От няколко години говорим за разширено откриване и реагиране (eXtended Detection and Response – XDR), но въпреки че това е модна дума в индустрията, остава един основен въпрос: за какво всъщност става дума тук? Според Gartner, която за първи път дефинира термина през 2020 г., XDR е инструмент за откриване на заплахи и реагиране на инциденти, специфичен за даден доставчик, който интегрира по естествен начин множество продукти за сигурност в единна система за операции по сигурността.
Днес 62% от специалистите по сигурността твърдят, че са “много добре запознати” с термина XDR, което е повече от едва 24% през 2020 г. Макар че това очевидно е подобрение, 29% все още заявяват, че са само “донякъде запознати”, “не много запознати” или “изобщо не са запознати” с технологията XDR, според неотдавнашно проучване на ESG.
Тъй като въпросът какво представлява XDR все още не е ясен за някои, решихме да навлезем по-дълбоко в концепцията. Технологията за разширено откриване и реагиране е насочена конкретно към необходимостта от нови нива на агрегиране, корелация и анализ на телеметрията на сигурността, за да се защити все по-разнообразната повърхност за атаки и да се справи с постоянно развиващия се пейзаж, в който откриването на заплахите става все по-сложно. Интегрирането на възможностите на XDR в инфраструктурата на организацията означава, че събитията в областта на сигурността от различни източници и активи могат да бъдат анализирани и корелирани, за да се определи кои дейности се извършват. XDR споделя знания от единна платформа за сигурност за бързи, автоматизирани реакции, които намаляват работното натоварване на персонала по сигурността.
Корелацията вече присъстваше в първата версия на ThreatSync на Watchguard: базиран в облака двигател, който анализира данни за събития от хост сензори и Firebox, за да идентифицира злонамерено поведение. Старото решение за откриване и реагиране на заплахи (TDR) обаче използваше само телеметрията на крайните точки за откриване на злонамерени файлове и реагиране на действия, инициирани в Облака, като корелираше мрежовите събития с отделни файлове и процеси на крайната точка. Сега ThreatSync еволюира, за да се превърне в решение за XDR, като интегрира решенията за защита на крайни точки и мрежи в една платформа, която може да съпоставя информацията за откриване на заплахи от различните нива на защита и да организира отговора на инструментите.
Как работи XDR?
XDR повишава сигурността чрез комбиниране на различни технологии, които генерират по-точни открития, отколкото когато работят поотделно. XDR събира и показва откритията на различни продукти за компютри, сървъри и защитни стени по унифициран начин, което предоставя на специалистите по сигурността контекста на откритите заплахи и им позволява да реагират и спират напредналите заплахи по-бързо, като намалява значително риска, свързан със заплахите за сигурността. Чрез включването на тези данни в единна конзола в облака се премахва и необходимостта да се учите как да използвате няколко конзоли. По този начин е възможно да се откриват заплахи както на защитени, така и на незащитени устройства, като се използват данни от различни домейни за осуетяване на усъвършенствани заплахи, които не са видими в периметъра или крайната точка.
Освен това използването на корелация между домейни и събития означава, че дейностите могат да се наблюдават за различни продукти за сигурност, което улеснява категоризирането и откриването на злонамерени сценарии, които сами по себе си може да изглеждат безобидни, но когато се контекстуализират, се превръщат в индикатори за компрометиране (IoC), което намалява средното време за откриване (MTTD), позволява бързо ограничаване на потенциалните въздействия и ограничаване на тежестта и обхвата на инцидентите.
Автоматизацията и планирането на реакциите освобождават анализаторите от повтарящи се или ръчни задачи, като действат по открития, които отговарят на предварително определени критерии. Това прави възможно прекратяването на процеси, изтриването на файлове, изолирането на крайна точка или блокирането на публичен IP адрес, без да е необходима намесата на анализатор.
Случаи на употреба и ползи от XDR за MSP
Използването на XDR дава големи предимства на доставчиците на управлявани услуги (MSP) при защитата на сигурността на техните клиенти. Например, корелацията между мрежовата сигурност и крайната точка може да има решаващо значение в случай на усъвършенствана постоянна заплаха (APT). Днес очакваме файловете да се изтеглят почти мигновено, така че защитните стени трябва да позволяват изтеглянето на непознати файлове, като същевременно ги изпращат в пясъчника за анализ. След като бъде анализиран, ако се установи, че файлът е злонамерен, XDR го съотнася с крайна точка, за да го премахне от устройството.
По подобен начин за процесите, изпълнявани на компютъра, които сами по себе си не са вредни, но могат да осъществяват злонамерени връзки, като например браузъри или клиенти за електронна поща, възможностите на XDR могат да вземат данни от блокираните връзки на защитната стена и да ги свържат с отделни приложения на крайната точка. Това позволява на потребителите да откриват нови злонамерени приложения или просто да откриват goodware с подозрително поведение, което изисква допълнителен анализ.
Горепосочените случаи на употреба подчертават как този инструмент може да помогне на MSP да защитят мрежите на своите клиенти. Въпреки това има и други ползи от използването на XDR, които MSP могат да извлекат:
Единна видимост на заплахите:
XDR осигурява по-голяма точност и ускорява откриването чрез обединяване на данните за заплахите в единен интерфейс. Събирането и визуализацията на кръстосани открития с различни продукти прави MSP по-гъвкави, тъй като те получават контекста около откритията, който осигурява информацията, от която се нуждаят, за да реагират и да спрат напредналите заплахи по-ефективно.
Намаляване на средното време за откриване (MTTD):
Според данни на IBM през 2022 г. на компаниите са били необходими средно 207 дни, за да идентифицират инцидент със сигурността. Организациите с XDR технологии обаче са получили значителни предимства във времето за идентификация и реакция. Организациите, които внедриха XDR, съкратиха жизнения цикъл на инцидента средно с около един месец (29 дни) в сравнение с организациите, които не са внедрили XDR.
Единна оркестрация на реакциите при заплахи:
XDR дава възможност на МСП да бъдат по-ефективни, като предлага широк набор от действия за реагиране, позволявайки им да планират и автоматизират по-бързо реагирането на заплахи в цялата мрежа от една конзола, което намалява риска и осигурява по-голяма точност и бързина на реагирането, като намалява средното време за реагиране (MTTR). За всяка компания възможността да се намали времето за откриване и да се покаже гъвкавост в действията за отговор може да направи разликата между това да се реагира навреме на заплахата и да се предотврати причиняването на по-големи щети или атаката да се разпространи и да поеме контрол над системите на организацията.
Не се изисква конфигуриране:
Някои решения за XDR изискват разширени познания при инсталирането, конфигурирането и настройката на инструмента. Решението XDR, WatchGuard ThreatSync, е част от рамката на Unified Security Platform, като предлага унифициран и интуитивен потребителски интерфейс, който опростява адаптирането и обучението, и тъй като е многопродуктово и напълно интегрирано, това намалява разходите, свързани с конфигурирането и интегрирането на решенията.
XDR е идеалното решение за MSP, управляващи средни предприятия, като им позволява да увеличат възможностите за сигурност по автоматизиран начин и без нужда от експерти по киберсигурност. Тя подобрява видимостта, увеличава възможностите за откриване при специфични сценарии и опростява реагирането и отстраняването на атаки. Разберете как WatchGuard може да ви помогне да възприемете подход за сигурност, базиран на XDR, чрез нашето решение ThreatSync.