XDR Cybereason a triada SOC – NDR
W poprzednim artykule omówiliśmy niedoskonałości związane z rozpoczęciem implementacji triady SOC, rozpoczynając od SIEM. Dla przypomnienia – SIEM to mnożnik wartości poszczególnych technologii bezpieczeństwa – tylko dzięki czasochłonnej integracji zdołasz uzyskać prawdziwą wartość. W tym artykule przyjrzymy się plusom wdrożenia Cybereason w porównaniu do technologii klasy NDR – Network Detection & Response.
NDR to w praktyce narzędzia do przechwytywania pakietów sieciowych. „Siedzą i obserwują” łącza sieciowe, przechwytują wszystko, co się dzieje, i…
A. izolują złośliwy ruch
B. zapewniają rekonstrukcję sesji, aby pomóc Ci dokładnie zrozumieć, co wydarzyło się w siec
Narzędzia do przechwytywania pakietów sieciowych mają jednak cztery główne problemy:
1. Monitorowanie wszędzie jest zaporowe z punktu widzenia wymagań technicznych. Środowisko wielogigabitowe, w którym przechowujesz dane przez kilka tygodni, oznaczałoby „niewiarygodne” wymagania sprzętowe, a także związane z tym zasilanie i chłodzenie. Ponadto olbrzymia ilość danych musi być przechowywana blisko miejsca ich przechwycenia. W rezultacie firmy monitorują głównie „punkty wejścia/wyjścia” do swojej sieci (cokolwiek to oznacza… zobacz mój następny punkt), więc nie mają wglądu w ruch poprzeczny, eskalację uprawnień ani cokolwiek wewnątrz sieci.
2. Prawdziwa analiza sieci wymaga ogromnej mocy obliczeniowej procesora i wymaga ogromnej wiedzy. Poza nagłówkiem pakietu większość nieprzetworzonych danych sieciowych to śmieci binarne. Wydobywanie naprawdę znaczących danych z sesji sieciowej wymaga ogromnej mocy obliczeniowej. Pomnóż to wykładniczo, jeśli dane są zaszyfrowane — pod warunkiem, że masz klucze do odszyfrowania. Więcej analiz = więcej sprzętu, wyższe koszty. Dodatkowo, gdy już wydobędziesz znaczenie, przedstawienie go w sposób, który może być wykorzystany przez każdego, poza doświadczonym analitykiem L3, wykracza poza ogromną większość dostępnych obecnie narzędzi.
3. Sieci nie zapewniają takiej widoczności, jak kiedyś. Kiedyś pracownicy w biurze uzyskiwali dostęp do aplikacji w centrum danych. Jednak dzisiaj przedstawiciel handlowy Starbucks uzyskujący dostęp do Salesforce.com lub Office365 nigdy nie dotyka Twojej sieci firmowej. Ogromny wzrost liczby pracowników korzystających z aplikacji SaaS lub aplikacji w chmurze oznacza, że monitorując sieć, otrzymujesz tylko ułamek tego, co chcesz zobaczyć. Ponadto zagrożenia, które chcą eksfiltrować dane, używają teraz maszyn, które poruszają się w sieci i poza nią, aby mieć pewność, że nigdy nie przejdą przez punkt wejścia/wyjścia.
4. Sieci to „hałaśliwe” miejsca, więc ustalenie priorytetów jest naprawdę trudne. Jeśli nie masz niesamowitej higieny sieci (a niewiele organizacji ma), twoja sieć jest prawdopodobnie pełna wszelkiego rodzaju zbędnych procesów. Odróżnienie tego, co jest naprawdę szkodliwe dla firmy, od tego, co tylko irytujące, wymaga ogromnej wiedzy na temat topologii sieci. Ponadto zebranie wszystkich etapów ataku może być żmudną sprawą, ponieważ ręcznie koreluje działania z całej sieci.
Tak więc z narzędziem sieciowym wydajesz dużo pieniędzy na infrastrukturę i potrzebujesz armii analityków L3, aby to zrozumieć.
Dla odmiany Cyberason pozwala na wdrożenie kontroli w głównym punkcie działań atakujących – w punkcie końcowym. Kluczowe zalety pracy z Cyberason w porównaniu z implementacją technologii NDR:
1. Widoczność wszędzie. Sensory punktów końcowych Cybereason monitorują – w czasie rzeczywistym – każdy proces, każde połączenie, każdego użytkownika w każdym punkcie końcowym w całym przedsiębiorstwie, niezależnie od tego, czy jest to serwer w centrali firmy, czy laptop w kawiarni, który ma dostęp do aplikacji SaaS.
2. Łatwe wdrożenie — nawet w środowisku BYOD. Endpoint Sensor firmy Cybereason działa w przestrzeni użytkownika, eliminując ryzyko wystąpienia „niebieskiego ekranu”. Oznacza to, że możesz go wdrożyć wszędzie – w tym na maszynach kontrahentów i urządzeniach BYOD – bez obaw o konflikt Cybereason z innym oprogramowaniem zainstalowanym przez użytkownika BYOD.
3. Zero śladu lokalnego serwera — chyba że tego chcesz. Większość klientów Cybereason wdraża w chmurze, eliminując potrzebę zajmowania miejsca w centrum danych, zasilania, chłodzenia i innych kosztów aprowizacji. Inni klienci wdrażają lokalnie, w zależności od ich preferencji. Cyberason pozwala również działać w sieciach zamkniętych.
4. Automatyczne wykrywanie nieznanych wcześniej zagrożeń. Hunting Engine firmy Cybereason zbiera wszystkie dane z czujników punktów końcowych i wykorzystuje specjalnie zbudowany wykres w pamięci do identyfikowania zagrożeń. Hunting Engine analizuje w czasie rzeczywistym i wykorzystuje uczenie maszynowe oraz analizę statystyczną i behawioralną, aby zapewnić wykrywanie wszystkich elementów ataku, zwłaszcza zagrożeń typu zero-day.
5. Automatycznie przedstawia wszystkie aspekty złośliwej operacji (lub Malop).
Cybereason automatycznie zbiera w całość cały kontekst ataku związany ze złośliwą operacją i wizualizuje dane dla analityka – nawet stosunkowo młodszego. Cybereason jest również wstępnie skonfigurowany z modelami behawioralnymi, dzięki czemu możesz uzyskać wartość natychmiast po wprowadzeniu czujnika.
6. Automatyczna odpowiedź. Narzędzia do przechwytywania sieci są pasywne. Jednak dzięki Cybereason, gdy zidentyfikujesz zagrożenie, możesz je automatycznie wyłączyć, zapobiec rozprzestrzenianiu się gdzie indziej, odizolować je i przeprowadzić pełną zdalną analizę śledczą na komputerze.
NDR to dość pasywne narzędzie, wymagające ogromnych zasobów mocy obliczeniowej do efektywnego działania. W tym kontekście XDR Cybereason stanowi naturalną alternatywę – skupia się na kluczowym punkcie działania napastnika, daje widoczność całej operacji i uruchamia zautomatyzowaną reakcję. Dla Polskich klientów niewątpliwą zaletą jest również możliwość działania w sieciach zamkniętych. Dodajmy do tego najwyższy poziom wykrywania wg badania MITRE ATT&CK – i mamy rozwiązanie do ochrony kluczowych zasobów Twojej organizacji.
