Нужен ли вашей компании XDR?

Ответы на основные вопросы, связанные с концепцией Extended Detection and Response.

В последнее время все чаще для защиты инфраструктуры крупных компаний рекомендуют использовать решения класса XDR. Однако далеко не у всех есть четкое понимание того, что это такое и для чего нужно на практике. Я постараюсь дать ответы на основные вопросы, связанные с XDR, которые помогут самостоятельно определить, нужно ли решение такого класса вашей компании.

Почему старой защиты недостаточно?

Традиционно от киберугроз в первую очередь защищали конечные точки — серверы и рабочие станции, что в конечном итоге стало важным фундаментальным шагом в вопросе противодействия сложным кибератакам. А также использовали базовую сетевую защиту или устанавливали передовые инструменты защиты лишь на один из векторов потенциальной атаки (например, только на рабочие места (решение класса EDR) или сеть (решение класса NTA) и т. п). Но современные киберпреступники все чаще применяют мультивекторный подход к организации своих атак, используют несколько точек проникновения в инфраструктуру, горизонтальное перемещение по сети, различные тактики и техники нападения, а также социальную инженерию. Все это расширяет поверхность атаки и усложняет процесс расследования и реагирования. Для противодействия такого рода кибератакам потребовался новый инструмент, учитывающий комплексный подход к построению защиты.

Что такое XDR?

Если воспользоваться прямым переводом c английского языка, то термин XDR (Extended Detection and Response) означает расширенное обнаружение и реагирование. В слово «расширенное» заложено детектирование угроз и реагирование на них не только на уровне конечных точек — рабочих компьютеров и серверов, но и за его пределами. Это означает, что к решению класса Endpoint Detection and Response (EDR), отвечающему за обнаружение и реагирование на уровне инфраструктуры конечных точек — а это основополагающий элемент технологии XDR, — добавляются различные дополнительные ИБ-инструменты от этого же вендора. При этом они тесно интегрированы между собой и привносят дополнительные сценарии взаимодействия, усиливающие процесс противодействия сложным киберугрозам.

Что входит в XDR?

Тип и количество инструментов, подключаемых к конкретному XDR-решению, напрямую зависят, во-первых, от их количества в портфеле конкретного вендора, а во-вторых, от степени их взаимной интеграции. Это могут быть, например, продукты, направленные на защиту почты, сети, облачной инфраструктуры, учетных записей и так далее. Это могут быть инструменты Threat Intelligence — например, потоки данных об угрозах, платформа для управления такими данными (Threat Intelligence Platform). Также в рамках XDR может быть организован доступ к поисковому порталу о киберугрозах и взаимосвязях, который позволит эксперту получать дополнительный контекст, важный в процессе расследования киберинцидентов. В общем, концепция XDR сегодня полностью олицетворяет в ИБ современную тенденцию экономики — экосистемность.

Значит ли внедрение XDR, что предыдущие решения мы ставили зря?

Совершенно не обязательно. На рынке существуют решения XDR двух типов: нативные и гибридные. Первый тип подходит для создания защиты с нуля или продолжения развития в рамках продуктов от одного вендора, а второй не исключает возможность интеграции с ИБ-решениями сторонних поставщиков, тем самым позволяет сохранить ранее вложенные инвестиции.

XDR — не очередной маркетинговый трюк, придуманный аналитиками?

Как раз наоборот — ведущие аналитические агентства признали эту концепцию и само наименование XDR уже после того, как этот класс решений сформировался на рынке. Концепция появилась в процессе эволюции как продуктов информационной безопасности, так и потребностей рынка. Сегодня заказчикам необходима не просто унификация ИБ-инструментов от одного производителя, но и получение от этой унификации каких-то дополнительных преимуществ — например, в виде кросс-продуктовых сценариев, автоматизации процессов, экономии ресурсов и снижения издержек. Все это воплощено в решении класса XDR.

В чем ценность концепции XDR для бизнеса?

Первое — XDR решает задачу всесторонней защиты расширяющейся и изменяющейся IT-инфраструктуры от быстро усложняющегося ландшафта киберугроз, и все это в эпоху глобальной нехватки экспертов по информационной безопасности.

Второе — XDR упрощает работу такого ценного и дефицитного ресурса, как специалисты по информационной безопасности, и повышает вовлеченность этих экспертов в процесс работы с инцидентами.

Третье — XDR позволяет улучшить показатели среднего времени обнаружения и реагирования на инциденты (MTTD и MTTR). Это очень важно в вопросе противодействия сложным угрозам и целевым атакам, где быстро принятые ИБ-экспертами меры уменьшают шансы атакующих достичь своей цели и нанести компании финансовый или репутационный ущерб. Защита от самых сложных кибератак при ограниченных экспертных ресурсах становится возможной, в частности, за счет:

  • повышения уровня автоматизации;
  • использования единой консоли;
  • предоставления единой среды обмена данными;
  • тесного взаимодействия подключаемых ИБ-инструментов в XDR и совместных сценариях;
  • получения целостной картины происходящего в инфраструктуре;
  • встроенного обогащения достоверными и релевантными данными о киберугрозах (Threat Intelligence);
  • качественной приоритизации инцидентов;
  • сокращения числа ложноположительных срабатываний.

«Лаборатория Касперского» недавно анонсировала выход новой линейки Kaspersky Symphony, верхним уровнем которой является решение класса XDR. Kaspersky Symphony XDR воплощает экосистемный подход к защите от самых сложных кибератак — он обеспечивает контроль популярных точек входа злоумышленников в инфраструктуру, тесное кросс-продуктовое взаимодействие и оптимально настроенную автоматизацию. Кроме этого, решение помогает соответствовать требованиям регуляторов.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.