2022/06/08 15:39:28

Как устроены XDR-решения для выявления и реагирования на киберугрозы и какова в них роль SIEM

По запросу «SIEM XDR» поисковики выдают множество статей. Одни эксперты считают, что системы класса XDR (extended detection and response, выявление киберугроз и реагирование на них) — это результат эволюции SIEM-систем (security information and event management[1]). По мнению других, XDR на равных конкурирует с SIEM-системами и может вытеснить их с рынка решений по информационной безопасности. Давайте разберемся в определениях. Какова истинная роль SIEM для XDR, рассказывает Алексей Петухов, специалист по исследованию рынка информационной безопасности Positive Technologies.

Содержание

Подходы к созданию XDR

XDR выявляет угрозы с помощью инструментов, набор которых определяет производитель, утверждает аналитическое агентство Gartner. Вендор может либо объединить продукты из своего портфеля, либо интегрироваться с решениями других поставщиков. И в первом, и во втором случае неизменно одно: для XDR всегда требуется контекст и база данных, чтобы его хранить. Контекст — это сведения, необходимые для анализа развития атаки, расследования инцидентов безопасности и быстрого реагирования; их предоставляют инструменты информационной безопасности: SIEM, EDR (endpoint detection and response[2]), VM (vulnerability management[3]), TI (threat intelligence[4]), NTA (network traffic analysis[5]), Sandbox[6] и другие.

Два рецепта XDR

Есть два подхода к созданию XDR-систем: открытый (он же гибридный) и нативный. Для инженера SOС[7] гибридная XDR-система представляет собой единую консоль с аналитикой. Для обнаружения атак система использует технологии сторонних решений, если их не хватает в портфеле производителя. Примером такого XDR может служить облачный Exabeam Fusion XDR.

При нативном подходе вендор предоставляет пользователю целый ряд продуктов, которые одновременно являются и поставщиками контекста, и базой знаний. Недавно представленный PT XDR (PT Extended Detection and Response) ― яркий пример использования нативного подхода при создании XDR-решения.

Остановимся подробнее на особенностях каждого подхода и разберем, что они значат для конечного пользователя. В результате применения открытого (гибридного) подхода мы получаем решение, которое просто установить, но сложно настроить и поддерживать. Пользователь может столкнуться со следующими трудностями:

  • множество методов и мест хранения данных делает использование продукта неудобным;
  • набор интеграций со сторонними решениями ограничен, а состав диктует производитель;
  • возможна потеря данных в процессе интеграции.

Нативный подход подразумевает моновендорность, что можно отнести как к преимуществам, так и к недостаткам. Важно отметить, что пользователю не нужно тратить время и силы на интеграцию сторонних решений и отладку их корректного взаимодействия ― нативный XDR работает «из коробки».

Технологии SIEM — ядро XDR

Если изучить список XDR-решений (например, тут), а потом последний отчет Gartner Magic Quadrant для SIEM, можно заметить, что многие производители (Securonix, Exabeam, IBM, Rapid7, Splunk, McAfee, FireEye, Fortinet) берут за основу своих XDR-систем технологии SIEM.

Чтобы разобраться, почему это происходит, перечислим задачи XDR-решения:

  • получение контекстных данных;
  • использование данных контекста в едином формате;
  • перемещение данных в общую базу для хранения и быстрого поиска;
  • выявление взаимосвязей между данными контекста из различных источников;
  • реагирование на обнаруженные взаимосвязи.

За реагирование отвечает отдельный класс решений EDR. Для остальных задач необходима SIEM-система. И чем лучше она будет их выполнять, тем мощнее будет XDR.

От маркетинговой политики производителя зависит позиционирование и нейминг XDR-систем. Да, многие производители пытаются реализовать в продуктах XDR технологии SIEM, не называя это отдельным SIEM-решением. Это связано с тем, что мало кто готов выпускать на рынок очередную SIEM-систему, которая в руках неопытного аналитика может превратиться в хаотичное хранилище логов и сетевой статистики, тем самым снижая эффективность XDR.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 299.6 т

Технологии SIEM всегда являются ядром XDR-решений. Вот пять аргументов, подкрепляющих это утверждение:

1. Не нужно создавать в системе XDR новое хранилище данных: в SIEM-системе уже все разложено по полочкам.
2. XDR разгружает SIEM-решение с помощью EDR-агентов, которые собирают данные и оперируют ими на конечных узлах.
3. XDR использует контекстные данные, собранные SIEM-решением. Чем они детальнее, тем лучше. Данные могут включать в себя:

  • события и сетевую статистику из различных источников для корреляции;
  • данные об узлах для создания полной картины об инфраструктуре и приоритизации важных для бизнеса информационных активов;
  • информацию об угрозах (threat intelligence) для быстрого и точного реагирования;
  • поведенческую аналитику и машинное обучение для оперативного выявления угроз и детального понимания взаимосвязей данных.

4. XDR анализирует данные, полученные не только из SIEM, но и с помощью других инструментов кибербезопасности, соединяя все в единую цепочку атаки.
5. Выстроив понятную цепочку атаки, XDR за счет EDR-агентов позволяет реагировать на угрозы на конечных узлах сети.

Два взгляда на одну атаку

Рассмотрим типичную атаку на Active Directory и то, как аналитик реагирует на каждый ее этап с помощью отдельного SIEM-решения и комплексного XDR, где SIEM выступает ядром.

Цепочка атаки на Active Directory и методы реагирования на нее
Источник: GitHub

Описанный пример помогает сделать три важных вывода:

  • SIEM ― это ядро XDR. Он обеспечивает механизмы сбора и предоставления контекстных данных, позволяет держать их в едином хранилище и ищет взаимосвязи.
  • На любом этапе действий хакера SIEM в руках квалифицированного специалиста по ИБ позволяет выявить взаимосвязи между собранными данными, представить их в удобном для анализа виде и сохранить для дальнейшего расследования. Однако без дополнительных контекстных данных аналитику придется потратить много времени на разбор каждого инцидента, и с большой долей вероятности он не сможет увидеть общую цепочку атаки. Кроме того, не имея инструмента реагирования на конечных точках (EDR), аналитик не сможет действовать проактивно.
  • XDR позволяет аналитику сэкономить время на поиск контекстных данных атаки, а также на их интерпретацию, логическое соединение в понятную цепочку и реагирование на хакерские действия.

Откуда XDR знает, что делать с огромными объемами контекстных данных, как искать между ними взаимосвязи и собирать цепочки атак? Каждый производитель решает эту задачу своим способом. Одни используют модель MSSP, отдавая экспертизу в руки опытных аналитиков SOC. Другие предлагают XDR-решение как готовый инструмент, предполагая, что пользователи возьмут на себя задачу по интерпретации полученных данных. Третьи делают упор на экспертизу вендора.

Мы при разработке своих решений используем знания экспертного центра безопасности (PT Expert Security Center), который исследует новые угрозы и знает, как действует хакер и какими инструментами он пользуется. Это дает возможность совершенствовать способы обнаружения действий злоумышленников и добавлять экспертизу во все продукты компании. MaxPatrol SIEM регулярно получает обновленную экспертную информацию об используемых злоумышленниками тактиках, техниках и целевых системах. Весь багаж знаний MaxPatrol SIEM работает в реальных инфраструктурах, а PT XDR использует его, чтобы ловить и останавливать хакеров.

Примечания

  1. Мониторинг событий информационной безопасности.
  2. Выявление угроз в конечных точках и реагирование на них.
  3. Управление уязвимостями.
  4. Мониторинг актуальных киберугроз.
  5. Анализ сетевого трафика.
  6. Сетевые песочницы.
  7. Security operations center — центр мониторинга информационной безопасности.
Источник — «https://retail.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9A%D0%B0%D0%BA_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B5%D0%BD%D1%8B_XDR-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B4%D0%BB%D1%8F_%D0%B2%D1%8B%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B8_%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_%D0%BD%D0%B0_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D1%83%D0%B3%D1%80%D0%BE%D0%B7%D1%8B_%D0%B8_%D0%BA%D0%B0%D0%BA%D0%BE%D0%B2%D0%B0_%D0%B2_%D0%BD%D0%B8%D1%85_%D1%80%D0%BE%D0%BB%D1%8C_SIEM»

Править
Короткая ссылка   |  Просмотров: 4509
В России запускается нацпроект «Новые технологии сбережения здоровья» для разработки медизделий
Американский медхолдинг Change Healthcare выплатил $22 млн хакерам-вымогателям, чтобы не допустить утечку данных пациентов
Nestle добавляет «нездоровый» объем сахара в продукты, чтобы подсаживать детей на сладкое
Минздрав РФ за 486 млн рублей закупает серверы для Центра обработки медицинских данных
Дмитрий Демин, АСКОН: На рынке BIM-решений происходит технологический взрыв
Конференция «ИТ в ритейле» состоится 28 мая в рамках Tadviser SummIT
Суд приговорил экс-главу Merlion к 22 годам лишения свободы
Серверное оборудование стандарта OCP от OpenYard: опыт ИТ-гигантов для российского рынка
Как команда технического пресейла помогает клиентам получать лучший результат за свой бюджет. Опыт 65apps
Конференция «Информационная безопасность 2024» состоится 28 мая
Конференция «ИТ в банках 2024» состоится 28 мая
Конференция «ИТ в промышленности 2024» состоится 28 мая
«Группа Астра» разрослась до двух десятков компаний. Ключевые активы экосистемы
TATLIN.BACKUP: российская СХД для резервного копирования
Как исключить незапланированные расходы при выборе и внедрении BI-системы
Евгений Титов, «Фитконсалтинг»: Мы идем решать проблемы розничного бизнеса в сегменте СМБ, однозначно понимая их
AUXO: Решение F.A.C.C.T. Attack Surface Management особенно актуально для Enterprise-компаний
Зачем бизнес переводит кибербез в облака
Искусственный интеллект для служб поддержки от AutoFAQ
Быстрее, больше, мощнее: построение высоконагруженных систем на базе «Форсайт. Аналитическая платформа»
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser
Российский рынок СЭД/ECM борется с демпингом и рассчитывает на возможности искусственного интеллекта. Обзор и рейтинг TAdviser