Analizy bezpieczeństwa w zakresie rozszerzonego wykrywania i reagowania (XDR) polegają na badaniu dużych ilości informacji w celu wykrycia podejrzanych serii aktywności. Te narzędzia analizy chmurowej pozwalają wykryć zagrożenia, np. ataki z wykorzystaniem luk zero-day i ataki ukierunkowane, ukryte wśród innych danych dotyczących aktywności.
Analizy bezpieczeństwa to podstawa platformy XDR
Analizy bezpieczeństwa stanowią rdzeń platformy XDR obsługujący różne źródła danych telemetrycznych, które napływają z różnych protokołów, produktów i warstw zabezpieczeń. Zwykle platforma XDR zawiera dane na temat aktywności z różnych źródeł – w szczególności z punktów końcowych, serwerów, chmury, poczty elektronicznej i sieci.
Są one przetwarzane przez mechanizm analityczny, który następnie zgłasza alarmy na podstawie zdefiniowanych filtrów, reguł lub modeli. Analizy pozwalają powiązać ze sobą informacje napływające do platformy XDR w celu identyfikacji i oceny powagi zdarzeń dotyczących bezpieczeństwa.
Do wykrywania zagrożeń platforma XDR stosuje najlepszą technikę analizy lub kombinację technik, takich jak machine learning, data stacking i inne metody analizy dużych ilości danych. Rozwiązanie analityczne XDR bada dane aktywności pod kątem różnych wzorców zachowań na różnych warstwach zabezpieczeń, co pozwala mu wykryć złożone wieloetapowe ataki.
Analizy bezpieczeństwa i modele wykrywania
Analizy bezpieczeństwa XDR wiążą mało istotne zdarzenia, zachowania i aktywności na przestrzeni różnych warstw zabezpieczeń.
Platforma XDR łączy fakty i w ten sposób wykrywa złośliwą aktywność, zamiast przedstawiać analitykowi niezwiązane ze sobą informacje o podejrzanych zdarzeniach. To całkiem odmienne podejście od zgłoszenia jednego alarmu w związku z podejrzeniem phishingu i drugiego w związku z podejrzanym dostępem do domeny sieci web. Platforma XDR powiąże tę wiadomość z dostępem do rzadko używanej domeny sieci web na punkcie dostępowym oraz następujące po tym pobranie pliku po uruchomieniu skryptu. Daje to możliwość wykrywania z dużą pewnością złośliwej aktywności i jej szczegółowego badania.
Zaawansowane algorytmy platformy XDR wiążą ze sobą pojedyncze wykryte zdarzenia i inne rodzaje aktywności, a następnie poddają je analizie w chmurze, aby skutecznie wykrywać zagrożenia. XDR skupia się na zachowaniach, których indywidualne produkty nie są w stanie wychwycić.
Im więcej, tym lepiej?
W przypadku analizy XDR im więcej reguł, źródeł i warstw, tym lepiej. Ważna jest jednak także jakość danych. Jeśli przeprowadzone analizy nie będą wystarczającą dogłębne, to może się okazać, że zgromadzone dane na niewiele się przydały.
Zasady i techniki wykrywania: przez infrastrukturę chmurową regularnie są dostarczane nowe lub ulepszone reguły i modele wykrywania zagrożeń pozwalające monitorować różne rodzaje podejrzanych ciągów zdarzeń. Częstsze używanie technik wykrywania opartych na machine learning umożliwia ich ciągłe doskonalenie w celu zwiększenia skuteczności wykrywania i zmniejszenia liczby fałszywych alarmów.
Źródła: Analiza i badanie zagrożeń umożliwiają nadążanie przez modele wykrywania za zmianami w ogólnej sytuacji. Modele wykrywania powinny wykorzystywać zarówno wewnętrzne, jak i zewnętrzne informacje o zagrożeniach, takie jak taktyki i techniki MITRE ATT&CK™.
Warstwy: Im więcej warstw zabezpieczeń, tym większe są możliwości analityki międzywarstwowej platformy, co z kolei przekłada się na zwiększenie wartości dla klienta.