С каждым годом в информационном пространстве кибербезопасности появляется все больше аббревиатур: EDR, MDR, NDR, XDR, MXDR… Как следствие, становится все сложнее разобраться в том, что стоит за этими буквами, и понять отличия между этими технологиями. Сегодня самой животрепещущей темой является XDR. Каждый вендор, у которого есть хоть несколько решений по безопасности, стремится назвать их XDR-платформой, паразитируя на неосведомленности пользователей, в надежде продвинуть устаревшие решение в блестящей упаковке. В данной статье мы окончательно развеем туман в вопросе XDR, рассмотрим его ключевые особенности и сферы применения.

eXtended Detection and Response 

Но давайте с самого начала. Что такое XDR? По определению Forrester, XDR – это "Эволюция EDR, которая оптимизирует обнаружение, расследование, реагирование и поиск угроз в режиме реального времени. XDR объединяет обнаружения конечных точек с телеметрией от средств безопасности и бизнес-инструментов, таких как NAV, защита электронной почты, управление идентификацией и доступом (IAM), облачная безопасность и другие. Это облачная платформа, построенная на базе инфраструктуры больших данных и обеспечивающая командам безопасности гибкость, масштабируемость и возможности для автоматизации".
Но если простыми словами, XDR – это облачная платформа, которая «из коробки» умеет интегрироваться с множеством решений безопасности для сбора событий безопасности и автоматизации процессов ИБ. XDR коррелирует собранную информацию для автоматического обнаружения угроз, а также позволяет проводить по ней ручной поиск. Кроме того, XDR не ограничивается данными лишь с конечных точек, а обрабатывает информацию с сети, почты, облака и других направлений для учета каждой детали, что может привести к обнаружению ранее незаметных угроз.

Типы XDR 

Сразу же стоит рассмотреть, какие типы XDR-решений существуют. Условно их можно поделить на два типа – Native и Open.

Native XDR полностью полагается на решения от одного вендора, при этом жертвуя интеграциями с другими поставщиками. Все интеграции и сборщики данных ориентированы только на решения своего производителя и никаким образом не могут взаимодействовать со сторонними вендорами.

Преимущества: ● За счет небольшого количества интеграций и работы только со своими продуктами такие интеграции являются более глубокими и продуманными. ● Зачастую требуется меньше времени, чтобы развернуть и сконфигурировать такую систему.

Недостатки: ● Один вендор не может предоставить решения сразу всех типов, для недостающих решений будут проблемы с видимостью угроз. ● Если у организации уже есть решения других производителей, они не смогут быть подключенными к Native XDR, что снижает общую функциональность платформы ИБ.

В свою очередь, Open XDR ориентирован на интеграцию со сторонними поставщиками, сбор данных и реагирование на угрозы, при этом он использует широкий спектр решений безопасности от разных вендоров.

Преимущества: ● Так как нет зацикленности на одном вендоре, все существующие решения безопасности в организации могут быть подключены к Open XDR. ● Это дает возможность подключить все типы решений, что позволяет XDR обрабатывать данные с каждого уголка организации.

Недостатки: ● Из-за того, что на рынке безопасности каждый день появляются новые продукты, а существующие постоянно изменяются, поддержка интеграций с ними становиться невероятно сложной задачей, поэтому интеграции могут быть поверхностными. ● Большая свобода в интеграциях может приводить к сложностям с процессом конфигурации.

Выбор типа XDR напрямую зависит от существующей инфраструктуры, поставщиков решений безопасности и потребностей организации. У каждого типа есть свои преимущества и недостатки, а также потенциал вывести безопасность организации на новый уровень.

Оптимизация человеческого труда при помощи XDR

Развитие технологий неизбежно влечет за собой замену человека. То, что раньше занимало дни и недели, искусственный интеллект обрабатывает за минуты и секунды. XDR – яркий пример таких технологий.

Автоматическая корреляция событий позволяет сократить время на обнаружение угроз и делать это в разы эффективней. Вместо того чтобы вручную сопоставлять сотни тысяч событий, можно со спокойной душой заварить себе чашечку кофе. После того как угрозы были обнаружены, XDR производит их приоритезацию, то есть показывает, какие инциденты требуют немедленного вмешательства, а с какими можно повременить. В комплексе это позволяет улучшить показатели MTTD (Mean Time to Detect) и MTTR (Mean Time to Respond) – количества времени, необходимого для обнаружения и устранения угроз. Эти показатели напрямую отображают зрелость инфраструктуры ИБ: чем меньше время на обнаружение и реагирование – тем больше организации готовы к вероятным кибератакам.

Со временем сокращается порог входа для работы с продуктами ИБ. Недавно это можно было наблюдать на примере EDR, который умеет проводить автоматическое расследование инцидентов с конечных точек на основе ИИ. XDR в этом плане пошел еще дальше, позволяя проводить полноценные расследования в масштабах всей инфраструктуры и качественно устранять угрозы даже младшим аналитикам.

Все вышеописанные моменты показывают, что XDR позволяет существенно уменьшить необходимость в человеческих ресурсах, экономить на заработной плате и тренингах, при этом сохраняя, а то и приумножая потенциал кибербезопасности организации. Но сегодня о полной замене человека в ИБ говорить еще рано, ведь все ключевые решения принимает естественный интеллект, а не искусственный.

Уведомлен – значит защищен

Как упоминалось ранее, XDR нативно интегрируется с другими решениями безопасности, образуя вокруг себя XDR-платформу. Внутри платформы обязательным является обмен информацией об угрозах между всеми компонентами. Например, если решение сетевой безопасности обнаружило вредоносный файл, оно моментально сообщит об этом файле антивирусному решению, почтовому шлюзу и остальным компонентам. С этого момента, без лишних затрат вычислительных и временных ресурсов, они будут моментально блокировать данный файл.

Зачастую такого результата невозможно добиться, используя решения от разных вендоров, однако XDR может собирать индикаторы компрометации с отдельных устройств и распространять их на все подключенные устройства в организации.

Это приводит к тому, что все компоненты безопасности консолидированы и работают как единый «живой» организм. Они обмениваются между собой новейшей информацией об угрозах, каждый сенсор обладает самыми актуальными данными для защиты от угроз.

Возможности реагирования на угрозы 

Не секрет, что хакеры все чаще используют автоматизированные средства для проведения атак. В свою очередь, XDR предлагает автоматизированные средства для их устранения, при этом учитывая контекст всех компонентов безопасности. Благодаря нативным интеграциям он предлагает варианты реагирования, которые затрагивают как конечные точки, так и сеть, почту, DLP, SWG и другие.
Часто для устранения угроз нужно производить набор одинаковых, рутинных действий. Чтобы оптимизировать процессы безопасности, эти действия можно оформить в так называемые плейбуки. Playbook — это последовательность шагов, разработанная для реагирования на конкретные типы угроз, которая облегчает координацию и реагирование на киберинциденты.
Например, в плейбуке XDR могут быть описаны следующие действия: ● Создать кейс в системе тикет-менеджмента с внесением всей доступной информации об угрозе. Если кейс уже существует, дополнить его новой информацией ● Создать расследование в системе EDR ● Добавить обнаруженный вредоносный IP-адрес в черный список в системе IPS
XDR может запускать плейбуки автоматически, например, если была обнаружена конкретная угроза или событие. Также их можно запускать вручную, например, чтобы внести в плейбук вводные данные (IP, хеш и т. д.), или же если он потенциально может нарушить бизнес-процессы.
Что автоматический, что ручной запуск плейбуков помогает ускорить процесс реагирования и уменьшить влияние человеческого фактора. Четко прописанные шаги не дадут аналитику растеряться во время обнаружения шифровальщиков в сети, а автоматизация позволит уделить высвобожденное время другим угрозам.

Trellix  

Все вышеописанное – это общие требования к XDR, которые продвигают ведущие аналитические агентства, такие как Gartner и Forrester. Большинство производителей, решивших начать развивать собственную XDR-платформу, стараются дотянуть возможности своих «XDR» до этих требований. В то же время, на рынке присутствует закаленный боем вендор, который еще до появления термина “XDR” имел его ключевые возможности, который не подстраивается под требования рынка, но формирует их. Этот вендор – Trellix.

Источник картинки: https://www.trellix.com/en-us/platform.html

Несколько фактов о Trellix: ● Trellix указан в наибольшем количестве отчетов по XDR и средствам безопасности, опубликованных Gartner, Forrester и IDC. ● Trellix является поставщиком XDR, имеющим наибольшее количество отзывов о средствах безопасности на сайте Gartner Peer Insights. ● Trellix занимает 6-е место среди поставщиков ПО для обеспечения безопасности по совокупному доходу в рейтинге Market Share Analysis: Security Software, Worldwide, 2021. ● Trellix занимает 3-е место среди поставщиков современных средств защиты конечных точек в отчете IDC Worldwide Modern Endpoint Security Market Shares, July 2021-June 2022.

Trellix XDR  

Trellix XDR – это облачная платформа, которая помогает командам ИБ в оперативном обнаружении, расследовании и реагировании на угрозы. Он уникален тем, что объединяет в себе оба типа XDR - Native и Open. Trellix XDR вобрал в себя лучшее из обоих миров, а именно интеграции с более чем 1000 источников данных (как Open XDR), а также он имеет глубокие интеграции внутри платформы Trellix (как Native XDR). Trellix XDR прост в развертывании, с легкостью интегрируется в существующую платформу безопасности, кроме того имеет серьезное подспорье в виде обширного портфеля решений Trellix.

Платформа безопасности Trellix

Кстати, об обширном портфеле. Продукты Trellix покрывают около 70% потребностей организаций в информационной безопасности. Вместе они обнаруживают и блокируют угрозы, делятся между собой информацией об угрозах, а всю собранную телеметрию передают в Trellix XDR для дальнейшей обработки и анализа.
XDR-платформа, которая включает в себя все мощности Trellix, обогащается данными от Trellix Advanced Research Center,из ведущих профессионалов ИБ. Они кропотливо исследуют поступающую телеметрию, изучают новейшие угрозы и беспрерывно улучшают качество продуктов Trellix.
Благодаря множеству интеграций, к XDR-платформе также подключаются решения сторонних производителей, дополнительно насыщая Trellix XDR событиями безопасности и телеметрией.

Связующим компонентом с точки зрения интерфейса является XConsole, которая объединяет ключевые решения Trellix в единую консоль. Больше не нужно держать открытыми 100500 вкладок браузера и утопать в океане информационного шума, все самые важные элементы управления находятся в XConsole.

В итоге платформа безопасности Trellix XDR выглядит так:

Источник картинки: https://www.trellix.com/en-us/platform.html

Подключаем источники 

Теперь перейдем к обзору непосредственно Trellix XDR. Работа с ним начинается с подключения источников данных. Для примера, к Trellix XDR можно подключить: ● продукты для защиты эндпоинтов, сети, почты, облака, мобильных устройств ● продукты для управления уязвимостями и активами ● облачные провайдеры, такие как AWS и Azure ● события с Windows и Active Directory ● и еще много-много других

Для подключения облачных продуктов от разнообразных вендоров Trellix XDR использует Cloud Connect. Он спроектирован так, чтобы интеграция происходила быстро и без прочтения 100 томов документации. Это справедливо как для продуктов Trellix, так и для сторонних поставщиков. Вот несколько доступных интеграций:

Далее в консоли XDR можно увидеть все подключенные источники, сколько событий они генерируют, а также в один клик начать поиск по данным с определенного источника.

Threat Hunting в Trellix XDR 

Собранная с устройств информация может обрабатываться несколькими способами – автоматически и вручную.

Автоматически угрозы могут выявляться с помощью корреляционных правил, искусственного интеллекта, а также поведенческого анализа пользователей и активов:

Для эффективного ручного анализа и поиска угроз (Threat Hunting) у Trellix XDR также есть несколько технологий - Trellix Query Language и Investigation Tips.
Trellix Query Language (TQL) – это разработанный Trellix язык запросов, который имеет простой синтаксис, что позволяет быстро составлять сложные точечные запросы: ● Движок TQL обрабатывает составленный запрос и выполняет поиск по миллионам событий за считанные секунды ● Благодаря TQL можно находить как отдельные события, так и отслеживать целые цепочки атак.
Иметь возможность быстрого поиска нужной информации – это хорошо, но иногда совсем не ясно, что именно нужно искать. Эта проблема знакома не только новичкам в ИБ, но и опытным аналитикам.
Investigation Tips позволяют на каждом этапе расследования понимать, в какую сторону двигаться дальше. Представьте, что Вы расследуете инцидент вместе с ведущим экспертом Trellix, который наводящими вопросами помогает найти истинную причину инцидента.

Автоматизация в Trellix XDR 

Сильной частью Trellix XDR являются плейбуки. Все они нацелены на качественное устранение угроз для самых разных платформ и потребностей. Создание плейбуков – задача не из легких, поэтому Trellix берет эту работу на себя, постоянно разрабатывая и добавляя новые возможности в систему. Зачастую плейбуки являются универсальными и подойдут большинству организаций, а если вдруг возможностей «из коробки» станет недостаточно, то можно создавать собственные плейбуки, которые учитывают конкретно ваши решения безопасности и задачи.

Например, в Trellix XDR предустановлены такие плейбуки: ● Определить имя атакуемого пользователя из инцидента, заблокировать его через Azure AD● Определить IP-адрес из инцидента, создать автоматическое расследование в Trellix EDR● Определить атакуемую рабочую станцию, назначить на нее тег, который применит самые строгие политики и изолирует ее от сети
В итоге возможности автоматизации Trellix XDR играют важную роль в построении процессов безопасности. Они помогают ускорить процесс реагирования на угрозы и способствуют повышению его качества.

https://docs.trellix.com/bundle/xdr_pg/page/UUID-dbca4d74-e5f3-cca9-c41a-a7ad8ce20c41.html

Выводы 

XDR – это перспективная технология, которая интегрирует множество решений безопасности, обеспечивает автоматизацию процессов обнаружения и реагирования на угрозы. Основное преимущество XDR заключается в сокращении времени и повышении качества обнаружения и реагирования на угрозы.

Trellix XDR – пример зрелого XDR, который является центром мощной платформы безопасности от Trellix. Внутри этой платформы установлена тесная интеграция решений, которая позволяет им делиться между собой новейшей информацией об угрозах и эффективнее блокировать угрозы. Более того, благодаря интеграциям Trellix XDR, к данной платформе подключаются решения сторонних поставщиков, что дает больше видимости и контекста для выявления самых скрытных злоумышленников.

Trellix XDR предоставляет различные средства для обнаружения угроз. Автоматическая корреляция сделает большую часть работы за аналитика, а если этого окажется недостаточно, Trellix XDR позволит произвести поиск по всей собранной информации с помощью Trellix Query Language, а также подскажет вектор расследования с помощью Investigative Tips

Для устранения обнаруженных угроз Trellix XDR предлагает множество предустановленных плейбуков, которые помогут действовать быстрее и грамотнее на этом этапе.

Все вместе делает Trellix XDR решением, которое выведет безопасность организации на качественно новый уровень, при этом обучая персонал лучшим практикам информационной безопасности.