Все, що ви хотіли знати про XDR

Кількість абревіатур у кібербезпеці невпинно зростає. Досвідчені фахівці з безпеки, молоді спеціалісти та навіть C-level вже знайомі з такими абревіатурами, як EDR, MDR, NDR, XDR або MXDR. Однак оперувати ними у дискусіях — ще не означає розуміти всі тонкощі технологій та їхні відмінності.

Наразі найбільшу увагу привертає XDR. Ряд постачальників рішень безпеки називає свої продукти XDR-платформами, майстерно роблячи «ребрендинг» застарілих рішень.

У цій статті ми намагаємось розібратися в сутності XDR-технології, виявити її головні характеристики та визначити сфери застосування.

XDR — eXtended Detection and Response

Згідно з Forrester, XDR є ступенем еволюції технології EDR, яка оптимізує процеси виявлення, дослідження, реагування та моніторингу загроз у реальному часі. XDR використовує дані не тільки з кінцевих точок, але й з інструментів на кшталт NAV (Network Analysis and Visibility), системи захисту електронної пошти, управління доступом та ідентифікацією (IAM), хмарної безпеки та інших. Як хмарна платформа, XDR використовує потужності аналізу великих даних та надає командам безпеки гнучкість, масштабованість та автоматизацію.

XDR проводить кореляцію зібраних даних для автоматичного виявлення загроз та надає можливість для ручного пошуку. Що важливіше, XDR враховує найдрібніші деталі, сприяючи виявленню раніше непомічених загроз.

Які бувають типи XDR

Умовно всі XDR-технології поділяються на дві категорії — Native та Open.

Native XDR цілком зосереджений на рішеннях одного вендора. Це часто шкодить інтеграціям з продуктами інших виробників, адже всі інтеграції та збір даних орієнтовані лише на продукти цього вендора.

Серед переваг Native XDR — глибока інтеграція та можливості тонкого налаштування завдяки фокусу на цільових рішеннях. Також потрібно менше часу для розгортання та первинного налаштування системи.

Говорячи про недоліки, слід зазначити, що один постачальник не може надати всі необхідні рішення, що може призвести до недостатньої видимості загроз. Крім того, неможливість інтеграції з продуктами інших постачальників знижує загальну функціональність системи безпеки.

Open XDR фокусується на інтеграції з продуктами різних постачальників, а також збиранні даних для аналізу та реагування на загрози.

Інтеграція з продуктами різних постачальників є безперечним плюсом, оскільки дозволяє підвищити ефективність уже наявних засобів безпеки. Крім цього, цей тип XDR надає можливість інтегрувати різноманітні рішення, забезпечуючи аналіз даних з усіх рівнів організації.

Серед недоліків — складність інтеграції з новими продуктами, оскільки ринок безпеки постійно змінюється. На додачу, велика свобода в інтеграціях може спричинити труднощі під час конфігурування.

Кожен із цих типів XDR має свої плюси та мінуси, при цьому обидва можуть значно покращити безпеку організації. Якому з них ви надасте перевагу — докорінно залежить від поточної інфраструктури вашої організації, постачальників засобів безпеки та потреб бізнесу. Тому, перш ніж вибрати, проаналізуйте потреби та вектор розвитку вашої компанії та визначтеся з очікуваннями від нової технології.

Як XDR допомагає оптимізувати процеси

Цифровізація спричиняє автоматизацію людської праці. Якщо раніше завдання виконувалися тижнями, то зараз штучний інтелект робить їх у рази швидше, і XDR — гарний приклад таких змін.

Автоматичне зіставлення подій суттєво скорочує час виявлення загроз і робить цей процес ефективнішим. Більше не потрібно проводити ручний аналіз сотень тисяч подій — натомість можна приділити час більш стратегічно важливим завданням. XDR також здійснює пріоритезацію загроз, показуючи, які інциденти вимагають негайних заходів, а які можуть зачекати. У сукупності це зменшує середній час виявлення та усунення загроз — важливу характеристику зрілості інфраструктури безпеки. Скорочення порогу входу для роботи з продуктами безпеки означає, що навіть молодші аналітики можуть успішно проводити розслідування та усувати загрози.

Всі вищевказані моменти показують, що XDR значно знижує залежність від людських ресурсів, заощаджуючи кошти на оплаті праці та навчанні, водночас збільшуючи потенціал у сфері кібербезпеки організації. Однак не слід забувати, що зараз роль

людини в галузі інформаційної безпеки все ще важлива, оскільки саме людина, а не штучний інтелект ухвалює ключові рішення.

Як реагувати на загрози

Популярність автоматизованих засобів для атак стабільно зростає — як і популярність автоматизованих засобів для захисту. XDR надає варіанти реагування, які впливають як на кінцеві точки, так і на мережу, електронну пошту, контроль витоку даних, вебфільтрацію та інші компоненти безпеки.

Найчастіше для боротьби із загрозами потрібно виконати низку рутинних завдань. Для оптимізації процесів безпеки такі дії можна формалізувати у вигляді плейбуків — послідовності кроків, створених для реагування на певні типи загроз.

Так, у плейбуку XDR можуть бути такі дії:

  • Створити кейс у системі керування заявками з додаванням до заявки повної інформації про загрозу. Якщо кейс існує, освіжити його новими даними.
  • Ініціювати розслідування у системі EDR.
  • Додати виявлену шкідливу IP-адресу до чорного списку в системі IPS/IDS.

XDR здатний запускати плейбуки автоматично, наприклад у разі виявлення певної загрози чи події. Їх також можна запускати вручну — наприклад, для внесення початкових даних (IP-адреса, хеш тощо) або якщо плейбуки потенційно можуть вплинути на бізнес-процеси.

Як автоматичний, так і ручний запуск плейбуків сприяє прискоренню процесу реагування та зменшенню впливу людського фактора. Що чіткіше прописані кроки, то меншим є ризик виникнення плутанини у разі виявлення загроз. Ну а час, що звільнився завдяки автоматизації, можна присвятити розв’язанню інших проблем.

Трохи про Trellix

Trellix — це вендор, який пропонував ключові функції XDR ще до появи терміну XDR. Як справжній ветеран серед постачальників рішень кібербезпеки, Trellix не слідує трендам ринку, а формує їх.

Коротка довідка:

  • Trellix згадується у найбільшій кількості звітів про XDR та засоби безпеки, опублікованих Gartner, Forrester та IDC.
  • Trellix — провідний постачальник XDR з найбільшою кількістю відгуків про засоби безпеки на сайті Gartner Peer Insights.
  • Trellix посідає 6 місце серед постачальників програмного забезпечення для організації безпеки за загальними доходами у рейтингу Market Share Analysis: Security Software, Worldwide, 2021.
  • Trellix посідає 3 місце серед постачальників сучасних засобів захисту кінцевих точок у звіті IDC Worldwide Modern Endpoint Security Market Shares, липень 2021 — червень 2022 року.

Джерело

Що таке Trellix XDR?

Ледь не кожна команда інформаційної безпеки потребує надійного помічника, який підвищував би ефективність виявлення, розслідування та реагування на загрози.

Trellix XDR — це хмарна платформа, яка сміливо претендує на це звання. Її унікальність полягає в тому, що вона поєднує в собі обидва типи XDR — Native та Open — позбавляючи вас труднощів вибору. Trellix XDR взяв краще від обох: інтеграцію з більш ніж 1000 джерел даних (як Open XDR), а також глибокі інтеграції всередині платформи Trellix (як Native XDR).

Рішення Trellix XDR легко розгортається та інтегрується в актуальну інфраструктуру безпеки, а також має широкий набір рішень Trellix у своєму арсеналі.

Що містить платформа безпеки Trellix

Продукти Trellix охоплюють приблизно 70% потреб організацій у сфері інформаційної безпеки. Їхня злагоджена робота дозволяє виявляти та блокувати загрози, обмінюватися даними про безпеку та передавати всю зібрану телеметрію в Trellix XDR для подальшого аналізу.

Платформа Trellix XDR черпає інформацію від Trellix Advanced Research Center, який об’єднує провідних експертів у галузі інформаційної безпеки. Вони ретельно вивчають телеметрію, аналізують нові загрози та постійно покращують якість продуктів Trellix. Завдяки численним інтеграціям до Trellix XDR також підключаються рішення від сторонніх постачальників, що доповнює його даними про безпеку та телеметрію. З точки зору інтерфейсу користувача, XConsole виступає сполучним компонентом для ключових рішень Trellix. Тепер можна забути про безліч вкладок у браузері та розсіяність в інформаційному потоці — всі основні елементи керування доступні в XConsole.

У результаті, платформа безпеки Trellix XDR має такий вигляд:

Джерело картинки: www.trellix.com/en-us/platform.html

Налаштування підключення джерел

Вся робота, пов’язана з процесом налаштування Trellix XDR, починається з підключення джерел даних. Наприклад, до Trellix XDR можна під’єднати:

  • Продукти для організації безпеки кінцевих точок, мережі, електронної пошти, хмарних ресурсів та мобільних пристроїв.
  • Рішення для управління вразливістю та активами.
  • Хмарні платформи, такі як AWS та Azure.
  • Події, пов’язані з операційними системами Windows та Active Directory.
  • І багато інших джерел.

Для інтеграції з хмарними продуктами різних постачальників Trellix XDR використовує інструмент Cloud Connect. Цей механізм спроєктований так, щоб процес інтеграції був швидким та не вимагав довгого вивчення багатосторінкових інструкцій. Це стосується як продуктів Trellix, так і рішень від сторонніх розробників. Ось лише кілька прикладів доступних інтеграцій:

У консолі XDR ви зможете бачити всі підключені джерела даних, оцінити кількість подій, які вони генерують, і легко розпочати пошук інформації з вибраного джерела одним кліком.

Пошук загроз у Trellix XDR

Інформація, зібрана з різних пристроїв, може бути оброблена як автоматично, так і вручну.

XDR може автоматично виявити загрози з використанням кореляційних правил, штучного інтелекту та аналізу поведінки користувачів і активів (UEBA).

Для ефективного ручного аналізу та пошуку загроз у Trellix XDR існують кілька технологій, включно з Trellix Query Language та Investigation Tips.

Trellix Query Language (TQL) — це мова запитів, розроблена Trellix, яка має простий синтаксис і дозволяє швидко створювати складні точкові запити.

Технологія Investigation Tips дозволяє на кожному етапі розслідування розуміти, у якому напрямі рухатися далі. Уявіть собі, що ви проводите розслідування інциденту разом із провідним експертом Trellix, який ставить навідні питання, щоб допомогти виявити справжню причину інциденту.

Припустимо, що у нас виник інцидент на мережевому рівні. Trellix XDR бере IP-адресу атакованої робочої станції та надає інформацію про виявлені загрози, отриману з інших засобів безпеки, пов’язаних із цією системою. Отже, стає зрозуміло, наприклад, який файл міг викликати шкідливу мережеву активність і чи існували схожі інциденти, на які варто звернути увагу.

В результаті використання Investigation Tips рівень кваліфікації аналітиків підвищується, а швидкість та якість обробки інцидентів збільшуються.

Автоматизація в Trellix XDR

Однією із сильних сторін Trellix XDR є плейбуки. Всі вони розроблені для ефективного усунення загроз у різних сценаріях та залежно від потреб. Trellix самостійно створює універсальні плейбуки, постійно вдосконалюючи їх та додаючи нові функції до системи. У разі необхідності розширення можливостей «із коробки» ви також можете створювати власні плейбуки, які враховують особливості ваших засобів безпеки та унікальні завдання.

Приклади попередньо встановлених плейбуків в Trellix XDR передбачають:

  • Визначення імені атакованого користувача з інциденту та блокування його через Azure AD.
  • Визначення IP-адреси з інциденту та створення автоматичного розслідування у Trellix EDR.
  • Визначення атакованої робочої станції та призначення на неї тега, який застосовує найсуворіші політики та ізолює її від мережі.

Очевидно, що можливості автоматизації Trellix XDR відіграють важливу роль у формуванні процесів безпеки, сприяючи прискоренню реагування на загрози та підвищенню його ефективності.

Замість висновків

XDR є перспективною технологією, що інтегрує різні рішення в галузі безпеки та автоматизує процеси виявлення і реагування на загрози. З ним кількість часу, витраченого на рутинні завдання, зменшується, а якість виявлення та реагування на загрози збільшується.

Платформа Trellix XDR є прикладом зрілого XDR. Всередині неї знаходиться тісно інтегроване рішення, що дозволяє обмінюватися актуальною інформацією про загрози та ефективніше запобігати їм. Завдяки інтеграціям з Trellix XDR, користувачі отримують можливість підключення рішень від сторонніх постачальників, що збагачує систему даними та контекстом, покращуючи виявлення прихованих зловмисників.

Trellix XDR пропонує різноманітні інструменти для виявлення загроз. Автоматична кореляція значно спрощує завдання аналітика, а у разі потреби Trellix XDR дозволяє проводити пошук по всій доступній інформації з використанням Trellix Query Language та надає рекомендації для подальшого розслідування за допомогою Investigative Tips.

Для ефективної протидії виявленим загрозам у Trellix XDR є безліч попередньо встановлених плейбуків, що сприяють більш швидкому та компетентному реагуванню. Все це робить Trellix XDR рішенням, яке піднімає рівень безпеки організації на нову висоту та сприяє навчанню персоналу передовим практикам у сфері інформаційної безпеки.

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному1
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Підписатись на коментарі