З кожним роком в інформаційному просторі кібербезпеки з'являється все більше абревіатур: EDR, MDR, NDR, XDR, MXDR… Як наслідок, стає все складніше розібратися, що стоїть за цими літерами, і зрозуміти відмінності між цими технологіями. Сьогодні найактуальнішою темою є XDR. Кожен вендор, який має хоча б кілька рішень із безпеки, прагне назвати їх XDR-платформою, паразитуючи на непоінформованості користувачів та сподіваючись просунути застарілі рішення в блискучій обгортці. У цій статті ми остаточно розвіємо туман стосовно XDR, розглянемо ключові особливості технології та сфери її застосування.

eXtended Detection and Response  

Але краще з початку. Що таке XDR? За визначенням Forrester, XDR це «Еволюція EDR, яка оптимізує виявлення, розслідування, реагування та пошук загроз у режимі реального часу. XDR об'єднує виявлення кінцевих точок з телеметрією від засобів безпеки та бізнес-інструментів, таких як NAV, захист електронної пошти, управління ідентифікацією та доступом (IAM), хмарна безпека та інші. Це хмарна платформа, побудована на базі інфраструктури великих даних, що забезпечує командам безпеки гнучкість, масштабованість та можливості для автоматизації».
Але якщо простими словами, то XDR — це хмарна платформа, яка «з коробки» вміє інтегруватися з безліччю рішень безпеки для збору подій безпеки та автоматизації процесів ІБ. XDR корелює зібрану інформацію для автоматичного виявлення загроз, а також дозволяє проводити по ній ручний пошук. Крім того, XDR не обмежується даними лише з кінцевих точок, а обробляє інформацію з мережі, пошти, хмари та інших напрямів для обліку кожної деталі, що може привести до виявлення раніше непомітних загроз.

Типи XDR 

Одразу варто розглянути, які типи XDR-рішень існують. Умовно їх можна розділити на два типи — Native та Open.
Native XDR повністю покладається на рішення від одного вендора, водночас жертвуючи інтеграціями з іншими постачальниками. Всі інтеграції та збиральники даних орієнтовані тільки на рішення свого виробника і жодним чином не можуть взаємодіяти зі сторонніми вендорами.
Переваги: ● Через невелику кількість інтеграцій та роботу тільки зі своїми продуктами такі інтеграції є більш глибокими та продуманими. ● Часто потрібно менше часу, щоб розгорнути та налаштувати таку систему

Недоліки: ● Один вендор не може надати рішення одразу всіх типів, для відсутніх рішень будуть проблеми з видимістю загроз ● Якщо організація вже має рішення інших виробників, вони не зможуть бути підключеними до Native XDR, що знижує загальну функціональність платформи ІБ.
Своєю чергою, Open XDR орієнтований на інтеграцію зі сторонніми постачальниками, збирання даних та реагування на загрози, водночас він використовує широкий спектр рішень безпеки від різних вендорів.
Переваги: ● Оскільки немає зацикленості на одному вендорі, всі наявні рішення безпеки в організації можуть бути підключені до Open XDR. ● Це дає змогу під'єднати всі типи рішень, що дозволяє XDR обробляти дані з кожного куточка організації.
Недоліки: ● Через те, що на ринку безпеки щодня з'являються нові продукти, а наявні постійно змінюються, підтримка інтеграцій з ними стає неймовірно складним завданням, тому інтеграції можуть бути поверховими. ● Велика свобода в інтеграціях може спричинити складнощі з процесом конфігурації.
Вибір типу XDR безпосередньо залежить від наявної інфраструктури, постачальників рішень безпеки та потреб організації. У кожного типу є свої переваги та недоліки, а також потенціал вивести безпеку організації на новий рівень.

Оптимізація людської праці за допомогою XDR  

Розвиток технологій неминуче спричиняє заміну людини. Те, що раніше займало дні та тижні, штучний інтелект обробляє за хвилини та секунди. XDR — яскравий приклад таких технологій.

Автоматична кореляція подій дозволяє скоротити час на виявлення загроз і робити це значно ефективніше. Замість того, щоб вручну зіставляти сотні тисяч подій, можна зі спокійною душею заварити собі каву. Після того, як загрози були виявлені, XDR проводить їхню пріоритезацію, тобто показує, які інциденти вимагають негайного втручання, а з якими можна почекати. У комплексі це дозволяє покращити показники MTTD (Mean Time to Detect) та MTTR (Mean Time to Respond) — кількості часу, необхідного для виявлення та усунення загроз. Ці показники безпосередньо відображають зрілість інфраструктури ІБ: що менше час виявлення і реагування, то більше організації готові до можливих кібератак.

Згодом скорочується поріг входу до роботи з продуктами ІБ. Нещодавно це можна було спостерігати на прикладі EDR, який вміє проводити автоматичне розслідування інцидентів із кінцевих точок на основі ШІ. XDR у цьому плані пішов ще далі, дозволяючи проводити повноцінні розслідування у масштабах усієї інфраструктури та якісно усувати загрози навіть молодшим аналітикам.

Усі вищеописані моменти показують, що XDR дозволяє суттєво зменшити необхідність у людських ресурсах, економити на заробітній платі та тренінгах, водночас зберігаючи, а то й збільшуючи потенціал кібербезпеки організації. Але сьогодні про повну заміну людини в ІБ говорити ще зарано, адже всі ключові рішення ухвалює природний інтелект, а не штучний.

Сповіщений — значить захищений  

Як згадувалося раніше, XDR нативно інтегрується з іншими безпековими рішеннями, утворюючи навколо себе XDR-платформу. Усередині платформи обов'язковим є обмін інформацією щодо загроз між усіма компонентами. Наприклад, якщо рішення мережевої безпеки виявило шкідливий файл, воно негайно повідомить про цей файл антивірусному рішенню, поштовому шлюзу та іншим компонентам. З цього моменту без зайвих витрат обчислювальних та часових ресурсів вони будуть моментально блокувати цей файл.

Найчастіше такого результату неможливо досягти, використовуючи рішення від різних вендорів, однак XDR може збирати індикатори компрометації з окремих пристроїв і розповсюджувати їх на всі підключені пристрої.

Це приводить до того, що всі компоненти безпеки консолідовані та працюють як єдиний «живий» організм. Вони обмінюються між собою найновішою інформацією про загрози, кожен сенсор має найактуальніші дані для захисту від загроз.

Можливості реагування на загрози  

Не секрет, що хакери все частіше використовують автоматизовані засоби для атак. Своєю чергою, XDR пропонує автоматизовані засоби для їхнього усунення, враховуючи контекст усіх компонентів безпеки. Завдяки нативним інтеграціям він пропонує варіанти реагування, які стосуються як кінцевих точок, так і мережі, пошти, DLP, SWG та інших.
Часто для усунення загроз потрібно виконувати набір однакових рутинних дій. Щоб оптимізувати процеси безпеки, ці дії можна оформити у так звані плейбуки. Playbook — це послідовність кроків, розроблена для реагування на конкретні типи загроз, що полегшує координацію та реагування на кіберінциденти.
Наприклад, у плейбуці XDR можуть бути описані такі дії: ● Створити кейс у системі тікет-менеджменту із внесенням усієї доступної інформації про загрозу. Якщо кейс вже існує, доповнити його новою інформацією ● Створити розслідування у системі EDR ● Додати виявлену шкідливу IP-адресу до чорного списку в системі IPS
XDR може запускати плейбуки автоматично, наприклад, якщо була виявлена конкретна загроза або подія. Також їх можна запускати вручну, наприклад, щоб внести в плейбук вхідні дані (IP, хеш тощо), або якщо він потенційно може порушити бізнес-процеси.
Як автоматичний, так і ручний запуск плейбуків допомагає прискорити процес реагування та зменшити вплив людського фактора. Чітко прописані кроки не дадуть аналітику розгубитися під час виявлення шифрувальників у мережі, а автоматизація дозволить приділити вивільнений час іншим загрозам.

Trellix  

Все вищеописане — це загальні вимоги до XDR, які просувають провідні аналітичні агенції, такі як Gartner та Forrester. Більшість виробників, які вирішили почати розвивати власну XDR-платформу, намагаються дотягнути можливості своїх XDR до цих вимог. Разом з тим, на ринку є загартований боєм вендор, який ще до появи терміну XDR мав його ключові можливості та який не підлаштовується під вимоги ринку, а формує їх. Цей вендор — Trellix.

Джерело картинки: https://www.trellix.com/en-us/platform.html

Декілька фактів про Trellix:
● Trellix згадується у найбільшій кількості звітів з XDR та засобів безпеки, опублікованих Gartner, Forrester та IDC. ● Trellix є постачальником XDR, який має найбільшу кількість відгуків про засоби безпеки на сайті Gartner Peer Insights. ● Trellix посідає 6 місце серед постачальників ПЗ для гарантування безпеки за сукупним доходом у рейтингу Market Share Analysis: Security Software, Worldwide, 2021) ● Trellix посідає 3 місце серед постачальників сучасних засобів захисту кінцевих точок у звіті IDC Worldwide Modern Endpoint Security Market Shares, July 2021-June 2022.

Trellix XDR — це хмарна платформа, яка допомагає командам ІБ в оперативному виявленні, розслідуванні та реагуванні на загрози. Вона унікальна тим, що поєднує в собі обидва типи XDR — Native та Open. Trellix XDR увібрав у себе найкраще з обох світів, а саме — інтеграції з більш ніж 1000 джерел даних (як Open XDR). Також він має глибокі інтеграції всередині платформи Trellix (як Native XDR). Trellix XDR простий у розгортанні, легко інтегрується в актуальну платформу безпеки, а також має серйозну підмогу у вигляді великого портфеля рішень Trellix.

Trellix XDR  

Trellix XDR — це хмарна платформа, яка допомагає командам ІБ в оперативному виявленні, розслідуванні та реагуванні на загрози. Вона унікальна тим, що поєднує в собі обидва типи XDR — Native та Open. Trellix XDR увібрав у себе найкраще з обох світів, а саме — інтеграції з більш ніж 1000 джерел даних (як Open XDR). Також він має глибокі інтеграції всередині платформи Trellix (як Native XDR). Trellix XDR простий у розгортанні, легко інтегрується в актуальну платформу безпеки, а також має серйозну підмогу у вигляді великого портфеля рішень Trellix.

Платформа безпеки Trellix  

До речі, про великий портфель. Продукти Trellix покривають близько 70% потреб організацій з інформаційної безпеки. Разом вони виявляють та блокують загрози, діляться між собою інформацією про них, а всю зібрану телеметрію передають у Trellix XDR для подальшої обробки та аналізу.

Всі потужності Trellix — XDR-платформа, що збагачується даними від Trellix Advanced Research Center, який складається з провідних фахівців ІБ. Вони ретельно досліджують телеметрію, вивчають нові загрози та безперервно покращують якість продуктів Trellix.

Завдяки безлічі інтеграцій до XDR-платформи також підключаються рішення сторонніх виробників, додатково насичуючи Trellix XDR подіями безпеки та телеметрією.

Сполучним компонентом з погляду інтерфейсу є XConsole, яка поєднує ключові рішення Trellix в єдину консоль. Більше не потрібно тримати відкритими 100500 вкладок браузера і потопати в океані інформаційного шуму, всі найважливіші елементи управління знаходяться в XConsole.

У результаті платформа безпеки Trellix XDR має такий вигляд:

Джерело картинки: https://www.trellix.com/en-us/platform.html

Підключаємо джерела  

Тепер перейдемо безпосередньо до Trellix XDR. Робота з ним починається із підключення джерел даних. Наприклад, до Trellix XDR можна під'єднати:
● продукти для захисту ендпоінтів, мережі, пошти, хмари, мобільних пристроїв ● продукти для управління вразливістю та активами ● хмарні провайдери, такі як AWS та Azure ● події з Windows та Active Directory ● і ще багато іншого
Для підключення хмарних продуктів від різноманітних вендорів Trellix XDR використовує Cloud Connect. Він спроєктований так, щоб інтеграція відбувалася швидко та без прочитання 100 томів документації. Це справедливо як для продуктів Trellix, так і для сторонніх постачальників. Ось кілька доступних інтеграцій:

Далі в консолі XDR можна побачити всі підключені джерела і те, скільки подій вони генерують, а також в один клік почати пошук за даними з певного джерела.

Полювання на загрози в Trellix XDR  

Зібрана з пристроїв інформація може оброблятися кількома способами: автоматично та вручну.

Автоматично загрози можуть виявлятися за допомогою кореляційних правил, штучного інтелекту, а також поведінкового аналізу користувачів та активів:

Для ефективного ручного аналізу та пошуку загроз (Threat Hunting) у Trellix XDR також є кілька технологій: Trellix Query Language та Investigation Tips.
Trellix Query Language (TQL) — це розроблена Trellix мова запитів, яка:
● Має простий синтаксис, що дозволяє швидко створювати складні точкові запити ● Містить двигун TQL, що обробляє складений запит і шукає мільйони подій за лічені секунди ● Завдяки TQL дозволяє знаходити як окремі події, так і відстежувати цілі ланцюжки атак
Мати можливість швидкого пошуку потрібної інформації — це добре, але іноді зовсім не зрозуміло, що саме потрібно шукати. Ця проблема знайома не лише новачкам в ІБ, а й досвідченим аналітикам.
Investigation Tips дозволяють на кожному етапі розслідування розуміти, в який бік рухатися далі. Уявіть, що ви розслідуєте інцидент разом із провідним експертом Trellix, який ставить питання, що допомагають знайти справжню причину інциденту.

Автоматизація в Trellix XDR 

Сильною частиною Trellix XDR є плейбуки. Всі вони націлені на якісне усунення загроз для різних платформ і потреб. Створення плейбуків — завдання нелегке, тому Trellix бере цю роботу на себе, постійно розробляючи та додаючи нові можливості в систему. Найчастіше плейбуки є універсальними та підійдуть більшості організацій, а якщо раптом можливостей «з коробки» стане недостатньо, то можна створювати власні плейбуки, які враховують саме ваші рішення безпеки та завдання.

Наприклад, в Trellix XDR встановлено такі плейбуки:
● Визначити ім'я користувача з інциденту, заблокувати його через Azure AD ● Визначити IP-адресу з інциденту, створити автоматичне розслідування в Trellix EDR ● Визначити атаковану робочу станцію, призначити на неї тег, який застосує найсуворіші політики та ізолює її від мережі
У результаті можливості автоматизації Trellix XDR відіграють важливу роль у побудові процесів безпеки. Вони допомагають прискорити процес реагування на загрози та сприяють підвищенню його якості.

https://docs.trellix.com/bundle/xdr_pg/page/UUID-dbca4d74-e5f3-cca9-c41a-a7ad8ce20c41.html

Висновки

XDR — це перспективна технологія, яка інтегрує безліч рішень безпеки, забезпечує автоматизацію процесів виявлення та реагування на загрози. Основна перевага XDR полягає у скороченні часу та підвищенні якості виявлення та реагування на загрози.
Trellix XDR — приклад зрілого XDR, який є осередком потужної платформи безпеки від Trellix. Усередині цієї платформи встановлено тісну інтеграцію рішень, яка дозволяє їм ділитися між собою новітньою інформацією про загрози та ефективніше блокувати їх. На додачу, завдяки інтеграціям Trellix XDR, до цієї платформи підключаються рішення сторонніх постачальників, що дає більше видимості та контексту для виявлення найпотаємніших зловмисників.
Trellix XDR надає різні засоби виявлення загроз. Автоматична кореляція зробить більшу частину роботи за аналітика, а якщо цього виявиться недостатньо, Trellix XDR дозволить здійснити пошук по всій зібраній інформації за допомогою Trellix Query Language, а також підкаже вектор розслідування за допомогою Investigative Tips.
Для усунення виявлених загроз Trellix XDR пропонує безліч попередньо встановлених плейбуків, які допоможуть діяти швидше та грамотніше на цьому етапі.
Все разом робить Trellix XDR рішенням, яке виведе безпеку організації на якісно новий рівень, навчаючи персонал кращим практикам інформаційної безпеки.