In CyberSecurity, что это означает Расширенное обнаружение и реагирование (XDR)? Какие функции есть у системы XDR? Как это может помочь тому, кто подвергся нападению?
La CyberSecurity это требует холизма
Одно из моих убеждений по поводу CyberSecurity в том, что атаки проводятся на конечная точка; или, по крайней мере, точка соприкосновения цифрового мира и пользователя является инструментальной и фундаментальной для атаки.
На самом деле этоконечная точка место, где пользователь - который всегда был самым слабым звеном в цепочке защиты - взаимодействует с кибервсловом, оказывается в сети, что может быть скомпрометировано попыткой атаки.
В наше время цифровой удаленности и массового использования облака распространение эффектов атаки характеризуется впечатляющей виральностью и повсеместностью.
Все это является серьезным испытанием для способности компаний обнаруживать и своевременно реагировать для смягчения последствий, а также очень пагубных последствий с точки зрения репутации, финансовой стабильности и непрерывности бизнеса.
В дополнение к самым непосредственным примерам, правдивость изложенного сохраняется даже в самых сложных сценариях: пользователь получает доступ к среде разработки с надежной формой аутентификации, будучи ответственным за конфигурацию системы облачных ресурсов; в процессе терраформинг (термин, обычно используемый для определения фазы конфигурации) забывает инструкцию сократить список IP-адресов, которые могут получить доступ к настроенному экземпляру хранилища. Здесь создаются - опять же благодаря взаимодействию между пользователем и кибер-стихом через конечная точка - идеальные условия для атаки утечка данных in облако.
Другим примером может быть архитектура Active Directory плохо настроены, системы, принадлежащие домену, не стандартизированы, и многие из них не поддерживаются. В случае атаки становится важным поддерживать устойчивость экосистемы, состояние безопасности которой явно не оптимально, и коррелирует индикаторы аномалий с информацией от управления активами.
Поэтому возникают два важных вопроса:
- Как наиболее целостным образом обнаружить эти аномальные события, соединив все точки, чтобы лучше понять контекст и срочность, чтобы определить приоритетность вмешательства?
- Как сделать это как можно быстрее, чтобы ускорить реагирование и исправление?
Il время ожидания
В более общем плане извечная проблема заключается в минимизации времени пребывания: так называется время, которое проходит между компрометацией экосистемы и моментом обнаружения компрометации.
Согласно отчету Mandiant в 2021 году среднее количество дней ожидания в 2020 году в регионе EMEA увеличилось до 66 дней с 54 в 2019 году. Эта цифра не только является признаком среднего ухудшения, но и увеличивает средний показатель, мы находим очень тревожную ситуацию1, о котором я сообщаю на следующей иллюстрации - взято из отчета.
Данные, которые должны заставить нас задуматься, касаются время ожидания относящиеся к внешним атакам, то есть атакам, при которых организация получает извне уведомление о компрометации, поскольку она не может вовремя обнаружить компрометацию своими собственными ресурсами.
За 225 дней планета Венера совершает полный оборот вокруг Солнца! Представьте себе, какой ущерб может нанести мотивированный злоумышленник организации, которую он смог скомпрометировать. Чтобы получить более точную картину ущерба и затрат, связанных с этими атаками, в которых постоянство предлагает злоумышленнику все время выполнять любые действия в скомпрометированных экосистемах, можно обратиться к Отчет о расследовании утечки данных пользователя Verizon.
Решаем проблему: из EDR в XDR, через MDR
Чтобы смягчить эту проблему за счет расширения требуемых возможностей, решения Обнаружение конечной точки и ответ.
Реальная помощь EDR находится на двух уровнях:
- обнаружение и превентивное блокирование попытки взлома с активными действиями, аналогичными действиям сложного антивируса.
- идентификация контекста после компрометации, чтобы упростить обнаружение аномалий, ускользнувших от предотвращения, и разрешить ответные действия для уменьшения ущерба: например, карантин файлов, завершение запущенных процессов, контролируемая изоляция зараженной машины в сети.
Эти очень мощные и эффективные инструменты часто недостаточно используются компаниями из-за нехватки или некомпетентности внутренних ресурсов. Эта ситуация стимулировала запрос и рождение конкретных услуг, которые позволили бы добиться экономии за счет масштабов навыков и ресурсов, необходимых для эффективного использования систем обнаружения и реагирования от имени третьих сторон.
Эти услуги называются Управляемое обнаружение и ответ или MDR.
Однако в начале было сказано, что растущая сложность цифрового биоразнообразия, которая характерна для каждой современной организации, влечет за собой проблему видимости всей ИТ-экосистемы. Плохая видимость, которая представляет собой огромное ограничение для действий по обнаружению и реагированию, столь важных для правильной осанки. информационной безопасности.
Эта целостная потребность определила эволюцию концепции EDR в направлении расширенного обнаружения и реагирования для охвата всего цифрового ландшафта организации: отсюда и аббревиатура XDR, Расширенное обнаружение и реагирование.
Система XDR позволяет сосредоточиться на аномальном поведении, типичном для стратегии атаки, считая, что сигналы всей экосистемы должным образом нормализованы и скоррелированы, чтобы их могли использовать люди.
Следовательно, не только телеметрия, видимая наконечная точка, состоящий из файлов, процессов и сетевых сообщений, полученных и инициированных извне; но информация из окружающей среды о взаимодействии, котороеконечная точка он имел с такими же и с подобными сущностями, поэтому другие конечная точка, или устройства IoT, маршрутизаторы, брандмауэры, прокси, системы управления идентификацией, облачные ресурсы и многое другое.
Эта логика объясняет, почему многие руководители по информационной безопасности считают XDR решением давних проблем, которые все еще влияют на эффективность и действенность CyberSecurity оборонительный.
XDR характеризуется тремя важными отличительными особенностями:
- возможность двунаправленной интеграции с окружающими элементами: то есть путем получения информационных потоков об отслеживаемых событиях, а также путем отправки инструкций по реакциям, которые могут быть выполнены только этими элементами. Примером с прокси-системой может быть блокировка перехода на определенный веб-сайт как источник вредоносных загрузок.
- возможность анализа полученной и обнаруженной телеметрии: то есть нормализовать и соотносить огромные объемы данных практически в реальном времени, используя формы искусственного интеллекта (ИИ), которые позволяют находить сигналы, следы хлебных крошек, оставленных злоумышленником, среди огромных пляжей очень похожих друг на друга песчинки между ними. Эта операция, безусловно, будет недоступна для какой-либо группы по обеспечению безопасности и обычно делегируется облачным инфраструктурам из-за того, что она требует высокой вычислительной мощности и емкости хранения данных.
Обратите внимание, что искусственный интеллект должен иметь типологию контролируемый, то есть получить пользу от предварительного обучения, которое позволяет отличать злое от аномального и нормального. Чтобы узнать больше о различных типах ИИ, я обращаюсь к одному интересному. статья, которую опубликовал Орацио Данило Руссо в июле прошлого года.
- Возможность активно реагировать, используя коммуникационные интерфейсы, называемые API (Application Programming Interface), через технологии, с которыми он интегрируется.. Обычно это действие выполняется в соответствии с предварительно закодированными процедурами, называемыми Playbooks, которые описывают различные последовательности операций, чтобы максимально ускорить и автоматизировать ответ.
Само собой разумеется, что целостная емкость, развернутая системой XDR, хорошо интегрированной с ее ИТ-экосистемой, значительно расширяет специализированные ресурсы, как внутри организации, так и в конечном итоге активируемые через службу MDR.
Таким образом, вопрос в конце этой статьи может быть следующим: как мне измерить эффективность системы XDR?
Ответ, который я хотел бы предложить, состоит из двух областей: качественной оценки и показателей.
С качественной точки зрения XDR должен расширять три области:
- Аналитика безопасности, то есть набор агрегированных, коррелированных и обработанных данных, которые поддерживают процесс мониторинга состояния безопасности и своевременного обнаружения угроз для этого состояния.
- Превентивный поиск угроз, то есть деятельность по упреждающему выявлению угроз, начиная с аномалий или слабых сигналов, эффективно игнорируя огромный фоновый шум. Насколько легче стало соединять точки, чтобы понять - возможно, используя уникальный идентификатор для каждого инцидента - что произошло ретроспективно, чтобы спланировать продолжение операций?
- Автоматическое реагирование на инциденты, то есть увеличение скорости реакции в ответ на инцидент до смягчения или устранения последствий.
С количественной точки зрения внедрение решения XDR должно позволить начать разработку показателей среднего времени обнаружения атак (MTD, с Среднее время обнаружения) и среднее время отклика / исправления (MTR, da Среднее время для ответа / исправления).
Или доработайте уже активированные меры в свете новых возможностей, чтобы проверить обоснованность инвестиций и лучше сбалансировать гибридные модели, предполагающие использование внешних сервисов и объединенных внутренних ресурсов.
1 Отчет Mandiant M-Trends 2021: https://www.mandiant.com/resources/m-trends-2021
Фото: веб / Mandiant
