В январе 2022 года информационно-аналитический центр по информационной безопасности Anti-Malavare.ru провел онлайн-трансляцию, посвященную решениям XDR (Extended Detection and Response) – софтверным продуктам для расширенного обнаружения и реагирования на киберугрозы и целевые атаки. В круглом столе принимали участие эксперты ведущих российских и глобальных ИТ-компаний: Fortinet, Positive Technologies, Trend Micro, InfoWatch ARMA, «Лаборатория Касперского», IBM, «Тайгер Оптикс».
-->
XDR – ИТ-продукт или концепт?
Термин XDR появился в обиходе ИБ-специалистов относительно недавно, в 2018 году – с подачи сотрудников компании Palo Alto. Поэтому, несмотря на понятный смысл этой аббревиатуры («расширенное обнаружение и реагирование»), на рынке пока существует несколько точек зрения по поводу точного определения термина. «Традиционно, впрочем, считается, что XDR – этомоновендорное SaaS-решение, объединяющее сенсорные подсистемы информационной безопасности, возможности корреляции событий для расширенного реагирования и экспертизу, которая позволяет объединить всё в единый продукт. Таким образом XDR – это одновременно и концепция, и решение, в котором эта концепция реализована. Фактически все существующие ранее решения, которые специалисты по ИБ пытались создать из разрозненных систем – SIEM (Security Information and Event Management, управление информацией и событиями безопасности), SOAR (Security Orchestration, Automation and Response, системы оркестровки, автоматизации и реагирования), различных сенсорных подсистем и прочего, – объединяется сейчас в XDR. При этом важно, чтобы решение XDR базировалось на сильном ядре EDR (Endpoint Detection and Response)», – прокомментировал технический директор компании InfoWatch ARMA Игорь Душа.
Игорь Душа, технический директор компании InfoWatch ARMA
Если углубиться еще дальше в прошлое, – продолжили участники дискуссии, – то можно вспомнить, что около двадцати лет назад централизованное управление ИБ представляло собой сбор событий, настройку, и обновление. Около пяти лет назад появилась возможность обнаруженные в одной точке индикаторы распространять по всем узлам. Но сегодня и этих механизмов уже мало, так как необходимо мониторить большие объемы информации, централизованно собирать ее, обрабатывать и обнаруживать те угрозы и инциденты, которые в каждой конкретной точке не видны. Отсюда и интерес к подобным консолидированным решениям.
Вместе с тем часть экспертов считает XDR больше хайпом, который впитывает все остальные темы на рынке ИБ, чем конкретным решением. Это подтверждается тем, что сегодня каждый вендор софтверных решений ИБ в основу своего XDR закладывает то, на чем он специализируется в первую очередь – просто объединяя самые проработанные и популярные решения в одном продукте. Некоторые спикеры согласны с тем, что XDR все-таки скорее является концепцией комплексной системы информационной безопасности, нежели определенным продуктом. Более того – XDR не обязательно подразумевает моновендорность и вполне может строится вокруг основного решения одного вендора, которое будет дополняться интегрируемыми в него решениями сторонних разработчиков.
Участники круглого стола
Интересы и потребности заказчиков в решениях уровня EDR различаются в зависимости от величины бизнеса. Так, компании SMB, заявляя о необходимости расширенного реагирования на киберугрозы, могут иметь в виду просто более автоматизированный вариант EDR с реагированием по принципу антивируса. Enterprise же предпочитает действительно собрать все созданные ИБ-решения и экспертизу в некой единой консоли, чтобы добиться максимальной эффективности каждого отдельного модуля. Всё это, по сути, также можно назвать XDR.
Можно ли, таким образом, говорить о том, что множество систем информационной безопасности – это и есть XDR?
Кирилл Михайлов, системный инженер компании Fortinet
Кирилл Михайлов, системный инженер компании Fortinet: «В первую очередь, концепция XDR подразумевает, что это автоматизированое решение, обеспечивающее логику реагирования: правила обнаружения и детектирования. Сюда может быть включена и работа аналитиков, и машинное обучение, но главным критерием является то, что логика работы уже заложена вендором. Что касается отдельных SOAR, SIEM и других систем, – это скорее конструктор, из которого заказчик может сам собирать нужный продукт под себя».
Олег Хныков, эксперт группы по исследованию рынка информационной безопасности компании Positive Technologies
Олег Хныков, эксперт группы по исследованию рынка информационной безопасности компании Positive Technologies: «Разрозненные системы дают информацию, с которой сложно работать аналитикам: фронтенд собирает данные с помощью сенсоров, модулей, расположенных по периметру, а уже на бэкенде происходит машинное обучение, глубокая аналитика, статические и динамические правила. Но в совокупности они работают друг с другом не очень хорошо. XDR помогает преодолеть порог этой сложности, увязывая системы обнаружения со способами реагирования на данное обнаружение, создавая из разрозненных компонентов целостную картину, с которой аналитикам работать намного проще. Полноценный XDR в любом случае должен отталкиваться от задач заказчика, наборы продуктов в каждом конкретном случае могут быть разными».
Какие преимущества от XDR получает ИТ/ИБ-специалист?
Для эффективной работы SOAR и SIEM-систем необходима их длительная интеграция и настройка, а процесс интеграции требует не только времени, но и денег. XDR позволяет получать буквально здесь и сейчас, «из коробки», те же результаты, которые качественно интегрированные и настроенные системы показали бы спустя длительное время. Кроме того, преимуществами XDR является то, что в рамках одного продукта, на одной платформе можно объединить и «обнаружение» (Detection) и «реагирование» (Response), отказавшись при этом и от SOAR, и от SIEM. Отказ от дополнительных решений снижает расходы на ИБ и разгружает сотрудников – им проще пользоваться одним продуктом, нежели несколькими. Объединение в одном решении функциональности обнаружения и реагирования позволяет повысить общую эффективность системы, поскольку она таким образом обменивается информацией внутри себя, а значит, может обучаться прямо в ходе работы.
Механизмы обнаружения, используемые в XDR
Специалисты говорят о двух пластах технологий обнаружения. Первый – поиск и проверка данных по индикаторам. В случае, когда произошел подозрительный инцидент, по этим индикаторам можно перепроверить всю информацию за определенный период, выявить похожие инциденты, посмотреть, какие файлы запускались, какие действия пользователей производились. Второй пласт – определение моделей атаки, при котором могут применяться и механизмы машинного обучения, и информация из «песочниц» (Sandbox), и просто информация об инцидентах, полученная из различных систем.
Сценарии реагирования в системах XDR
Илья Осадчий, директор по развитию компании «Тайгер Оптикс»
Илья Осадчий, директор по развитию компании «Тайгер Оптикс»: «Самый популярный компонент, в котором происходит реагирование, – это эндпоинт (конечное устройство), так как большинство инцидентов происходит именно там. Фиксируем инцидент, определяем его, помещаем в карантин. Если злоумышленник записал что-то в реестр, – эти записи нужно удалить, если повредил или зашифровал файлы, нужно их восстановить. Наша цель – чтобы пользователь по итогам этого автоматизированного или ручного реагирования в течение нескольких минут мог дальше продолжить свою работу. Почему сейчас заказчики выбирают EDR, а в будущем будут выбирать XDR – уровень автоматизации реагирования у лидирующих систем на сегодняшний день очень высокий, и эту идею можно легко донести до бизнеса. Вместо того, что аналитик будет вручную анализировать тысячи событий и писать вручную скрипты, чтобы вернуть эндпоинт в прежнее состояние, – ведущие решения делают это автоматически за секунды. Если же продвигаться по инфраструктуре дальше, то другой традиционный объект защиты – это Firewall. Классическое действие – внести хост в блок-лист, чтобы совсем запретить или ограничить ему сетевой доступ или доступ в Интернет. Можно требовать дополнительные условия аутентификации, можно блокировать учетку, и т. д., всё зависит от бизнес-процессов».
Дмитрий Стеценко, руководитель отдела системных архитекторов «Лаборатории Касперского»
Дмитрий Стеценко, руководитель отдела системных архитекторов «Лаборатории Касперского»: «Другое направление реагирования – это форензика,сбор доказательств для расследования инцидента. Это дампы памяти, образ диска, метки. Также стоит обратить внимание на уроки, которые пользователи выносят после инцидента. Например, если пользователь попался на фишинг, после всех этапов устранения проблемы можно назначить ему обучение и тестирование, опять же в автоматизированном виде».
Требуется ли заказчику дополнительное обучение для работы с XDR?
Кирилл Михайлов: «Если заказчик морально готов хотя бы протестировать XDR, значит, у него есть какие-то ожидания, он представляет, что эта система делает и чем может ему помочь. Тогда в рамках тестирования пилотной версии можно направить заказчика более конкретно: рассказать, что с этим решением дальше делать, подсветить какие-то неявные моменты. Думаю, что полноценное обучение использованию конкретного решения в рамках тестирования и пилотирования – избыточно. Скорее надо просто показать, как оно работает, а затем оставаться на связи с заказчиком, чтобы помогать решать возникающие вопросы».
Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии
Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии: «В целом XDR и существует для того, чтобы пользователь, не будучи экспертом в области кибербезопасности, мог без обучения все эти функции реализовывать в рамках понятного интерфейса. То есть нужна только общая компьютерная грамотность».
Олег Бакшинский — ведущий советник по вопросам информационной безопасности в России и СНГ компании IBM
Олег Бакшинский — ведущий советник по вопросам информационной безопасности в России и СНГ компании IBM: «Если речь идет о человеке, знакомом с терминологией и процессами, то обучение не требуется. Аналитик SOC (Security Operations Center) однозначно обойдется без него. Если же речь идет о пользователе, который не хочет ничему учиться, – ему придется всё равно познакомиться с консолью. Если она интуитивно понятная, то можно обойтись и без обучения, а если консоль с большим количеством специфических терминов, то пользователь «поплывет». Поэтому возникает вопрос к интерфейсу системы: некоторые вендоры разрабатывают упрощенный интерфейс для работы со сложными решениями».
Какие перспективы вы видите в направлении XDR на ближайшие два-три года?
Илья Осадчий: «Пока еще не все российские вендоры успели выпустить свой XDR. В ближайшие годы наверняка будут появлятьсяновые продукты. Возможно, появятся стартапы, которые будут создавать их «с нуля». Рынок будет поступательно развиваться, а определение и концепция XDR будут складываться в течение еще нескольких лет. Под них впоследствии должны будут подстраиваться и вендоры. Поэтому потенциальным заказчикам XDR-решений, вероятно, некоторое время стоит еще подождать».
Кирилл Михайлов: «В ближайшее время мы ожидаем стандартизации понятия XDR. С точки зрения развития существующих продуктов — захват решениями XDR всё большего количества данных, консолидацию их».
Олег Хныков: «Произойдет смещение фокуса у продуктов и экосистем в сторону практической безопасности и устранения недопустимых рисков».
Михаил Кондрашин: «Думаю, что количество вендоров в этой нише будет продолжать расти, больше продуктов будет интегрироваться с XDR. В самих продуктах будет поддерживаться больше сторонних источников данных, а собираемые в Data Lake данные будут более широкоиспользоваться. Года через два, возможно, системы XDR будут даже интегрироваться друг с другом».
Игорь Душа: «Со временем будут расширяться векторы взаимодействия XDR с другими системами: например, включение вендором других сенсорных систем иных производителей в собственный XDR. Благодаря этому постепенно, более, чем за два года, произойдет вытеснение систем SIEM и SOAR, так как XDR более удобен для пользователя».
Олег Бакшинский: «Основным трендом в развитии XDR я бы назвалпревращение его в технологическую платформу для SOC – некое воплощение того, что не смогли сделать SIEM и SOAR вместе: умная машина, принимающая решения и помогающая сокращать времязатраты на ИБ и кадровый вопрос. Количество плейбуков (сценариев реагирования) возрастет, это позволит в итоге меньшему количеству аналитиков решать большее количество более сложных задач».