Im dalej w las… tym bardziej XDR
Czy możemy precyzyjnie odpowiedzieć na atak? Czy możemy w pełni usunąć przeciwnika, nie powodując nadmiernych przestojów w biznesie? Dziś bardziej niż kiedykolwiek organizacje potrzebują nowego podejścia do wykrywania i reagowania na zagrożenia. Podejścia zakładającego zrozumienie i dostosowanie się do nowoczesnego przedsiębiorstwa, które obejmuje: urządzenia, tożsamości, sieć i SaaS.
Odpowiedzią wydaje się być XDR (Extended Detection and Response),nowy trend definiowany jako „specyficzne dla dostawcy narzędzie do wykrywania zagrożeń i reagowania na incydenty, które łączy wiele produktów zabezpieczających w bezpieczny system operacyjny” . Z założenia XDR ma poprawiać operacje bezpieczeństwa w następujących obszarach:
- ZAKRES: punkty końcowe, sieć, instancje w chmurze i krytyczne aplikacje (aplikacje SaaS, poczta elektroniczna, itp.) oraz otwarta architektura dla łatwej integracji technologii stron trzecich.
- WBUDOWANE THREAT INTELLIGENCE: Rozwiązania XDR muszą dostarczać aktualnych i szczegółowych informacji o zagrożeniach i robić to w kontekście alertów bezpieczeństwa oraz infrastruktury organizacji, branży, lokalizacji itp.
- ANALITYKA: Rozwiązania XDR muszą zapewniać dokładną analitykę cross-domain, aby wykrywać cyberataki w całym łańcuchu aktywności przeciwnika.
- AUTOMATYKA: XDR musi pomagać w automatyzacji procesów w takich obszarach jak badanie zagrożeń, IR i ograniczanie ryzyka.
- DETEKCJA I ZARZĄDZANIE INCYDENTAMI: XDR musi zapewnić widoczność i wspólne UI dla różnych ról analityków SOC i przypadków użycia.
W dzisiejszym artykule odpowiemy na kilka pytań, które najczęściej padają od klientów zainteresowanych wdrożeniem XDR.
Często pojawiają się pytania:
„Jakie produkty wchodzą w skład XDR”
Wbrew pozorom nie jest łatwo znaleźć odpowiedzi na to pytanie. Większość raportów mówi o „platformie” i możliwościach wykrywania w „chmurze, sieci i na urządzeniach końcowych”. Biorąc pod uwagę powyższe 5 punktów – wzorcowy XDR powinien posiadać:
- Technologie detekcji i prewencji: EDR, NDR, SWG, CASB, ZTNA, ESG
- Analitykę: SIEM, Threat Intelligence, Machine Learning, AI
- Automatykę: SOAR, UEBA, UAM, Triage & Incident Response Management
Powyższe należy rozpatrywać jako funkcjonalność bardziej niż punktowe rozwiązanie tego samego vendora zintegrowane w ramach XDR. XDR powinien de facto łączyć funkcjonalności powyższych technologii w sposób pozwalający danemu przedsiębiorstwu osiągnąć najwyższą wartość z jego wdrożenia. Czyli najwyższy możliwy stopień mityzacji ryzyka informatycznego.
„Czym XDR się różni od SIEM?”
W przeciwieństwie do narzędzi SIEM lub zarządzania logami, XDR obiecuje doświadczenie skoncentrowane na wartości bezpieczeństwa – lepsze wykrywanie, łatwiejsze dochodzenie, szybsze reagowanie. To zalety podejścia skoncentrowanego na operacjach. Tak więc XDR może się wyróżniać:
- lepszym dostępem do wewnętrznej dokumentacji
- znajomością dziwnych, niestandardowych formatów logów
- wykorzystaniem wewnętrznych API.
Według Gartnera, główna różnica polega na tym, że jest on natywnie zintegrowany z produktami, zazwyczaj od tego samego dostawcy, co pomaga w zapewnieniu lepszych możliwości wykrywania i reagowania. Jeżeli przyjrzymy się bliżej natywnej integracji – „out-of-the-box” – z innymi produktami bezpieczeństwa… oznacza ona dwie rzeczy w kontekście bezpieczeństwa:
- jak zbierasz dane (logi, telemetria, aktywność)
- jak wykonujesz działania odpowiedzi (blokowanie, wyłączanie, zamykanie, tworzenie biletów, itp.)
Jeśli wszystkie produkty zabezpieczające pochodzą od tego samego producenta, XDR będzie łatwiejszy do skonfigurowania i dostarczy mniej fałszywych pozytywów. Tu warto dodać, że projekty SIEM często kończą się niepowodzeniem właśnie na tym etapie. W branży spotkaliśmy się ze stwierdzeniem, że XDR to „next-gen SIEM” – i jest to do pewnego stopnia prawda. Jednak o ile SIEM był narzędziem do wykrywania i to stanowiło o jego jakości, o tyle XDR dodaje „Response” i konkuruje również na tej płaszczyźnie.
„Czy XDR nadaje się do wdrożenia w średnim przedsiębiorstwie, bez wydzielonego SOC-u?”
Oczywiście to zależy. Jednak informacja o tym, że XDR to narzędzie tylko do wdrożenia przez ogromne korporacje jest nieco przesadzona. Duże i średnie przedsiębiorstwa, które posiadają w swoim departamencie IT komórkę odpowiedzialną za bezpieczeństwo – mogą z powodzeniem obsługiwać XDR. W końcu jedną z jego kluczowych wartości jest automatyzacja czynności śledczych. Inne powody, dla których MŚP mogą być zainteresowane to:
- MŚP nierzadko nie mają zasobów – zarówno ludzkich jak i systemowych – do efektywnego zarządzania alertami generowanymi przez kilka rozwiązań punktowych
- Powyższy brak zasobów przedkłada się na brak odpowiedniej korelacji pomiędzy alertami bezpieczeństwa – co utrudnia następujące po nich fazy triage i incident response
- Wysoki koszt, złożoność i bieżące utrzymanie systemów SIEM i SOAR sprawiają, że są one praktycznie nieosiągalne dla sektora MŚP
Niemniej – dla małych przedsiębiorstw, gdzie analityk bezpieczeństwa to najczęściej jedna z ról generalnego administratora systemów… XDR to zazwyczaj za dużo (widzieliśmy natomiast przypadki, że budżet pozwalał kupić kilka rozwiązań – i wtedy automatyzacja zapewniania przez XDR faktycznie była wsparciem dla zespołu bezpieczeństwa u klienta).
Mimo obietnicy jaką składa, w branży wciąż jednak istnieją wątpliwości, czy XDR jest najlepszym sposobem na maksymalizację efektywności z bezpieczeństwa a także czy dostępne obecnie produkty XDR w pełni odpowiadają otaczającemu je szumowi.
Wdrożenie z pewnością XDR niesie ze sobą następujące korzyści:
- Wyeliminowanie silosów w celu uzyskania widoczności wszystkich źródeł danych – w chmurze i w lokalnej infrastrukturze przedsiębiorstwa
- Ujednolicenie przepływów pracy w celu zapewnienia bezproblemowej obsługi przez pracowników bezpieczeństwa IT
- Automatyzację powtarzających się czynności w celu szybszego i sprawniejszego sprawdzania i reagowania na incydenty
Podsumowując – XDR to ekosystem rozwiązań (nie musi ale może być np. jednym produktem w rozumieniu pozycji w katalogu), które mają: zebrać dane, skorelować, wyciągnąć wnioski i zareagować. Połączenie wszystkiego w jeden pakiet sprawia, że aktualizacje i integracja pomiędzy różnymi elementami oprogramowania są znacznie łatwiejsze do zarządzania, zwłaszcza w przypadku, gdy wcześniej używano wielu rozwiązań zabezpieczających. Posiadanie jednego interfejsu do przeglądania różnych komponentów sieciowych ułatwia również pracownikom działu bezpieczeństwa IT utrzymanie kontroli w środowisku organizacji. Mając do dyspozycji tylko jedno narzędzie, a nie wiele oddzielnych pakietów oprogramowania od różnych dostawców, działania związane z cyberbezpieczeństwem mogą być prowadzone bardziej efektywnie.