XDR vs SIEM, SOAR. Перемешать, но не взбалтывать
Привет, Хабр! Меня зовут Сергей Куценко, я являюсь экспертом направления информационной безопасности в К2Тех. Рынок решений информационной безопасности динамично развивается. В последнее время все больше на слуху концепции EDR (Endpoint Detection and Response) и XDR (Extended Detection and Response), и, несмотря на то, что в интернете достаточно много материалов по данной теме, нет четкого ответа на вопросы: что это такое, зачем это нужно, в чем отличие от SIEM или SOAR?
В этой статье мы попробуем в этом разобраться.
Нужно ли защищаться?
Прошедшие годы, а особенно 2022, получились достаточно насыщенным в плане количества кибератак и активности различных хакерских группировок. Все эти атаки можно разделить на 2 больших класса, взяв в качестве признака возможные жертвы.
Первый класс — ненаправленные атаки, или атаки, которые действуют на широкий круг пользователей. Как правило — это обычные вирусы, использующие распространенные уязвимости в программном обеспечении, которые, попав в слабозащищенную среду, воздействуют на нее. Цели подобных атак очень разнообразны: это может быть мошенничество, распространение ботнета, либо же эксперимент какого-нибудь студента. В силу того, что вирусы, распространяемые в сети, действуют на широкий круг потенциальных жертв и давно известны, уже сложилась достаточно успешная практика борьбы с подобными атаками — блокировка известных источников распространения вредоносного программного обеспечения и применение традиционных средств защиты.
Второй класс — направленные атаки. В них злоумышленник точно знает, кто будет его жертвой, а потому разрабатывает уникальные вариации вредоносного ПО, использует уязвимости нулевого дня, строит кибератаку с множеством этапов (разведка, проникновение, распространение и достижение целей). Обнаружить и обезвредить подобные нападения с помощью средств, основанных на сигнатурах, уже невозможно. Атаки такого типа в среднем длятся от нескольких месяцев, до нескольких лет. Согласно исследованию Лаборатории Касперского 23% считают, что уже становились жертвой целевой атаки.
Если посмотреть на возможный ущерб от направленных атак, то, по нашим данным, он может составлять от 8 млн рублей для среднего и малого бизнеса и от 79 млн. рублей — для крупного. Нужно заметить, что это лишь оценочные значения возможного ущерба, так как реальный ущерб в материальном эквиваленте зачастую точно ценить невозможно.
Концепция XDR
Для начала введем несколько определений:
EDR (Endpoint Detection and Response) — класс решений, направленных на обнаружение и изучение вредоносной активности на конечных точках на более глубоком уровне по сравнению с обычными антивирусами, а также на предоставление функционала по реагированию на угрозы
XDR (Extended Detection and Response) — это расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. XDR нацелен на защиту не только конечных станций, но также сети, веб-трафика и электронной почты. Поэтому XDR — это не какое-то конкретное решение, это именно концепция.
Зачастую в основу XDR ложится стратегия построения единой экосистемы на базе одного вендора. Но это не значит, что к ней нельзя подключить и сторонние решения по информационной безопасности.
Рисунок ниже демонстрирует полноценную концепцию XDR.
Как видим, в нее могут быть включены: портал кибер-разведки (Threat Intelligence), сторонние ИБ-решения, системы динамического анализа (Sandbox), защита облаков и др. На рисунке EDR и XDR объединены и показаны в центре схемы. Это сделано намеренно, потому что EDR является главной и неотъемлемой частью XDR.
Зачем нужен XDR? Достаточно ли SIEM и SOAR?
Сейчас, когда мы немного разобрались со структурой XDR, предлагаю обсудить, как на текущий момент выглядит информационная безопасность в компаниях. Приведу пример.
У компании есть агенты антивирусной защиты на конечных станциях, есть свой прокси сервер, антиспам. Получается достаточно классический набор СЗИ. Данные СЗИ фактически никаким образом между собой не связаны, и вполне логичным будет поставить дополнительно систему управления событиями информационной безопасности (SIEM). Теперь все события объединены в одном месте, но никакой интеграции между этими системами все равно нет, и автоматизации, как вы понимаете — тоже. Конечно, для реагирования на инциденты ИБ можно внедрить еще одну дополнительную систему — SOAR. И вот мы уже получили достаточно большой и сложный в эксплуатации комплекс СЗИ по информационной безопасности.
Может ли XDR как-то помочь упростить процесс расследования и реагирования на инциденты? — Да, может.
В случае использования XDR, при обнаружении угрозы в любом из источников трафика, появляется возможность в полуавтоматическом режиме (без написания специальных сценариев реагирования — плейбуков) осуществлять блокирование данной угрозы, в том числе и с помощью агентов на рабочих станциях пользователей, что невозможно в классической модели, описанной выше. Также, в отличие от SOAR, в XDR для реагирования уже подготовлены специальные наборы команд, которые можно запускать прямо из веб-интерфейса, например, изоляция станций, удаление файлов и др.
Выше я привел лишь один из примеров, показывающих актуальность XDR. Если попробовать достаточно обобщенно выделить все ключевые преимущества, которые получает компания при построении концепции XDR, то получится следующий результат:
Контроль всех наиболее популярных точек входа злоумышленников в IT-инфраструктуру
Обнаружение цепочек атак
Централизованная обработка событий ИБ со всех компонентов XDR
Расширенный анализ событий с конечных устройств, за счет чего удается обнаруживать скрытые от обычных антивирусов угрозы
Наличие инструментов по оперативному реагированию на угрозы (изоляция станций, удаление файлов, поиск индикаторов компрометации, завершение процессов, запуск скриптов, получение дампов памяти и др.)
Сокращение времени на расследование инцидентов
Динамические методы анализа (Sandbox) — поиск угроз нулевого дня, на всех уровнях инфраструктуры
Обогащение данных за счет интеграции с платформой Threat Intelligance
Интеграция со сторонними системами защиты
Отличие XDR от SIEM/SOAR
Сейчас вполне может возникнуть вопрос: если XDR такой функциональный, то зачем тогда нужны SIEM и SOAR? Сразу кратко хочу отметить их ключевое отличие:
SIEM\SOAR работают только с теми данными, которые мы им подаем: логи средств защиты информации (СЗИ), события из прикладного ПО и др.
XDR производит глубокий анализ данных на всех уровнях IT-инфраструктуры
Например, для SIEM в большинстве случаев остается загадкой, что же происходило на конечной станции, так как в SIEM поступают события с пограничных систем защиты, Active Directory и обычных антивирусов, которые, в свою очередь, предоставляют лишь общие сведения об угрозе. На основе всей этой информации бывает достаточно сложно провести полноценное расследование, поэтому зачастую приходится сталкиваться со многими гипотезами и допущениями. Отсюда сильно растягиваются по времени процессы расследования и реагирования на угрозы. При этом аналитикам нужно иметь достаточно высокую квалификацию, чтоб во всем этом разобраться.
XDR же позволяет собрать максимум информации с различных каналов (конечные точки, сетевые устройства, почта и др.) и обогатить SIEM для более полной картины.
Ключевое отличие XDR от SIEM наглядно можно продемонстрировать на примере зоны контроля в аэропорте. У нас есть два средства регистрации событий:
Камера на входе и, например, металлодетектор, как и SIEM, выполняют поверхностный анализ
Ленточный рентген уже производит глубокий анализ содержимого
Таким образом, можно сделать уверенное заключение, что данные классы решений ни в коем случае не конкурируют, а, наоборот, дополняют и усиливают друг друга. И для XDR наличие SIEM-системы позволяет значительно ускорить процесс расследования инцидентов и снизить процент ложных срабатываний.
Новые вершины технологий ждут тебя в Telegram-канале К2Тех
