Мощный ответ на кибервызовы. Чего ждать от XDR?

Мощный ответ на кибервызовы. Чего ждать от XDR?

В статьях и выступлениях об XDR довольно часто можно услышать, что этот класс решений уже вовсе не новый, несмотря на то что на российском рынке появился относительно недавно. Что он возник как ответ на потребность рынка в объединении разных классов решений, а потому он — спаситель, Чип и Дейл и вообще серебряная пуля.

Но так ли хороша эта историческая ноша и не происходит ли с XDR то, что случается с продуктом любого другого класса? Все они неизбежно обрастают всевозможными артефактами, которые впоследствии мешают поддерживать темп развития, задаваемый рынком, и приводят к разговорам про NG-что-угодно.

В какой же момент появляется на рынке идея о том, что пришло время следующего поколения класса решения? Естественно, когда существующее поколение фактически не справляется — перестаёт функционально соответствовать запросам. То есть не может помочь защититься от действий злоумышленника, которые соответствуют его актуальному профилю.

Возможно, пора задуматься, так ли мы далеки от разговоров об NG-XDR? И стоит ли в таком случае сейчас внедрять подходящий в условиях конкретной инфраструктуры XDR или лучше подождать новой концепции этого класса решений?

РАЗБИРАЕМСЯ В ТЕРМИНОЛОГИИ

Тут хочется сделать небольшое отступление и оговорить, что мы подразумеваем под XDR. Во-первых, это не просто набор разрозненных продуктов, а цельное решение с единым интерфейсом, которое в работе использует кросс-продуктовые сценарии. А во-вторых, будем рассматривать тот вариант развития XDR, в котором ключевую роль играет функциональность SIEM-системы, обогащённая возможностями, которые дают интеграции с EDR. Это важно, поскольку мышление в парадигме SIEM учит нас более комплексно воспринимать имеющиеся данные о происходящих событиях в инфраструктуре. То есть находить взаимосвязи и прослеживать действия злоумышленника от момента выявления инцидента до нахождения всех элементов цепочки атаки.

ИСТОРИЧЕСКИЙ КОНТЕКСТ

Как уже было сказано, XDR стал ответом на запрос рынка. Запрос был следующим: нужен инструмент, который позволил бы объединить многие классы решений в единой платформе. То есть перейти от «туннельности» контекста восприятия защиты на разных уровнях инфраструктуры (хосты, сеть, приложения) и средств выявления и реагирования (либо продукт для выявления, либо для реагирования) к восприятию объёмному.

Итак, какие характеристики можно считать отличительными чертами XDR уже сейчас, исходя из истории появления.

• Объединение функциональных возможностей разных продуктов, отсюда — более широкий взгляд на инфраструктуру, учитывающий разноплановые факторы.
• Применение сценариев работы с одними решениями к другим. Например, классический сценарий применения фидов в SIEM предполагал только обогащение событий дополнительной информацией, которая позволяет приоритизировать инцидент и добавить контекст. А в случае с XDR появление определённого индикатора компрометации в событиях межсетевого экрана может стать стартом реагирования на EDR на основании этого индикатора. То есть для SIEM внутри XDRIoC — уже не просто дополнительная информация, а параметр реагирования, как для EDR.
• Приспособленность к работе с большими объёмами данных: архитектура предполагает использование актуальных технологий, пользовательский интерфейс учитывает разноплановость задач участников команды информационной безопасности.
• Возможность гибко менять архитектуру и функциональные возможности платформы в условиях непрерывного изменения инфраструктуры.

Те решения XDR, которые есть на рынке сейчас, стремятся развиваться активно и динамично, чтобы успешно отвечать описанному запросу. Мы в «Лаборатории Касперского» стремимся к тому, чтобы наш XDR принёс пользу заказчикам и не стал дополнительной нагрузкой на людей и инфраструктуру. Поэтому изначально Kaspersky Symphony XDR задумывался и проектировался как гибкая, легко масштабируемая платформа, объединяющая возможности наших лучших экспертных решений — как проверенных годами, так и созданных недавно — в целостную эффективную экосистему.

ПРОГНОЗЫ И ПЕРСПЕКТИВЫ

Если посмотреть на тренды развития киберпреступности, можно заметить, что развитие происходит как по классическому пути, так и по ряду более неожиданных.

Например, тренд на унификацию и конвейеризацию атак. Этот тренд характерен сейчас для ИT в целом, а не только для подхода злоумышленников: все стараются снижать стоимость работ, и бизнес киберпреступников тут не исключение. Многие инструменты можно взять напрокат. Действительно, зачем делать что-то специализированное и заточенное под конкретную уязвимость, если проще и быстрее воспользоваться готовым инструментом и не тратить деньги на разработку. К тому же, поскольку появляется возможность арендовать множество разноплановых инструментов, злоумышленник теперь может брать не качеством, а количеством векторов атак. Это приводит к тому, что для того, чтобы увидеть картину целиком, нужно будет получать и анализировать информацию с большего количества информационных систем и средств защиты информации.

Ещё одна «модная тенденция» — шантаж в медиа, публикация информации об успешных взломах в открытом доступе и требование выкупа за неразглашение. При этом растёт и количество фейковых новостей о взломах и утечках. И становится очень важно видеть реальную картину происходящего, чтобы реагировать в соответствии с ситуацией. В контексте работы SOC это значит в том числе создание максимальной прозрачности и видимости инфраструктуры и наличие хорошо организованного и автоматизированного процесса реагирования на инцидент, который позволит быстро определить правдивость заявлений преступников и серьёзность угрозы.

И конечно, нельзя забывать о классическом тренде, существовавшем всегда: усложнение атаки разработка новых кастомных инструментов киберпреступников. Тут всё давно известно: сложную атаку легко упустить, и чем она сложнее, тем выше вероятность, что так и произойдёт.

Всё это очевидно приведёт к увеличению нагрузки на операторов и аналитиков SOC, которым придётся обрабатывать огромные объёмы инцидентов от разнообразных средств защиты, анализировать их с использованием большого количества дополнительных источников контекста и реагировать, используя разрозненные инструменты. При этом сконцентрироваться на важном будет всё сложнее. Причём если с такого рода проблемой может помочь справиться автоматизация некоторых процессов выявления и реагирования на инциденты, то с усложнением атак требуется и усиление функционала средств защиты, то есть их интенсивное технологическое развитие. Что часто ведёт к повышению требований к компетенциям персонала, а это — одна из главных проблем на современном рынке ИБ.

КАК ПРОГНОЗЫ ВЛИЯЮТ НА ТРЕБОВАНИЯ К XDR И ДОСТАТОЧНО ЛИ ТОГО, ЧТО МЫ ИМЕЕМ СЕЙЧАС

Несмотря на всплески новых трендов, запрос рынка многолетней давности остаётся актуальным: по-прежнему требуется и интеграция и тесное взаимодействие разных классов решений для увеличения прозрачности, и умение работать со значительным объёмом данных, и внутренняя архитектура решений, учитывающая динамичность конфигурации инфраструктуры и векторов атак.

Но, разумеется, меняется масштаб и скорость изменений, меняется набор инструментов, которые доступны теперь SOC и входят в набор must-have.

Получается, что XDR как классу решений до старости ещё далеко и есть место для развития и в текущем его «формфакторе»: рост экспертизы входящих в состав продуктов, непрерывный анализ и обновление стека технологий, на которых строится платформа, усиление возможностей автоматизации процессов расследования и реагирования, ну и непрерывное балансирование между обогащением пользовательского интерфейса и его упрощением.