Как выбрать правильную защиту класса XDR

Для противостояния сложным угрозам, целенаправленным атакам и угрозам типа APT нужно защищать все потенциальные точки проникновения в инфраструктуру и учитывать взаимосвязи между ними. Злоумышленники могут атаковать множество элементов инфраструктуры и использовать сразу несколько техник и тактик, поэтому желательно видеть полную картину атаки, анализировать первопричины, расследовать инциденты и реагировать на них в масштабе всей инфраструктуры. Для этой цели были созданы инструменты XDR. Основными заказчиками решений XDR считаются средние и крупные организации, которые выстраивают целостную стратегию в области кибербезопасности, направленную на комплексную защиту от угроз. Опросы показывают, что ключевыми факторами для выделения бюджетов на ИБ-решения в России примерно в равной степени являются понимание усложнения ландшафта угроз, расширение существующей IT-инфраструктуры и необходимость соответствия регуляторным требованиям. Основные ИБ-задачи, вытекающие из них, взаимосвязаны и могут быть решены с помощью XDR.

Поставщики решений XDR предлагают тесно интегрированные продукты безопасности с передовыми возможностями обнаружения угроз, расследования и реагирования на инциденты. Это унифицированная среда обмена данными c единой консолью управления и возможностью получения единой картины происходящего в инфраструктуре. Совместное использование продуктов IT-безопасности и информации из разных источников повышает эффективность противодействия кибератакам. За счет автоматической корреляции событий и расширенной аналитики повышается точность выявления угроз, а также сокращается количество пропущенных важных оповещений.  

Если за рубежом XDR рассматривается преимущественно как облачная технология, то в России в основном востребованы локально развертываемые решения. Однако в любом случае XDR нацелен на консолидацию продуктов ИТ-безопасности и снижение операционных расходов. Решения класса XDR могут повысить продуктивность работы сотрудников службы безопасности с помощью преобразования большого потока предупреждений в ограниченное число инцидентов, которые затем можно расследовать. Часто они предусматривают возможности оркестрации и автоматизации повторяющихся задач. Единые управление и рабочий процесс во всех компонентах безопасности сокращают время обучения и получение навыков, а использование механизмов машинного обучения, релевантных данных об угрозах и автоматизации операций упрощает работу.

В результате XDR делает работу специалистов по ИБ более эффективной и интеллектуальной, а также избавляет их от рутинных операций, которые снижают мотивацию. Некоторые решения даже контролируют уровень киберграмотности рядовых сотрудников в компании, то есть отслеживают соблюдение «кибергигиены».

Развивающийся рынок

Мировой рынок XDR все еще находится в стадии формирования. Поскольку это новый класс систем, в данном сегменте присутствует не так много игроков, однако, по прогнозу Gartner, к концу 2027 года XDR будут использовать до 40% организаций. Сегодня их доля не превышает 5%. К 2023 году не менее 30% поставщиков систем EDR и SIEM станут претендовать на включение своих решений в категорию XDR, даже при отсутствии в них некоторых функций XDR. Это логичное следствие развития вендорами портфелей продуктов и желания объединить и интегрировать эти продукты в свою экосистему решений. Этой экосистемности ждут и заказчики.

При этом развитие рынка XDR будет стимулировать приобретение технологий безопасности крупными поставщиками, стремящимися заполнить пробелы в своих портфелях решений для создания собственного предложения класса XDR. 

Фактически XDR основывается на расширении технологий EPP/EDR (Endpoint Protection Platform и Endpoint Detection and Response). Forrester определяет XDR как эволюцию технологии EDR. EDR – это ключевой элемент XDR, так как именно конечные точки представляют собой основной источник информации для расследования киберинцидентов. Таким образом, для эффективной работы XDR требуется качественное решение EDR. Но одного его недостаточно. Сегодня киберприступники используют многовекторный подход к своим атакам и часто используют сочетание разных методов, необходимо контролировать происходящее и за пределами конечных точек.

Компоненты XDR включают в себя дополнительно к системе защиты конечных точек и другие ИБ-инструменты: это могут быть системы обнаружения и предотвращения вторжений (IPS/IDS), решения по анализу сетевого трафика, системы мониторинга ИБ-событий, продукты для защиты электронной почты, облачных приложений и учетных записей и пр. Этот набор часто отличается, так как зависит от продуктов каждого конкретного XDR-вендора.

В ситуации роста скрытности и сложности киберугроз и активизации многовекторных атак нужны новые методы, основанные на анализе угроз. XDR охватывает защиту конечных точек, сети и веб и почтового трафика, то есть наиболее распространенных мест проникновения злоумышленников в корпоративную инфраструктуру, а для анализа угроз необходимы данные Threat Intelligence (TI, данные о киберугрозах). Очень важно даже в базовой конфигурации обогащать полученные оповещения актуальными данными об угрозах, и использовать данные из матрицы тактик и техник злоумышленников MITRE ATT&CK. Это дает дополнительный контекст для расследования инцидентов и быстрого реагирования на киберугрозы. Сами ИБ-специалисты, согласно опросам, называют расширенную аналитику одной из самых привлекательных функциональных возможностей XDR наряду с наглядной визуализацией, сокращением времени обнаружения и реагирования на угрозы.

Threat Intelligence — это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. По определению Gartner, Threat Intelligence — основанные на фактических данных знания о существующих или возможных угрозах, которые включают контекст, механизмы, индикаторы, последствия, практические рекомендации и могут использоваться для принятия решений по реагированию. Это часть комплексного подхода по мониторингу киберугроз и реагированию на них.

TI предоставляет актуальные технические, операционные и стратегические данные об угрозах, что позволяет обеспечивать проактивную защиту. Благодаря интеграции потоков оперативных данных об угрозах, содержащих подозрительные и вредоносные IP-адреса, веб-адреса и хеши файлов, с системами XDR, службы ИБ могут автоматизировать процесс приоритизации оповещений об угрозах. При этом специалисты получают достаточно контекста, чтобы выявлять события, требующие изучения или детального расследования.

Решение XDR может быть нативным (полностью моновендорным) или гибридным (включать продукты разных производителей), но в последнем случае ядро системы базируется на платформе одного поставщика и предоставляет возможность интеграции со сторонними ИБ-решениями. Собираемые разными компонентами данные нормализуются, сохраняются в базе данных, коррелируются. Множество событий из разных источников, объединяются в общую историю атаки. Это позволяет эффективно расследовать инциденты, выявлять распределенные во времени атаки и оперативно реагировать на угрозы. 

Таким образом, XDR содержит подсистему централизованного сбора данных, подсистему корреляции событий и формирования уведомлений, а также подсистему централизованного реагирования на инциденты. Важно также, что XDR дает организациям возможность соответствовать требованиям регуляторов и своевременно предоставлять информацию об случившихся инцидентах безопасности. 

Ключевое отличие решения XDR от набора точечных решений — его эффективная работа как платформы. Важно учитывать, насколько хорошо интегрированы компоненты и сколько продуктов объединяет XDR. Будущее XDR — это применение искусственного интеллекта и машинного обучения, в том числе для анализа и приоритизации собираемых данных. 

При выборе решения XDR нужно прежде всего обращать внимание на такой ключевой элемент как EDR/EPP, на встроенные аналитические данные Threat Intelligence и взаимодействие с MITRE ATT&CK. Также будет полезно учитывать возможность хранения данных, глубину интеграции и кросс-продуктового взаимодействия, инструменты расширенного проактивного поиска угроз, возможность интеграции с решениями от других вендоров и простоту использования. 

Таким образом, XDR — это логическое продолжение концепции EDR, отвечающее тенденции объединения и централизации систем информационной безопасности для создания более эффективного защитного решения. XDR охватывает всю инфраструктуру предприятия, контролируя потенциальные точки проникновения злоумышленника в инфраструктуру. Важно также, чтобы у вендора XDR был четкий план развития своего решения и возможность дополнять свою экосистему новыми возможностями. 

«Лаборатория Касперского» известна тем, что предлагает комплексную защиту рабочих мест на базе единого агента, в которой есть синергия решений классов EPP и EDR. Заказчики получают функции контроля рабочих мест, автоматического предотвращения угроз, а также возможности эффективного обнаружения и детального расследования сложных угроз, централизованного реагирования на комплексные инциденты.

Для защиты от целевых атак любой сложности предназначена платформа Kaspersky Anti Targeted Attack (KATA). Она представляет собой нативное решение класса XDR. KATA соединяет защитные технологии и глобальную аналитику, что дает возможность своевременно реагировать на целенаправленные действия злоумышленников и противодействовать атакам. 

В марте 2022 года «Лаборатория Касперского» выпустила новую линейку продуктов — Kaspersky Symphony для комплексного противодействия сложным кибератакам за счет тесной интеграции проверенных временем инструментов. В ее основе — уже зарекомендовавшие себя технологии для защиты физических и виртуальных рабочих мест класса EPP и EDR, дополненные усовершенствованными инструментами защиты от кибератак.

Kaspersky Symphony XDR объединяет целый ряд технологий экспертного уровня. Решение не только призвано защищать многочисленные точки входа от потенциальных киберугроз, но также развивает навыки рядовых сотрудников в области ИБ и легко встраивается в существующую систему безопасности. В одном решении заказчики получают целый «оркестр» технологий, где инструменты действуют как единое целое, создавая дополнительную ценность для бизнеса в долгосрочной перспективе. 

В ближайших планах «Лаборатории Касперского» — выпуск облачного решения XDR, а также интеграция XDR c разрабатываемыми технологиями SASE (Secure Access Service Edge).