшелонах защиты и мест проведения атаки. Это позволяет непрерывно отслеживать поступающие алерты и управлять ими. Кроме того, с помощью фидов киберразведки системы XDR могут проактивно искать скрытые угрозы.
Платформа Singularity XDR позволяет организациям беспрепятственно собирать структурированные, неструктурированные и полуструктурированные данные в реальном времени с любых технологических продуктов и платформ, классифицируя разрозненные данные и устраняя критические слепые зоны. Благодаря недавнему приобретению системы больших данных Scalyr и интеграции ее возможностей в SentinelOne команды ИБ могут анализировать данные, собранные разными СЗИ со всех платформ, включая конечные точки, облачные сервисы, сетевые устройства и т. д. в единой консоли.
Singularity XDR позволяет аналитикам пользоваться информацией, полученной в результате объединения данных из нескольких решений в один детализированный инцидент. Система также становится единым местом применения политик безопасности и получения аналитики, обеспечивая комплексный мониторинг и автономное предотвращение инцидентов, обнаружение киберугроз и реагирование на них. Таким образом организации могут решать проблемы кибербезопасности унифицировано.
2. Дает ли XDR-решение корреляцию и детальный контекст инцидента с разных эшелонов защиты?
Многие EDR-решения требуют участия (живых) команд ИБ в расследовании алертов. Но, учитывая их количество, у многих команд ИБ нет ресурсов, чтобы детально вникать в каждый отдельный алерт. Поэтому недостаточно только собирать события с разных СЗИ. Эффективное XDR-решение также должно содержать технологии искусственного интеллекта, которые могут провести автоматическое расследование, собрать детали и скоррелировать данные с СЗИ разных типов.
Запатентованная технология SentinelOne Storyline автоматически и в режиме реального времени визуализирует контекст событий, собранных со всех СЗИ организации, а также их взаимосвязи, преобразуя точечные данные в наглядные «сюжетные линии» происшествия. Это позволяет аналитикам ИБ понять, что произошло в их среде. Storyline автоматически группирует все связанные события в цепочку развития атаки с уникальным идентификатором. Благодаря этому команды ИБ могут за несколько секунд увидеть полный контекст инцидента, а не тратить часы, дни или даже недели на корреляцию логов и поиск связей между событиями вручную.
Поведенческий модуль SentinelOne отслеживает все действия в системе, включая изменения в файлах и реестре, запуск или остановку сервисов, межпроцессное взаимодействие и активность в сети. Модуль выявляет техники и тактики, которые являются индикаторами компрометации. Это позволяет отслеживать скрытое вредоносное поведение и эффективно выявлять бесфайловые угрозы, латеральное движение, а также активное использование руткитов. Singularity XDR автоматически коррелирует взаимосвязанные действия в единый алерт уровня злоумышленной кампании, а также генерирует словесное описание атаки. Это позволяет организациям сопоставлять события с разных векторов атаки и видеть разрозненные алерты как один инцидент.
3. Обогащает ли XDR-решение инциденты встроенной киберразведкой?
Из-за недостатка внешней информации при появлении новых угроз аналитикам ИБ сложно определить, представляет ли алерт или индикатор реальную угрозу для их организации. Киберразведка дает актуальную информацию об угрозах, уязвимостях и индикаторах компрометации, позволяя командам ИБ сосредоточиться на самом важном. Хорошо продуманное XDR-решение помогает командам ИБ приоритизировать алерты быстрее и эффективнее благодаря использованию киберразведки из многочисленных источников.
Singularity XDR интегрирует фиды ведущих поставщиков и собственные проприетарные источники SentinelOne, автоматически обогащая инциденты в реальном времени. Благодаря этому команды ИБ могут дополнительно оценивать риски на основе индикаторов компрометации (IoCs), таких как IP-адреса, хэши, уязвимости и домены. Например, интеграция с Recorded Future позволяет автоматически обогащать данные об угрозах, используя более 800 000 источников, что ускоряет расследование инцидентов в экосистеме ИБ клиента и их приоритизацию. Заказчики также могут использовать библиотеку хантиговых запросов, подобранную аналитиками SentinelOne, которые непрерывно тестируют новые способы выявления новых индикаторов угроз (IOC), а также техник, тактик и процедур (TTP) злоумышленников.
4. Автоматизирует ли XDR-решение реагирование на угрозы с помощью СЗИ разных типов?
Разумеется, за обнаружением инцидента и его расследованием должно последовать эффективное реагирование. Эти меры должны быть заранее документированы и повторяемы, что делает устранение угроз более эффективным и позволяет вмешаться на любом этапе инцидента. Реагирование должно четко определять как краткосрочные, так и долгосрочные меры, доступные в рамках атаки. Кроме того, важно определить причину угрозы. Это повысит киберустойчивость организации и поможет избежать подобных атак в будущем. Должны быть предприняты все необходимые шаги, чтобы не допустить повторения атаки.
Singularity XDR позволяет аналитикам ИБ выполнять все необходимые действия для автоматического устранения угроз одним щелчком мыши на одном, нескольких или всех устройствах в сети — все это без использования скриптов. Одним кликом аналитик ИБ может принять такие меры реагирования на угрозу, как изоляция устройства от сети, автоматическая установка агента на несанкционированной рабочей станции или автоматическое применение политик в облачных средах.
Кроме того, Singularity XDR позволяет клиентам использовать аналитику Storyline и создавать собственные правила автоматического обнаружения для своей среды благодаря Storyline Active-Response (STAR). STAR позволяет организациям настраивать EDR-решение с учетом бизнес-контекста в соответствии со своими потребностями. Настраиваемые правила обнаружения STAR позволяют превратить запросы Deep Visibility в автоматизированные правила хантинга, которые при обнаружении совпадений будут запускать прцоессы алертинга и реагирования. STAR позволяет гибко настраивать алерты и меры реагирования в соответствии со спецификой корпоративной инфрастуктуры организации для быстрого автоматического обнаружения и сдерживания угроз.
5. Может ли XDR-решение интегрироваться с основными SOAR-системами для сложных процессов реагирования?
XDR-решение должно быть совместимо c другими СЗИ и технологиями, уже развернутыми в SOC организации. Среди встроенных ключевых возможностей этого решения должны быть интеграция с решениями для автоматизированного реагирования на инциденты и с решениями для киберразведки.
SentinelOne включает постоянно растущий набор интеграций со сторонними системами, в том числе SIEM и SOAR, на площадке Singularity Marketplace. Приложения Singularity размещаются на масштабируемой бессерверной платформе FaaS (Function-as-a-Service, функция как услуга). Они объединяются с СЗИ и средствами управления ИТ-инфраструктурой по API за пару кликов. Singularity Marketplace — часть платформы SentinelOne, позволяющая заказчикам избегать написания сложного интеграционного кода, упрощая и масштабируя автоматизацию между СЗИ различных вендоров. Команды ИБ могут легко определить наиболее оптимальный план устранения даже самых быстротекущих угроз на основе унифицированной работы стека существующих СЗИ.
Заключение: XDR — это будущее EDR
Будущее за XDR-решениями. Специализированные СЗИ должны работать вместе, позволяя защищаться от непрерывных попыток злоумышленников нарушить границы вашей ИТ-инфраструктуры. Как и любую новую технологию, выходящую на рынок, XDR сопровождает большой ажиотаж, и заказчики должны поступать обдуманно. На практике не все XDR решения одинаковы. SentinelOne Singularity XDR объединяет и расширяет возможности обнаружения и реагирования различных эшелонов защиты. Платформа дает департаментам ИБ централизованный полнофункциональный мониторинг происходящего в масштабах всей организации, мощную аналитику и автоматическое реагирование на инциденты с использованием уже существующих СЗИ организации.
Демо и бесплатное тестирование SentinelOne XDR
Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne, заполнив эту форму.