Журнал "Information Security/ Информационная безопасность" #5, 2024

Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реа- лизации. В контексте работы аналитиков SOC возможности XDR (Extended Detec- tion and Response) можно условно раз- делить на две взаимосвязанные состав- ляющие. Extended Detection Первая часть, XD (расширенное обна- ружение), дает аналитикам SOC воз- можность применять методы обнаруже- ния и анализа угроз на всех уровнях защищаемой инфраструктуры, а не ограничиваться лишь конечными устрой- ствами или трафиком. Мы получаем мгновенный доступ к большому объему метаданных: из сетевого и почтового трафика, от пользовательских устройств и серверов, от другого периферийного оборудования и ПО. Это позволяет быстро получить целостную картину при анализе алертов, определить реальный уровень критичности и инициировать следующие этапы реагирования и рас- следования. Однако важно не забывать о знаниях, как совершаются атаки и кто их совер- шает. Современный разработчик XDR обязан иметь нативную синхронизацию с собственной киберразведкой и в то же время давать возможность интеграции с CTI-данными других вендоров, чтобы не только эффективно выстраивать детект, но и обогащать контекстом инци- денты, обнаруженные XDR, в режиме единого окна. Extended Response Вторая часть, XR (расширенное реа- гирование), дает саму возможность самостоятельного реагирования, при этом существенно сокращая время этого процесса. Функционал EDR, помимо автоматической блокировки, позволяет аналитикам применять процедуры реа- гирования, расследования и восстанов- ления на устройствах, задействованных в инциденте, прямо из единой консоли XDR. Комбинация подходов XD и XR позво- ляет значительно увеличить эффектив- ность SOC-команды, давая универсаль- ный инструмент – швейцарский нож, который позволяет быстро нейтрализо- вывать инциденты до момента, когда угрозы будут реализованы. XDR или SIEM? Не секрет, что традиционные SOC исторически строились с ориентиром на работу вокруг SIEM, что оставляло свой отпечаток на их операционной деятель- ности. Такие критические процессы, как сбор событий, написание правил корре- ляций и детектирования актуальных угроз, ложились на плечи SOC. Качество и глубина детектирования напрямую зависели от экспертизы команды, кото- рая, не стоит забывать, в первую очередь была ориентирована на мониторинг событий ИБ. Поэтому в таких командах органически возникали обособленные бэк-линии, специализирующиеся на отдельных направлениях – анализе угроз, разработке детектирующей логики и т.д. Усложнение структуры и увеличение штата за счет непрофильных SOC-спе- циалистов приводило к увеличению себе- стоимости операционной деятельности. С появлением XDR началось медлен- ное, но существенное движение в сто- рону изменений в подходах к монито- рингу и реагированию. Первыми на прак- тике это ощутили SOC на базе компа- ний-разработчиков XDR-решений. Не случайно на зарубежном рынке перво- проходцами в MDR (Managed Detection and Response) становились компании- вендоры современных средств защиты, в частности, разработчики XDR. По мере того, как XDR начинает завоевывать все большее признание специалистов по безопасности, MDR-подход начинает активно проникать в коммерческие SOC. Но не все проходит гладко. Сложность перехода заключается в необходимости перестройки SOC, даже несмотря на готовые интеграции XDR с SIEM, – при- ходится выстраивать существенно новые процессы, ориентированные на активное реагирование. Переход также требует немалых затрат, а SOC-команды, как правило, и без того сталкиваются с ресурсными ограничениями. Но несмотря на сложности, все больше коммерческих SOC начинают внедрять XDR в рабочую практику, – даже если не полное решение, то, по крайней мере, мониторинг EDR совместно с NTA, парал- лельно трансформируя свои процессы, ориентированные на реагирование. Переизбыток оповещений при недостатке контекста В условиях, когда аналитики погру- жаются в рутинные оповещения и рас- следования, часто приводящие к лож- ным срабатываниям, растет не только уровень их стресса, но и вероятность упущения действительно важных угроз. Перегрузка алертами в значительной степени обусловлена разрозненными и иногда неэффективными защитными решениями, интеграция которых весьма трудозатратна и требует постоянной поддержки. Другая важная проблема – слож- ность в применении на практике стра- тегических и тактических знаний киберразведки (CTI), что также уве- личивает поток нерелевантных алер- тов. Многие организации по-прежнему используют SIEM как основной инстру- мент для детектирования, но не все команды способны эффективно раз- рабатывать контент, способный выявлять действительно серьезные и актуальные угрозы. Коммерческим SOC-командам также требуется тратить колоссальные силы на настройку стандартных средств защи- ты под актуальный ландшафт угроз. 20 • СПЕЦПРОЕКТ XDR-центричный подход для SOC ехнология EDR играет важную роль в обеспечении кибербезопасности, но XDR выводит эффективность на новый уровень благодаря расширению возможностей мониторинга и реагирования. Для внешней команды SOC это означает возможность получить более полное представление о защищаемой инфраструктуре, позволяя полностью контролировать все актуальные вектора атак, касающиеся конкретного заказчика, и обнаруживать угрозы, которые остаются незамеченными при использовании отдельных инструментов защиты. Другим важным плюсом оказывается возможность эффективного применения киберразведданных, централизованного и практически моментального реагирования. Т Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.C.C.T. Фото: F.A.C.C.T.