Бесплатно Экспресс-аудит сайта:

27.01.2022

Как оценить и развернуть XDR платформу

Платформы обнаружения и реагирования ИТ-безопасности имеют различные формы: обнаружение и реагирование в конечных точках, обнаружение и реагирование в сети, а также обнаружение угроз и реагирование на них. Расширенное обнаружение и реагирование — новый участник данной категории, объединяющий множество функций обнаружения угроз в единую платформу кибербезопасности.

Прежде чем использовать последние модные ИБ-словечки, давайте разберемся, что такое XDR и на какие функции следует обращать внимание при оценке XDR продукта.

Что такое XDR?

XDR — это платформа мониторинга безопасности на основе SaaS , которая собирает и анализирует соответствующие данные о рабочей нагрузке конечных точек, серверов, сетей и облачных вычислений для выявления сложных угроз. Расширение возможностей обнаружения и реагирования в области конечных точек позволяет надеяться, что платформа XDR собирает больше данных об угрозах, чем ее предшественники EDR, и может предоставить более полную картину угроз.

XDR системы выполняют следующие задачи:

Сбор данных телеметрии угроз как минимум из двух, а обычно и более источников. Сюда входят данные, полученные с конечных точек, серверов, сетевых брандмауэров и сторонних служб глобального обнаружения угроз.

Анализ данных с использованием механизмов машинного обучения, чтобы разработать основу для «нормального» поведения. После завершения процесса данные непрерывно отслеживаются и анализируются для выявления аномалий в поведении пользователей, устройств и служб, которые могут указывать на угрозу кибербезопасности.

Осуществление действий при обнаружении аномалии. Используя искусственный интеллект, XDR платформа может помочь в следующем:

  • сформулировать влияние события безопасности на всю корпоративную сеть;
  • рассчитать конкретный уровень угрозы;
  • провести анализ первопричин с помощью ИИ;
  • предоставить рекомендации по устранению угроз.

Различия, которые следует учитывать при оценке XDR платформ

Хотя имеющиеся в продаже XDR платформы используют схожие архитектуры и процессы , существуют определенные различия, о которых следует знать, прежде чем принимать решение о покупке. Во-первых, не все продукты XDR собирают данные с одних и тех же устройств или компонентов на одном уровне. Например, одна XDR платформа может в большей степени полагаться на данные обнаружения конечных точек , в то время как другая может вкладывать больше средств в сбор данных по мере их прохождения по сети.

Выбор того, какой продукт XDR лучше всего соответствует потребностям организации, зависит от нескольких факторов, в том числе следующих:

  • степень географического распределения пользователей;
  • где находятся приложения, данные и серверы, например локально или в облаке;
  • передаются ли конфиденциальные корпоративные данные по ненадежным сетям, таким как Интернет.
  • также необходимо учитывать, кто в поставщике XDR занимается разведкой и поиском угроз, используя внешние данные об угрозах, и достаточно ли они активны. Большинство XDR платформ корпоративного уровня используют собственные группы по обнаружению угроз, чтобы оперативно выявлять новые или возникающие угроз. Например, Cisco полагается на свою Talos Intelligence Group для выявления новых глобальных угроз, а VMware использует свой Carbon Black Threat Analysis Unit.
  • информация об угрозах, собранная этими группами, может использоваться для автоматического создания политик безопасности, которые затем передаются в инструменты безопасности клиентов. Способность данных команд быстро выявлять угрозы и создавать политику является критическим фактором для эксплойтов нулевого дня .
  • возможности искусственного интеллекта, интегрированные в платформу XDR, также могут значительно различаться в зависимости от продукта. Некоторые платформы XDR используют ИИ для выявления угроз и общего сокращения ложных срабатываний. Другие используют ИИ для анализа первопричин и информации об устранении, чтобы сократить время, затрачиваемое на расследование, сдерживание и устранение существующей угрозы.

Советы по развертыванию и эксплуатации XDR платформы

При планировании XDR развертывания следует учесть ряд моментов. Например, важно определить, сколько данных журнала и телеметрии будет собрано и как долго данные должны храниться. Это поможет определить объем дискового пространства, необходимого платформе XDR, а также пропускную способность, которая будет потребляться через локальные сети, глобальные сети и облачные соединения для отправки данных агенту сбора данных XDR.

В XDR проектах следует использовать поэтапный подход к развертыванию. Вместо развертывания сервисов сбора данных XDR на конечных точках, серверах и облаках начните с одной из этих категорий. Изучите все тонкости платформы перед развертыванием на других устройствах и типах сетей. Тогда вы сможете гарантировать, что интеграция случайно не повлияет на бизнес-операции.

XDR платформе требуется достаточно времени, чтобы определить базовое поведение потока данных для точного обнаружения аномалий безопасности. Сокращение данного базового времени часто приводит к множеству ложноположительных и ошибочно диагностированных событий. Наберитесь терпения!