Czym jest XDR?

XDR to wielowarstwowy system wykrywania i reagowania.

Podstępne typy zagrożeń unikają wykrycia. Ukrywają się między osobnymi elementami systemu zabezpieczeń wśród niepowiązanych alarmów i rozprzestrzeniają się w czasie, gdy analitycy próbują coś wskórać, dysponując ograniczonymi informacjami na temat ataku.

XDR przełamuje tę barierę odosobnienia, stosując całościowe podejście do kwestii wykrywania i reagowania. XDR gromadzi i koreluje wykryte zdarzenia i dane na temat głęboko ukrytej aktywności na przestrzeni wielu warstw — poczty elektronicznej, punktów końcowych, serwerów, obciążeń chmury i sieci. Automatyczna analiza takiego bogatego w informacje zbioru danych pozwala na szybsze wykrywanie zagrożeń i daje analitykom możliwość dokładniejszego zbadania sprawy oraz szybszego podjęcia czynności zaradczych.

Więcej informacji na temat  warstw zabezpieczeń , które mogą być objęte przez XDR.

Jeśli chodzi o kwestie dotyczące wykrywania i reagowania, na analitykach z centrum ds. zabezpieczeń spoczywa duża odpowiedzialność. Muszą szybko identyfikować krytyczne zagrożenia, aby zminimalizować ryzyko i szkody. Niestety warunki ich pracy są dalekie od optymalnych. 

Lawina alarmów

Nie ma co się dziwić, że zespoły IT są przeciążone pracą, jeśli weźmie się pod uwagę, ile alarmów generują różne rozwiązania. W firmie zatrudniającej średnio 1000 osób na wejściu do SIEM co sekundę w szczytowych momentach może mieć miejsce nawet 22 000 zdarzeń. To daje prawie dwa miliony zdarzeń dziennie^[1]. Przy tak dużej liczbie alarmów i skromnych możliwościach w zakresie ich korelacji i sortowania nawet najlepsi analitycy nie są w stanie szybko i efektywnie odsiać ziarna od plew. Rozwiązanie XDR może automatycznie połączyć szereg zdarzeń, które pojedynczo nie dają wysokiego stopnia pewności w jedno zdarzenie wyraźniej wskazujące na potencjalne zagrożenie, co pozwala zmniejszyć liczbę alarmów i podnieść ich jakość.

Luki informacyjne

Choć wiele produktów zabezpieczających umożliwia wgląd w dane dotyczące alarmów i aktywności, każdy z nich przyjmuje określoną perspektywę i dostarcza dane odnoszące się do jego funkcji. Integracja produktów zabezpieczeń może umożliwić wymianę i konsolidację danych, ale ich wartość często jest ograniczona ze względu na typ i szczegółowość gromadzonych danych, jak również możliwości analizy korelacyjnej. To oznacza, że powstają luki informacyjne, które ograniczają możliwości działania. Natomiast rozwiązanie XDR zbiera i udostępnia pełne dane na temat aktywności (wykrycia, telemetryczne, metadane, dotyczące przepływu sieciowego itd.) w poszczególnych narzędziach bezpieczeństwa. Dzięki wykorzystaniu zaawansowanych algorytmów analizy i badania zagrożeń XDR dostarcza pełny kontekst ataku, pozwalając dokładnie prześledzić jego przebieg w kolejnych warstwach zabezpieczeń.

Trudności w prowadzeniu dochodzeń

Przy dużej ilości danych z dzienników i alarmów bez wyraźnych wskaźników trudno jest określić, na co należy zwracać uwagę. Jeśli uda się znaleźć problem lub zagrożenie, trudno jest prześledzić jego ścieżkę i wpływ na organizację. Śledztwo może być czasochłonnym, ręcznym zajęciem, na które może brakować środków. XDR pozwala na automatyzację procesów oraz dostarcza bogaty zestaw danych i narzędzi, które w innym przypadku byłyby niemożliwe do uzyskania. Weźmy na przykład automatyczną analizę przyczyn, dzięki której analityk uzyskuje dokładne informacje na temat przebiegu ataku w czasie (który może obejmować pocztę elektroniczną, punkty końcowe, serwery, chmurę i sieć) i może szczegółowo zbadać każdy krok tego ataku, aby podjąć odpowiednie przeciwdziałania.

Powolne wykrywanie i reagowanie

Opisane trudności sprawiają, że zagrożenia zbyt długo pozostają niewykryte, co opóźnia reakcję oraz zwiększa ryzyko i potencjalne szkody ataku. System wykrywania i reagowania obejmujący wiele warstw pozwala skuteczniej wykrywać zagrożenia i szybciej reagować, gdy się pojawią. Dlatego podstawowym wskaźnikiem jakości zabezpieczeń w organizacjach jest średni czas wykrycia (mean time to detect — MTTD) i średni czas reakcji (mean time to respond — MTTR). W związku z tym wartość rozwiązania i inwestycji ocenia się na podstawie tych wskaźników oraz tego, w jakim stopniu zmniejszają narażenie przedsiębiorstwa na ryzyko.

XDR to nowocześniejsze rozwiązanie w dziedzinie wykrywania i reagowania w porównaniu z punktowymi systemami uwzględniającymi pojedynczy wektor ataku.

Niewątpliwie system wykrywania i reagowania w punktach końcowych (endpoint detection and response — EDR) przynosi wiele korzyści. Jednak jego możliwości są ograniczone tym, że ma dostęp jedynie do zarządzanych punktów końcowych. To utrudnia wykrywanie zagrożeń i określanie ich potencjalnego zasięgu oraz wybór najlepszego sposobu reakcji.

Analogicznie zakres działania narzędzi do analizy ruchu sieciowego (Network Traffic Analysis — NTA) ogranicza się do prowadzenia monitoringu tylko zarządzanych segmentów sieci. Rozwiązania NTA zwykle generują ogromne ilości dzienników, w związku z czym kluczowego znaczenia nabiera możliwość korelacji alarmów sieciowych z innymi zdarzeniami. Dopiero wtedy alarmy te stają się zrozumiałe i przydatne.

W dziedzinie wykrywania i reagowania dokonano dużego postępu, ale do tej pory funkcje te były realizowane przez indywidualne rozwiązania dla poszczególnych warstw zabezpieczeń, co sprawiało, że dane gromadzono i analizowano w odosobnieniu. Rozwiązanie XDR konsoliduje działania związane z wykrywaniem i reagowaniem, dzięki czemu zapewnia korzyści większe niż daje suma poszczególnych części.

Organizacje wykorzystują systemy SIEM do zbierania dzienników i alarmów z różnych rozwiązań. Choć rozwiązania tego typu umożliwiają zebranie informacji z wielu źródeł w jednym centralnym systemie, skutkiem tego jest powstawanie przytłaczającej ilości indywidualnych alarmów. W takim gąszczu bardzo trudno jest znaleźć najważniejsze i wymagające uwagi zdarzenia. Korelacja wszystkich informacji z dzienników w celu uzyskania szerszej perspektywy przy użyciu tylko rozwiązań SIEM nie jest łatwa.

Natomiast rozwiązanie XDR gromadzi szczegółowe dane na temat aktywności i wysyła je do jeziora danych, aby umożliwić analizę obejmującą wiele warstw, która pozwoli wykryć potencjalne zagrożenia i wykonać badania. Poddanie tego obszernego zbioru danych analizom specjalistycznym i wykonywanym przez sztuczną inteligencję pozwala na uzyskanie mniejszej liczby alarmów zaopatrzonych w bogatszy kontekst, które można wysłać do firmowego rozwiązania SIEM. XDR nie zastępuje SIEM tylko wzbogaca jego funkcjonalność, skracając czas analizy dzienników i alarmów w celu oszacowania poziomu ryzyka oraz ułatwiając podjęcie decyzji, co wymaga bliższej uwagi i dokładniejszego zbadania.

Warstwy zabezpieczeń poza punktem końcowym

• Do wielowarstwowego wykrywania i reagowania potrzebne są przynajmniej dwie warstwy, a im jest ich więcej, tym lepiej — mogą to być punkty końcowe, poczta elektroniczna, serwery i obciążenia chmury.
• XDR obejmuje zakresem wykrywania i reakcji więcej niż jeden punkt końcowy. Rozszerza możliwości EDR na ważne obszary aktywności. Na przykład poczta elektroniczna jest bardzo ważna, ponieważ stanowi najczęściej wybierany cel ataku.
• Rozwiązanie XDR przesyła dane na temat aktywności z różnych warstw do jeziora danych, aby potrzebne informacje w odpowiedniej formie zawsze były dostępne do analizy korelacyjnej.
• Wybór pakietu zabezpieczeń jednego dostawcy upraszcza strukturę rozwiązań oraz pozwala na głębszą integrację i efektywniejszą współpracę między funkcjami wykrywania, badania i reagowania.

Specjalne algorytmy sztucznej inteligencji i profesjonalne analizy bezpieczeństwa

• Gromadzenie danych to jedna z zalet rozwiązania XDR, ale jego najważniejszym celem jest przeprowadzanie analiz i badań w celu skuteczniejszego i szybszego wykrywania zagrożeń.
• W miarę jak dane telemetryczne stają się coraz cenniejszym towarem, na wartości zyskują narzędzia analityczne z funkcją analizy zagrożeń, które potrafią wydobyć z danych praktyczne informacje.
• Natywny system analityczny pobierający dane od inteligentnych czujników zapewnia znacznie efektywniejsze analizy bezpieczeństwa niż zewnętrzne produkty lub rozwiązania telemetryczne. Każdy dostawca lepiej zrozumie dane dostarczane przez jego własne produkty niż przez rozwiązania innych firm. Aby zapewnić optymalne możliwości analityczne, na pierwszym miejscu należy wybierać rozwiązania XDR stworzone specjalnie dla natywnego pakietu rozwiązań danego dostawcy.

Jedna zintegrowana i zautomatyzowana platforma zapewniająca pełny wgląd

• XDR umożliwia logiczne powiązanie danych w pojedynczym widoku, pozwalając na prowadzenie dokładniejszych badań.
• Graficzne przedstawienie zdarzeń związanych z atakiem w postaci osi pozwala uzyskać odpowiedzi na wiele pytań, na przykład:

Jak doszło do zainfekowania użytkownika
W którym miejscu rozpoczęła się infekcja
Co/kto jeszcze bierze udział w tym ataku
Skąd pochodzi zagrożenie
W jaki sposób zagrożenie się rozprzestrzeniło
Ilu jeszcze użytkowników ma dostęp do tego zagrożenia

• Rozwiązanie XDR rozszerza funkcjonalność systemu analiz bezpieczeństwa i upraszcza procesy. Przyspiesza pracę zespołów przez eliminację ręcznych czynności oraz daje dostęp do widoków i analiz, których nie da się wykonać natychmiast.
• Integracja z SIEM i SOAR umożliwia analitykom zgranie informacji dostarczonych przez XDR z szerszym ekosystemem bezpieczeństwa.