Od AV przez EPP po EDR, a teraz XDR (Extended Detection Response), te zmieniające się technologie odzwierciedlają wszechobecną prawdę: cyberprzestępcy nieustannie ewoluują, a obrońcy powinni być o krok lub więcej z przodu. Dynamiczny obecnie krajobraz zagrożeń w połączeniu z szybko rozwijającymi się innowacjami biznesowymi skłania większość organizacji do przechodzenia z rozwiązań o architekturze On-Premise do rozproszonej infrastruktury opartej na chmurze.
Zapewnienie ciągłości działania i bezpieczeństwa operacyjnego jeszcze nigdy nie było tak skomplikowane, jak w przypadku zdalnych środowisk pracy i prawie 5 miliardów telekonferencji miesięcznie. Liczba podmiotów stanowiących zagrożenie, udanych cyberataków i zestawów narzędzi ofensywnych rośnie wykładniczo. Z kolei systemy bezpieczeństwa jeszcze z niedalekiej przeszłości nie zostały stworzone, aby poradzić sobie z dzisiejszym złożonym, szybko zmieniającym się zakresem zagrożeń: rosnącymi ukierunkowanymi atakami typu ransomware, naruszeniami danych, kradzieżą własności intelektualnej, zespołami centrów operacyjnych ds. bezpieczeństwa, które zmagają się ze zmęczeniem alarmami i brakami kadrowymi, a także mnożeniem się udanych ataków pomimo obecności tradycyjnych narzędzi bezpieczeństwa.
Organizacje muszą poszukiwać nowego, bardziej kompleksowego podejścia do wykrywania i reagowania – takiego, które obejmuje tradycyjne punkty końcowe, a także rozszerza się w celu ochrony stale rosnącej powierzchni ataku, w tym sieci i chmury.
Na szczęście, to tylko niektóre z problemów, które system klasy XDR jest w stanie rozwiązać. Ten post wyjaśnia, czym jest XDR i w jaki sposób pomaga zespołom ds. bezpieczeństwa.
Czym jest XDR (Extended Detection Response)?
XDR, czyli Extended Detection and Response , to kolejny krok w ewolucji Endpoint Detection and Response (EDR), czyli grupie systemów skupiających się na wykrywaniu podejrzanych działań na punktach końcowych oraz reagowaniu na nie. W przeciwieństwie do tradycyjnych rozwiązań bezpieczeństwa, narzędzia EDR zostały zaprojektowane tak, aby diagnozować anomalne działania i ostrzegać zespoły bezpieczeństwa, a nie tylko identyfikować i poddawać kwarantannie zainfekowane pliki.
Obecnie sieci mają jednak zdecydowanie zbyt wiele punktów końcowych (od telefonów komórkowych i urządzeń IoT po aplikacje chmurowe i kontenery), aby tradycyjne systemy EDR były w pełni skuteczne. Rozwiązania XDR łączą istotne dla bezpieczeństwa wykrywanie punktów końcowych z telemetrią pochodzącą z narzędzi bezpieczeństwa i biznesowych, takich jak analiza i widoczność sieci (NAV), bezpieczeństwo poczty elektronicznej, zarządzanie tożsamością i dostępem, bezpieczeństwo chmury i inne.
Odnosząc się do bardziej oficjalnych definicji, to zgodnie z Gartner, XDR (Extended Detection and Response) to „oparte na SaaS, specyficzne dla dostawcy narzędzie do wykrywania zagrożeń bezpieczeństwa i reagowania na incydenty, które natywnie integruje wiele produktów zabezpieczających w spójny system ujednolicający wszystkie licencjonowane komponenty”.
Jak działa XDR?
Podstawowymi wartościami rozwiązań XDR są poprawa wydajności działań powiązanych z bezpieczeństwem poprzez zwiększenie możliwości wykrywania oraz reagowania na incydenty. Zapewnione jest to za pośrednictwem ujednolicenia kontroli i widoczności w punktach końcowych, sieci i chmurze.
XDR zbiera i odfiltrowuje wiele strumieni danych telemetrycznych. Może również zagwarantować zaawanasowane scenariusze reagowania dla zespołów SOC, które nie mają przeznaczonych do tego narzędzi na punktach końcowych. Dodatkowo XDR eliminuje mało efektywne skanowania podatności czy cykle skanów AV.
Rozwiązania XDR zapewniają zaawansowany wgląd w takie punkty jak:
- Wgląd w punkty końcowe, sieci, infrastrukturę chmury (AWS / Azure VPC), aplikacje SaaS (Office365).
- Informacje o zagrożeniach – dane niezbędne do uwzględnienia w analizie.
- Wyniki skanowania podatności i dzienniki NGFW.
- Aplikacje, hosty, w tym geolokalizację, informację o użytkownikach.
Zalety XDR
XDR pozwala na logiczne powiązanie danych w pojedynczym widoku, wpływając na przeprowadzanie dokładniejszych analiz. Przedstawienie zdarzeń w postaci „drzewa procesów” związanych z atakiem ułatwia pracę oraz adresuje takie pytania jak:
- Jak doszło do zainfekowania stacji końcowej?
- W którym dokładnie miejscu doszło do infekcji?
- Kto lub co jeszcze bierze udział w infekcji?
- Skąd pochodzi zagrożenie?
- W jaki sposób zagrożenie się rozprzestrzeniło?
- Kto z użytkowników jest narażony na dane zagrożenie?
Scentralizowana konsola zarządzająca oraz jeden instalowany na stacjach końcowych agent umożliwia:
- Ogólną automatyzację.
- Lepszą wydajność operacyjną.
- Większą priorytetyzację.
- Szybsze wykrywanie i reagowanie.
- Bardziej efektywne reakcje.
- Skalowalność.
Tak jak pisaliśmy wcześniej, rozwiązanie XDR rozszerza funkcjonalności rozwiązań typu EDR, ponieważ potrafi zbierać i korelować dane nie tylko ze stacji końcowych, ale również z punktów sieciowych, email itp. Dodatkowo zapewnia integrację z systemami SIEM i SOAR co umożliwia analitykom zgranie informacji dostarczonych przez XDR z szerszym ekosystemem bezpieczeństwa.
Czym różni się XDR od SIEM?
Kiedy mówi się o XDR, wiele osób twierdzi, że jest to technologia rozszerzająca możliwości SIEM, czyli narzędzia do zarządzania informacjami i zdarzeniami bezpieczeństwa. Jednak XDR i SIEM to dwie różne technologie. System SIEM zbiera, analizuje i przechowuje duże ilości danych z całego środowiska organizacji, a także zarządza nimi, dopasowuje wzorce, mechanizmy heurystyczne wykrywania, UEBA czy też wykrywa wskaźniki IOC. Należy jednak pamiętać ze SIEM wymaga dużego wysiłku wdrożeniowego, gdzie ważne jest odpowiednie dopasowanie do środowiska. Analitycy mogą być przytłoczeni liczbą danych, powodując że pewne alerty będą pomijane. Ponadto SIEM to nadal pasywne narzędzie analityczne, które nie chroni aktywnie urządzeń w organizacji. Platforma XDR ma na celu rozwiązać problemy z którymi borykają się systemy SIEM w zakresie skutecznego wykrywania i reagowania na ataki, oferując analizę dynamiczną, profilowanie zachowań, threat intelligence i analitykę.
Czym różni się XDR od SOAR?
Platformy SOAR czyli Security Orchestration & Automated Response są często używane przez zespoły bezpieczeństwa i służą do tworzenia i uruchamiania wieloetapowych playbooków, które automatyzują działania w ekosystemach rozwiązań bezpieczeństwa poprzez interfejs API. Z kolei XDR umożliwia integrację za pośrednictwem Marketplace i zapewnia mechanizmy automatyzacji prostych akcji. SOAR to narzędzie skomplikowane i kosztowne, wymagające wykwalifikowanego personelu do obsługi i utrzymania. XDR ma być uproszeniem SOAR, prostym, intuicyjnym rozwiązaniem, które zapewni możliwość działania w integracji z innymi rozwiązaniami bezpieczeństwa.
Bezpieczeństwo cybernetyczne jest często porównywane do wyścigu zbrojeń pomiędzy atakującymi i obrońcami, a wyścig ten wykracza obecnie poza pojedynczą warstwę punktu końcowego. W miarę, jak firmy przyjęły pracę zdalną i infrastrukturę chmury, wprowadziły większą powierzchnię ataku. W tym przypadku tylko zintegrowana platforma może zapewnić widoczność i zautomatyzowaną obronę wymaganą we wszystkich zasobach. Łącząc telemetrię punktów końcowych, sieci i aplikacji, XDR może zapewnić analitykę bezpieczeństwa, która wygra ten wyścig dzięki ulepszonemu wykrywaniu, rozwiązywaniu problemów i reagowaniu.
Jeżeli potrzebujesz pomocy w wyborze rozwiązań oraz chciałbyś dowiedzieć się więcej o rządowym programie, skontaktuj się z nami poprzez formularz znajdujący się poniżej.
Greeneris Sp. z o.o.
ul. Wojciecha Korfantego 5
01-496 Warszawa
+48 22 439 03 20
biuro@greeneris.com
Formularz kontaktowy
Zobacz także:
Webinar: Zaawansowane ataki APT Czyli dlaczego potrzebujesz ochrony nowej generacji.
