Обзор систем XDR. Функционал, модели применения и кейсы.
Информационная безопасность Информационная безопасность

Что такое XDR? Варианты построения системы? Must have продукты экосистемы XDR?

Информационная безопасность Тема номера

Пара слов об XDR

Дата публикации:
28.09.2022
Посетителей:
1012
Просмотров:
1068
Время просмотра:
2.3

Авторы

Автор
Гурген Цовян Руководитель направления защиты от сложных целевых атак компании «Инфосистемы Джет»
Автор
Ринат Сагиров Руководитель отдела систем мониторинга ИБ и защиты приложений центра информационной безопасности компании «Инфосистемы Джет»

 

Что такое XDR?


Варианты построения системы?


Must have продукты экосистемы XDR?

 

Существует множество ИБ-продуктов, которые призваны защитить вас или хотя бы помочь выявить атаки на ИТ-инфраструктуру: NGFW, анализаторы сетевого трафика (NTA), EDR, DLP, песочницы, SIEM и т. д. Но помимо средств защиты, нужны квалифицированные кадры, а их в отрасли катастрофически не хватает. Проблема усугубляется тем, что заказчики чаще всего собирают целый зоопарк решений: NGFW от одного вендора, NTA от второго, EDR от третьего. Найти специалистов, которые умеют работать с широким пулом технологий, сложно.

По нашему опыту, в SIEM-системе компании, где работают около 1000 сотрудников, в среднем регистрируется до 10 000 событий в секунду. Только за день в таком потоке будет выплывать более 100 подозрительных активностей, которые нужно обработать и отделить зерна от плевел. Для решения этой задачи был разработан новый класс решений — XDR.

 

XDR-системы (eXtended Detection and Response) автоматически собирают и сопоставляют данные от разных ИБ-решений. По сути, это логичное развитие EDR. Но при использовании последних в область мониторинга попадают только действия на конечных хостах, а XDR расширяет ее и на другие элементы инфраструктуры: внутреннюю сеть, почту, учетные записи пользователей. Проще говоря, в зону ответственности XDR также входит первый рубеж ИБ-обороны, что позволяет обнаруживать злоумышленников до того, как они доберутся до самого сладкого.

 

XDR дополняет EDR и помогает сформировать полную картину атаки: понять точку входа, логику злоумышленника, стратегию его закрепления и перемещения по сети. Более того, с помощью системы вы можете исследовать сеть на предмет индикаторов компрометации IoC, присущих конкретной преступной группировке, и определить, кто именно вас атакует.


Есть два подхода к созданию XDR-решений: нативный и гибридный. В первом случае вендор формирует из своих ИБ-продуктов XDR-экосистему, в центре которой находится единая система управления. Гибридный подход предполагает, что вендор также включает в экосистему решения сторонних производителей. На отечественном рынке пока представлены только нативные XDR.

Что под капотом

 

Глазами и ушами XDR, т. е. сенсорами, выступают различные средства защиты. Прежде чем превратиться в инцидент, события, полученные от них, проходят несколько этапов. На первом они собираются в едином хранилище и попутно нормализуются по заданным параметрам. Затем происходит корреляция с последующим реагированием на конечных хостах. Схема похожа на работу SIEM, но главное отличие в том, что XDR позволяет уже во время обработки свести множество событий из разных источников в единую цепочку атаки.

 

Существуют два варианта организации технологического ядра системы. Первый — классический для XDR — создание Security Data Lake с использованием ML-алгоритмов. Благодаря машинному обучению в XDR автоматически выстраивается связь между событиями, в том числе теми, которые не кажутся подозрительными отдельно друг от друга. Благодаря этому сокращается время на обработку инцидентов, ведь вам не нужно реагировать на атомарные события в инфраструктуре. В результате аналитик видит цепочку действий злоумышленника и путь атаки, который может пролегать через электронную почту, конечные устройства, серверы, сети и др. Кроме того, специалист может подробно проанализировать каждый шаг хакера и выбрать оптимальные меры реагирования. При таком подходе к организации ядра ваше участие в управлении XDR будет минимальным: робот сам определяет, что нужно выявлять. Но готовы ли вы к такому?

 

Второй вариант — подключить необходимые источники к старому доброму SIEM. В этом случае схема будет привычна: события от ИБ-решений поступают в SIEM, при этом вы также можете настроить сбор из других элементов инфраструктуры (например, корпоративного домена). С SIEM вы расширяете область мониторинга, получаете полный контроль над логикой детекта и сами определяете, что нужно выявлять. Однако и здесь есть нюансы. В данном случае автоматическая агрегация событий от различных сенсоров в единую цепочку атаки не происходит, а ведь в этом вся суть концепции XDR. Вам придется самим задавать корреляционные правила, их нет «из коробки». Вы можете с тем же успехом использовать связку SIEM, Sandbox и EDR от разных вендоров и получить функционал, аналогичный XDR.

Авторы

При этом главное преимущество XDR — в лицензировании. Система всегда лицензируется по количеству хостов: купить ее как набор продуктов от одного вендора дешевле, чем собирать «корзину» из отдельных решений. Но здесь важно ответить на вопрос: «Есть ли у меня компетенции для развития своей базы детекта, или я готов полностью довериться экспертизе вендора и интегратора, внедряющих XDR?» Проще говоря, кадровую проблему никто не отменял. 

 

С ядром разобрались, переходим к сенсорам. Один мы уже назвали — EDR, отвечающий за выявление и реагирование на подозрительные активности на хостах. Второй must have — песочница. Изолированная виртуальная среда, в которой безопасно запускаются объекты и выдается вердикт: может файл нанести вред или нет. Сценарии использования Sandbox давно известны:

 

  • Поведенческий анализ почтовых вложений в изолированной среде — если антивирусное ПО на почтовом шлюзе пропустило угрозу из-за отсутствия сигнатур. Мы реализовали подобный проект на 10+ тыс. пользователей. Чтобы распределить нагрузку на песочницу, мы направляли на анализ только файлы, которые не блокировались, проходя через другие эшелоны защиты — например, антивирусное ПО на почтовом шлюзе.
  • Поведенческий анализ файлов, скачанных из интернета.

 

Связка EDR и Sandbox позволяет реализовать эффективный процесс работы с подозрительными объектами — оперативно проверять их и выявлять угрозы. Это особенно актуально для новых зловредов, для которых еще не выпущены сигнатуры. Такое сочетание решений будет полезно и аналитикам SOC: с его помощью они смогут быстро получать вердикты по найденным на конечных хостах сущностям и восстанавливать цепочку атаки. Мы реализовали такой сценарий в инфраструктуре Jet CyberCamp, чтобы отрабатывать процесс расследования инцидентов.

 

Дополнительно для выявления признаков атаки на сетевом уровне набор сенсоров можно расширить анализатором сетевого трафика. В отличие от IPS/IDS, NTA использует не только сигнатурные методы выявления инцидентов, но и определяет аномальное поведение. Это расширяет контекст инцидентов на хостах и помогает снизить вероятность фолзов.

Кейс

 

В одном из проектов по внедрению NTA мы выявляли попытки компрометации инфраструктуры в сетевом трафике. У заказчика часто возникали атомарные сработки на уровне хоста, но без понимания трафика сложно было раскрутить цепочку атаки и понять, фолз это или нет. Допустим, на хосте добавлен новый процесс, SIEM задетектил это, а с помощью NTA мы увидели, что далее АРМ начал подключаться к С2С-серверам для загрузки вредоноса.


При внедрении NTA важно понимать, что прямой сбор со SPAN-портов не гарантирует чистоты разбора трафика. В этом случае на NTA льются вообще все данные, а часть из них может не представлять интереса для разбора. Рекомендуем использовать сетевой TAP + брокер фильтрации.

***
При внедрении XDR важно понимать, что это не магическая коробка, которая развернется по схеме «далее — далее». Это набор самостоятельных ИБ-продуктов, результат работы которых анализируется централизованно. Грубо говоря, XDR не равняется «легкому внедрению». Но при правильной настройке система поможет эффективнее обрабатывать поток инцидентов и снизить количество фолзов.

 

В 2020 году Gartner назвал XDR самым трендовым ИБ-решением, которое в ближайшие пять лет станет одной из ключевых частей современного ИБ-ландшафта. Мы полностью согласны с этой оценкой и считаем, что XDR в значительной мере нивелирует проблему нехватки кадров на рынке и позволяет построить комплексную и качественную защиту даже с небольшим штатом ИБ-специалистов.

Уведомления об обновлении тем – в вашей почте

Mobile Forensics Day 2022: фокус на XDR

Какие факторы негативно влияют на ИБ-расследования? Как выглядит типовое расследование? Зачем нужны и как работают XDR-системы?

Кто виноват и что делать: о чем спорили участники форума DLP+

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Сертификация средств, включающих криптографические компоненты

Интервью заместителя начальника Главного управления ФАПСИ Гермогенова Александра Петровича информационному бюллетеню JetInfo  1. Федеральное агентство правительственной связи и информации при Президенте РФ – мощное ведомство с многогранной ...

ИБ-ликбез в формате small talk. Под капотом — защита облаков, Deception, киберполигон

Пошаговый чек-лист для построения защиты облаков с нуля. Рекомендации, как выстроить Digital Risk Protection, и подборка Open Source утилит. Сравнение трех лидеров рынка автопентестов: PenTera, Cymulate, Cronus CyBot.

Программно-технологическая безопасность информационных систем

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности -:   необходимо гарантировать непрерывность и корректность функционирования важнейших ...

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Осторожно, CRM: как мошенники используют систему себе во благо

Виды уязвимостей процессов в CRM-системах. Требования к антифрод-системе для защиты CRM.

5 кейсов Jet CyberCamp

Как появилась платформа Jet CyberCamp? Реальные бизнес-кейсы из нашей практики? Как проходит обучение специалистов на киберучениях?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня