Журнал "Information Security/ Информационная безопасность" #5, 2021

Более половины (55%) респондентов признались, что не уверены в своей спо- собности определять прио- ритеты и реагировать на оповещения. ИБ-специали- сты тратят в среднем более четверти своего времени (27%) на борьбу с ложными срабатываниями. По данным ESG, компа- нии, использующие XDR, в 2,2 раза чаще обнаружи- вают утечку данных или успешную атаку в течение нескольких дней, по сравне- нию с неделями или месяца- ми у тех, кто не использует XDR. ное реагирование на них в мас- штабах всего предприятия. От такой платформы разумно ожидать следующие возможно- сти: l уменьшение времени обна- ружения и реагирования благо- даря меньшему количеству приоритетных предупреждений; l комплексная видимость и защита конечных точек, сетей, электронной почты, центров обработки данных и облачных сред для автоматического бло- кирования атак; l автоматизированное устра- нение последствий удаления вредоносного ПО и освобожде- ние времени аналитиков; l централизованный источник предупреждений, расследований и локализации для поддержки более быстрого реагирования с меньшими ресурсами; l повышение производитель- ности аналитиков SOC; l снижение финансовых и репутационных рисков; l улучшение настроения команды SecOps. Имея в распоряжении такую платформу, организации смогут быстрее реагировать на инци- денты, блокируя угрозы в самом начале их распространения и до того, как они смогут нанести какой-либо долгосрочный ущерб. Единая платформа позволит командам безопасности реаги- ровать на угрозы быстрее и с меньшими трудозатратами, поскольку они получают в рас- поряжение: l единый источник приоритет- ных оповещений для корреля- ции и анализа данных в нагляд- ной форме; l единый центр для проведе- ния расследований, позволяю- щий быстро визуализировать цепочку событий на всех уров- нях безопасности, детализиро- вать элементы атаки и проана- лизировать сетевой трафик; l единый центр для реагиро- вания с возможностью реали- зации контрмер в электронной почте, на конечных точках и в облачных/серверных рабо- чих нагрузках и сетях. Заключение Очевидно, что лучшим спосо- бом максимально автоматизиро- вать реагирование на киберугрозы является внедрение в организации комплексной системы защиты класса XDR. Это обеспечит высо- кий уровень безопасности в дол- госрочной перспективе и создаст следующие преимущества: 1. Более четкое представле- ние об угрозах. Благодаря про- смотру предупреждений, снаб- женных контекстом по больше- му количеству векторов угроз, события, которые сами по себе кажутся безобидными, внезапно становятся значимыми индика- торами компрометации. Это поз- воляет соединить больше раз- розненных сведений в единую картину и сформировать целост- ное представление о событиях на всех уровнях безопасности. Результатом станут более глу- бокие расследования и обнару- жение угроз на ранних стадиях. 2. Быстрая блокировка атак. По данным ESG, компании, использующие XDR, в 2,2 раза чаще обнаруживают утечку дан- ных или успешную атаку в тече- ние нескольких дней, по сравне- нию с неделями или месяцами у тех, кто не использует XDR. 3. Повышение эффективности и результативности расследова- ния угроз. Благодаря автомати- ческой корреляции данных об угрозах из нескольких источни- ков, XDR ускоряет и устраняет ручные действия, связанные с расследованием, и позволяет аналитикам безопасности быстро развернуть историю атаки. Орга- низации, использующие подход XDR, заявили, что для замены возможностей XDR по корреля- ции данных потребуется восемь штатных сотрудников, а также в 2,6 раза реже сообщают, что их команда перегружена. 4. Интеграция со сторонними системами. Добиться макси- мального уровня автоматизации позволяет широкий ассорти- мент открытых API и интеграций со сторонними системами SIEM и SOAR. Платформа XDR долж- на гибко интегрироваться в эти экосистемы, получая значимые данные из инфраструктуры для дальнейшего обогащения и реа- лизации возможностей XDR. l • 27 IRP, SOAR, SOC www.itsec.ru Рис. Объем оповещений доставляет сотрудникам SOC психологические проблемы. Источник: Trend Micro Ваше мнение и вопросы присылайте по адресу is@groteck.ru