В последнее время все чаще для защиты инфраструктуры крупных компаний рекомендуют использовать решения класса XDR. Однако далеко не у всех есть четкое понимание того, что это такое и для чего нужно на практике. Я постараюсь дать ответы на основные вопросы, связанные с XDR, которые помогут самостоятельно определить, нужно ли решение такого класса вашей компании.
Почему старой защиты недостаточно?
Традиционно от киберугроз в первую очередь защищали конечные точки — серверы и рабочие станции, что в конечном итоге стало важным фундаментальным шагом в вопросе противодействия сложным кибератакам. А также использовали базовую сетевую защиту или устанавливали передовые инструменты защиты лишь на один из векторов потенциальной атаки (например, только на рабочие места (решение класса EDR) или сеть (решение класса NTA) и т. п). Но современные киберпреступники все чаще применяют мультивекторный подход к организации своих атак, используют несколько точек проникновения в инфраструктуру, горизонтальное перемещение по сети, различные тактики и техники нападения, а также социальную инженерию. Все это расширяет поверхность атаки и усложняет процесс расследования и реагирования. Для противодействия такого рода кибератакам потребовался новый инструмент, учитывающий комплексный подход к построению защиты.
Что такое XDR?
Если воспользоваться прямым переводом c английского языка, то термин XDR (Extended Detection and Response) означает расширенное обнаружение и реагирование. В слово «расширенное» заложено детектирование угроз и реагирование на них не только на уровне конечных точек — рабочих компьютеров и серверов, но и за его пределами. Это означает, что к решению класса Endpoint Detection and Response (EDR), отвечающему за обнаружение и реагирование на уровне инфраструктуры конечных точек — а это основополагающий элемент технологии XDR, — добавляются различные дополнительные ИБ-инструменты от этого же вендора. При этом они тесно интегрированы между собой и привносят дополнительные сценарии взаимодействия, усиливающие процесс противодействия сложным киберугрозам.
Что входит в XDR?
Тип и количество инструментов, подключаемых к конкретному XDR-решению, напрямую зависят, во-первых, от их количества в портфеле конкретного вендора, а во-вторых, от степени их взаимной интеграции. Это могут быть, например, продукты, направленные на защиту почты, сети, облачной инфраструктуры, учетных записей и так далее. Это могут быть инструменты Threat Intelligence — например, потоки данных об угрозах, платформа для управления такими данными (Threat Intelligence Platform). Также в рамках XDR может быть организован доступ к поисковому порталу о киберугрозах и взаимосвязях, который позволит эксперту получать дополнительный контекст, важный в процессе расследования киберинцидентов. В общем, концепция XDR сегодня полностью олицетворяет в ИБ современную тенденцию экономики — экосистемность.
Значит ли внедрение XDR, что предыдущие решения мы ставили зря?
Совершенно не обязательно. На рынке существуют решения XDR двух типов: нативные и гибридные. Первый тип подходит для создания защиты с нуля или продолжения развития в рамках продуктов от одного вендора, а второй не исключает возможность интеграции с ИБ-решениями сторонних поставщиков, тем самым позволяет сохранить ранее вложенные инвестиции.
XDR — не очередной маркетинговый трюк, придуманный аналитиками?
Как раз наоборот — ведущие аналитические агентства признали эту концепцию и само наименование XDR уже после того, как этот класс решений сформировался на рынке. Концепция появилась в процессе эволюции как продуктов информационной безопасности, так и потребностей рынка. Сегодня заказчикам необходима не просто унификация ИБ-инструментов от одного производителя, но и получение от этой унификации каких-то дополнительных преимуществ — например, в виде кросс-продуктовых сценариев, автоматизации процессов, экономии ресурсов и снижения издержек. Все это воплощено в решении класса XDR.
В чем ценность концепции XDR для бизнеса?
Первое — XDR решает задачу всесторонней защиты расширяющейся и изменяющейся IT-инфраструктуры от быстро усложняющегося ландшафта киберугроз, и все это в эпоху глобальной нехватки экспертов по информационной безопасности.
Второе — XDR упрощает работу такого ценного и дефицитного ресурса, как специалисты по информационной безопасности, и повышает вовлеченность этих экспертов в процесс работы с инцидентами.
Третье — XDR позволяет улучшить показатели среднего времени обнаружения и реагирования на инциденты (MTTD и MTTR). Это очень важно в вопросе противодействия сложным угрозам и целевым атакам, где быстро принятые ИБ-экспертами меры уменьшают шансы атакующих достичь своей цели и нанести компании финансовый или репутационный ущерб. Защита от самых сложных кибератак при ограниченных экспертных ресурсах становится возможной, в частности, за счет:
- повышения уровня автоматизации;
- использования единой консоли;
- предоставления единой среды обмена данными;
- тесного взаимодействия подключаемых ИБ-инструментов в XDR и совместных сценариях;
- получения целостной картины происходящего в инфраструктуре;
- встроенного обогащения достоверными и релевантными данными о киберугрозах (Threat Intelligence);
- качественной приоритизации инцидентов;
- сокращения числа ложноположительных срабатываний.
«Лаборатория Касперского» недавно анонсировала выход новой линейки Kaspersky Symphony, верхним уровнем которой является решение класса XDR. Kaspersky Symphony XDR воплощает экосистемный подход к защите от самых сложных кибератак — он обеспечивает контроль популярных точек входа злоумышленников в инфраструктуру, тесное кросс-продуктовое взаимодействие и оптимально настроенную автоматизацию. Кроме этого, решение помогает соответствовать требованиям регуляторов.