Система расширенного обнаружения и реагирования (XDR) позволяет выполнять обнаружение, расследование и реагирование на инциденты благодаря большому количеству данных, собираемых из разных уровней безопасности (конечные устройства, электронная почта, сеть, серверы и облако). Поскольку XDR объединяет эти уровни, которые иначе были бы изолированы друг от друга, становится видна полная картина развития атаки.
XDR: увидеть все
В обнаружении угроз задача специалиста центра операций системы безопасности (SOC) — сопоставить данные и полностью показать развитие атаки: от проникновения в корпоративные системы до распространения по организации и кражи данных (если она произошла). Это нужно для быстрой оценки воздействия атаки и выбора ответных мер.
Чем больше источников данных и векторов безопасности предоставить единой интегрированной платформе XDR, тем больше у вас будет возможностей корреляции — а это означает более тщательные расследования и более действенные ответные меры.
Зачастую аналитик использует какой-либо инструмент для обнаружения и реагирования на конечных устройствах (EDR) для детального обзора подозрительной активности на управляемых конечных точках и при этом отдельно рассматривает оповещения о безопасности сети и результаты анализа трафика. Что касается облачных рабочих нагрузок, аналитик, скорее всего, имеет ограниченную видимость, и поэтому ему сложно выявить подозрительную активность.
Все части ИТ-среды генерируют множество оповещений, которые, скорее всего, пересылаются в систему управления информацией и событиями безопасности (SIEM). Аналитик видит все предупреждения, но пропускает подробности всей активности среди всех этих предупреждений. Без дополнительной корреляции аналитик может упустить важные детали атаки, оставленные в предупреждениях без контекста или без способа сопоставить связанные события.
XDR объединяет уровни, чтобы специалисты по безопасности видели более широкую картину и быстро понимали, что происходит на предприятии, в том числе, как заразился пользователь, какова была первая точка входа и кто еще подвергся этой атаке.
Конечные устройства
Для анализа возникновения, развития и распространения угроз на конечных устройствах необходима эффективная регистрация активности на этих устройствах. XDR позволяет сканировать конечные точки на наличие индикаторов компрометации (IoC) и проактивно выискивать угрозы, основываясь на индикаторах атаки (IOA).
Обнаружение: Поиск и выявление подозрительных и опасных событий на конечных устройствах.
Расследование: Что произошло на конечном устройстве? Откуда проникло событие? Как оно распространилось по другим конечным устройствам?
Реагирование: Изоляция события, остановка процессов, удаление и восстановление файлов.
Многие организации изначально задействуют возможности обнаружения и реагирования только для конечных точек, внедрив инструменты EDR. Хотя использование EDR — разумный первый шаг, так можно не увидеть начало и конец развития атаки. Что произошло до того, как угроза оказалась на конечном устройстве? Может быть, угроза пришла по электронной почте, и если да, то кто еще получил письмо с угрозой? Что произошло после того, как угроза попала на конечную точку? Переместилась ли она на какой-либо сервер или в контейнер? Затронула ли угроза неуправляемые устройства?
Электронная почта
Учитывая, что источником 94% утечек данных является электронная почта[1], возможность идентифицировать скомпрометированные почтовые ящики и обнаруживать вредоносные письма играет очень важную роль в общей системе безопасности.
Обнаружение: поиск угроз в электронных письмах, скомпрометированных учетных записей, пользователей, которые чаще всего подвергаются атакам, закономерностей в атаках через электронную почту.
Расследование: Через кого осуществилось проникновение в систему? Кто еще получил вредоносное письмо?
Реагирование: карантин писем, блокировка отправителей, сброс и восстановление учетных записей.
Поскольку электронная почта является лидирующим вектором атак, при расширении возможностей обнаружения и реагирования этот уровень безопасности должен быть в приоритете. Угрозы из электронной почты не оказывают влияния на конечную точку, пока пользователь не откроет вложение или ссылку из вредоносного письма. Неактивированная угроза может долго оставаться в многих почтовых ящиках без обнаружения. Если установить связь между обнаруженной угрозой на конечной точке и письмом, из которого она пришла, можно автоматически просканировать почтовые ящики и понять, кто еще получил вредоносное письмо. Затем можно поместить эти письма в карантин и устранить угрозу, предотвратив ее дальнейшее распространение и потенциальный ущерб.
Сеть
Аналитика сетевой активности позволяет выявить целевые атаки, когда они распространяются по организации или обмениваются данными с центром управления (C&C). С помощью аналитики можно отфильтровать значимые события и сократить количество «слепых пятен», например, в Интернете вещей или на неуправляемых устройствах.
Обнаружение: поиск и выявление аномального поведения по мере распространения угроз.
Расследование: как угроза осуществляет обмен данными? Как она распространяется по организации?
Реагирование: обозначение масштаба атаки.
Журналы событий в сети являются богатым источником данных, помогая понять масштаб атаки. Однако без корреляции с другими оповещениями безопасности нельзя получить контекст, необходимый для определения взаимосвязей и наиболее важных деталей. Именно поэтому сочетание данных по сети и конечным устройствам — мощный инструмент. Благодаря корреляции данных активность на конечных точках, не вызывавшая подозрений сама по себе (такая как необычные действия с PowerShell и т. п.), становится поводом для критического оповещения безопасности, когда XDR соотнесет ее с коммуникациями с сервером C&C.
Рабочие нагрузки на серверах и в облаке
Как и для конечных устройств, в этом случае необходимо эффективно регистрировать активность, чтобы проанализировать точку входа угрозы и ее распространение по серверам и облачным нагрузкам. Вы можете настроить сканирование на наличие IoC и поиск угроз на основе IoA.
Обнаружение: поиск и выявление угроз, нацеленных на серверы, облачные нагрузки и контейнеры.
Расследование: что произошло с нагрузкой? Как угроза распространялась?
Реагирование: изоляция сервера, остановка процессов.
Организации могут использовать инструменты EDR для серверов и облачных рабочих нагрузок, но при этом их эффективность может пострадать. Сама по себе система EDR не приспособлена ни к новым облачным моделям, ни к предоставлению необходимых типов данных и их прозрачности. Как и для любого вектора, корреляция информации по серверам может указать на подозрительную активность (например, если серверы установили соединение с IP-адресом из страны, с которой раньше они не обменивались данными) благодаря соотношению с данными от других уровней, таких как конечные устройства и/или сеть.
Статьи по теме