Журнал "Information Security/ Информационная безопасность" #4, 2020

По данным исследования Verizon 2019 Data Breach Investigations Report 1 , сред- нее время выявления инцидентов состав- ляет 197 дней. В современных условиях это недопустимо долгий срок: за полгода злоумышленники успеют не только похи- тить интересующие их данные, но и глу- боко внедриться в сеть, детально изучив все происходящее в ней. Может показаться, что совместное применение систем SIEM (Security Infor- mation and Event Management – системы управления информацией и событиями безопасности) и EDR позволит выявлять инциденты и реагировать на них более оперативно, однако это не так. SIEM- системы собирают оповещения от всех устройств, подключенных к сети, но эти оповещения по-прежнему изолированы друг от друга. Настройка правил корре- ляции решает эту проблему лишь частич- но, поскольку их уведомления могут потеряться среди остальных сообщений. Чтобы обнаружить атаку с помощью SIEM, потребуется выполнить много руч- ной работы даже при настроенных кор- реляциях, ведь одна атака может быть представлена несколькими тысячами событий. EDR-решения обладают еще одним существенным в контексте современных угроз недостатком: они работают исклю- чительно с "конечными точками" – ком- пьютерами, серверами и мобильными устройствами. Однако в сети любой организации есть и другие компоненты, например принтеры, маршрутизаторы, устройства IoT и IIoT, сетевое оборудо- вание и компоненты облачной инфра- структуры (контейнеры и виртуальные машины). С точки зрения EDR их как бы не существует, хотя захваченный зло- умышленниками сетевой принтер или маршрутизатор могут стать серьезной угрозой для компании. Как работают XDR-решения? Следующим шагом в развитии защиты корпоративных сетей стали решения класса XDR, которые охватывают не только конечные точки, но и остальные элементы типичной сетевой инфраструк- туры. XDR объединяет в себе уже знакомую по EDR функциональность выявления и реагирования на угрозы конечных точек с возможностями выявления современ- ных кибератак, выполняемых через сеть, почту или облачную инфраструктуру. Новые источники получения сведений об угрозах – важное отличие XDR от решений предыдущего поколения, одна- ко его главное преимущество – в мощной системе сбора и обработки информа- ции. Детали реализации XDR-систем могут различаться у разных вендоров. В случае Trend Micro XDR реализована в виде панели управления, к которой подклю- чаются детектирующие компоненты: l Deep Discovery Inspector, выполняю- щий глубокий анализ сетевого трафика и выявление аномалий; l Cloud App Security, проверяющий поч- товые ящики пользователей на предмет вредоносных писем и ссылок; l Apex One SaaS – для защиты конечных точек; l Cloud One Workload Security – для проверки контейнеров и компонентов облачной инфраструктуры. Через специализированный программ- ный интерфейс (API) к консоли могут быть подключены сенсоры других реше- ний. Вся поступающая информация о собы- тиях собирается в едином хранилище Trend Micro Data Lake, после чего выпол- няется ее обработка и анализ с помощью искусственного интеллекта и других тех- нологий. Встроенная в XDR система аналитики выявляет атаки как много- компонентные процессы, объединяя тысячи событий в несколько предупреж- дений. Система позволяет визуализировать атаку и посмотреть, откуда пришла угро- за, как она распространялась по сети и контейнерам в облаках, кого заразила, как происходило перемещение между устройствами, какие команды при этом выполнялись, и все это в виде таймлай- на, который можно пройти по шагам. В XDR не используется сигнатурный анализ и правила корреляции, подобные SIEM-системам. Вместо этого здесь работают поведенческие модели, раз- работанные аналитиками Trend Micro на базе изучения сотен тысяч обнаружен- ных атак. XDR автоматически объеди- няет серии малозначимых действий в единое значимое событие и распреде- ляет по приоритету соответствующие оповещения. Что дает использование XDR? Благодаря сопоставлению найденных угроз по всей организации, исчерпы- вающей информации о них, искусствен- ному интеллекту и аналитике больших данных, при использовании XDR-анали- тики SOC будут получать только значи- мые оповещения, отсортированные по степени серьезности. В свою очередь, анализ контекста незначительных угроз от разных источ- ников позволяет определить значимые индикаторы компрометации, что дает возможность проводить полезные иссле- дования, создавать единую картину угроз, оперативно обнаруживать их и блокировать. Автоматически анализи- руя огромные массивы данных, XDR устраняет необходимость ручного вме- шательства, позволяя специалистам по безопасности быстро воссоздать разви- тие атаки. По мнению Gartner, XDR-решения – тренд № 1 в мире 2 ! Крупным компаниям стоит всерьез рассмотреть возможность перехода на такие системы безопасности, поскольку они позволяют повысить эффективность работы аналитиков SOC и существенно поднять уровень защиты компании от киберугроз. l • 49 КОРПОРАТИВНЫЕ АНТИВИРУСЫ www.itsec.ru Рис. 2. Структура взаимодействия компонентов XDR По данным Gartner, угрозы становятся всё более сложными и многослойными, поэтому их легко не заметить, если вы сосредоточились на анализе только одной детали этой головоломки. Чтобы увидеть общую картину и реальные угрозы для организации, требуется слаженная работа различных технологий обеспечения кибербезопасности и правильное использование данных, которые поступают из внешних и внутренних источников. 2 https://blog.paloaltonetworks.com/2020/04/cortex-security-and-risk-management/ Ваше мнение и вопросы присылайте по адресу is@groteck.ru