Продукты класса XDR (EXtended Detection and Response, расширенное обнаружение и реагирование на киберинциденты) — совершенно новое ответвление систем информационной безопасности, возникшее в 2018 году. Являясь продолжением развития продуктов класса EDR (Endpoint Detection and Response, обнаружение и реагирование на инциденты информационной безопасности на конечных точках сети), они предлагают больше возможностей для анализа и обнаружения сетевых атак на всех уровнях, а не только на конечных точках. Рассмотрим, какая ситуация сейчас складывается на мировом и отечественном рынках этих продуктов.
- Введение
- Системы XDR
- Мировой рынок XDR
- Российский рынок XDR
- Обзор систем XDR
- 5.1. Cisco SecureX
- 5.2. Cortex XDR
- 5.3. Cynet 360
- 5.4. Fidelis Elevate
- 5.5. FortiXDR
- 5.6. Kaspersky Symphony
- 5.7. Microsoft Defender
- 5.8. MVISION XDR
- 5.9. PT XDR
- 5.10. SentinelOne Singularity XDR
- 5.11. Sophos XDR
- 5.12. Symantec Endpoint Security Complete
- 5.13. Trend Micro Vision One
- Выводы
Введение
Несмотря на то что XDR-системы являются продуктами нового поколения, они не появились «с нуля», а стали логическим продолжением систем класса EDR. Ранее мы уже делали обзор рынка EDR. Также совсем недавно состоялся эфир онлайн-конференции AM Live на тему «Системы расширенного обнаружения и устранения угроз (XDR)» на нашем YouTube-канале.
EDR эффективны на конечных точках, но не обладают функциональными возможностями для обнаружения угроз на других уровнях инфраструктуры, например сетевом, и это серьёзно ограничивает их функциональность. Класс XDR предложил принципиально новую модель защиты, которая включает в себя контроль не только конечных точек, но и событий на других участках с помощью собственных агентов и сетевых сенсоров, а также межсетевых экранов, шлюзов безопасности, IDS / IPS, NTA, почтовых и DLP-систем, IDM / IAM, SIEM. Вся эта информация анализируется в едином комплексе, и к тому же можно настроить реагирование на возможную атаку на любом из уровней.
Также XDR позволяет проводить более глубокое расследование инцидентов начиная с «нулевого действия», т. е. первого шага злоумышленника, когда он попытался проникнуть в инфраструктуру. Это даёт возможность практически полностью контролировать все возможные каналы реализации угроз в инфраструктуре предприятия.
Поскольку направление XDR появилось на рынке не так давно, только ограниченное количество вендоров смогло разработать свой продукт и выйти с ним на рынок. В некоторых случаях вендоры предлагают несколько своих продуктов в качестве единой платформы XDR.
Системы XDR
Системы XDR объединяют в себе несколько инструментов, формируя единую платформу обнаружения инцидентов в безопасности и реагирования на них. XDR позволяет комплексно контролировать возможные атаки на инфраструктуру предприятия посредством сбора исторических и актуальных данных на следующих уровнях:
- конечные точки доступа,
- сетевой уровень (шлюзы безопасности, FW, IPS, WAF, сетевые сенсоры),
- песочницы,
- сканеры уязвимостей,
- облачные среды и виртуализация,
- почтовый трафик,
- системы управления доступом,
- DLP-системы и др.
Информация, собираемая на этих уровнях, проходит далее через несколько этапов. Сначала происходит её нормализация по заранее заданным параметрам, затем материал поступает в так называемое «озеро данных» (Data Lake). На следующем этапе осуществляется корреляция данных, а затем происходит реагирование и, при необходимости, расследование. Общая схема работы XDR схожа с работой SIEM. Основным отличием является объединение множества событий, получаемых из разных источников, в общую историю атаки.
Таким образом можно легко увидеть все этапы атаки и узнать, каким было самое первое действие, с которого началось проникновение в сеть предприятия. Сделать это можно через единую консоль, без необходимости использования различных, чаще всего не связанных между собой систем администрирования. Процессы сбора и анализа событий построены на автоматических действиях системы и машинном обучении, что позволяет сократить количество администраторов безопасности, которые отвечают за реагирование и расследование инцидентов.
На рисунке 1 представлена схема работы XDR, какой её видит Gartner.
Рисунок 1. Схема работы XDR
Мировой рынок XDR
В 2020 году агентство Gartner опубликовало статью под названием «Gartner Top 9 Security and Risk Trends for 2020», в которой назвало применение XDR одним из 9 трендов информационной безопасности.
Gartner выделяет три ключевых требования к системе XDR:
- Централизованный сбор нормализованных данных, но в основном с элементов системы XDR.
- Корреляция событий и формирование уведомлений («алёртов») для администраторов безопасности в случае выявления инцидентов.
- Наличие системы централизованного реагирования на инциденты, которая объединяет в себе отдельные продукты по безопасности.
XDR может обеспечивать безопасность центров обработки данных, используя такие инструменты, как облачные платформы защиты рабочей нагрузки, продукты для управления облачными системами безопасности, Web Application Firewall.
Также можно сказать, что ещё одной важной задачей XDR будет являться повышение производительности центра мониторинга и управления безопасностью (SOC), равно как и его точности в обнаружении угроз. Концепция предполагает интеграцию систем и продуктов, которые могут определить проблему и информировать о реагировании на инциденты в общих цепочках атак. Объединение средств безопасности, которые обычно не участвуют в работе с одной и той же цепочкой атак, будет иметь меньшую ценность.
Что касается перспектив для данной концепции, то Gartner в статье «Hype Cycle for Security Operations, 2020» предположил, что XDR в данный момент находится в первой фазе цикла, на стадии технологического прорыва, и достигнет зрелости, т. е. выйдет на «плато производительности», примерно через 5–10 лет. По мнению аналитиков, данный класс продуктов в 2020 году имел невысокий уровень проникновения на рынок информационной безопасности (доля рынка — менее 1 %).
Рисунок 2. Кривая «Hype Cycle for Security Operations, 2020»
В настоящее время системы XDR в основном предлагают те поставщики решений по безопасности, у которых есть портфель продуктов для защиты инфраструктуры, объединённый их собственной платформой управления. Также в эту группу входят вендоры, которые в настоящий момент имеют продукты класса EDR и сетевой защиты. Ещё одной особенностью XDR является моновендорность: система показывает наиболее эффективную работу при взаимодействии продуктов одного вендора.
Концепция XDR отвечает многим потребностям в области обнаружения угроз и реагирования на них, а также выглядит как современный «SOC в коробке», предназначенный для интеграции элементов управления, нормализации телеметрии, расширенной аналитики и автоматизации ответов. Тем не менее, по мнению экспертов, существуют три большие проблемы, которые могут помешать развитию XDR.
Первая проблема — это сложности при развёртывании. Сегодняшняя инфраструктура технологий безопасности представляет собой набор разнообразных точечных инструментов. Многие организации используют несколько программных продуктов от разных поставщиков для обеспечения безопасности конечных точек, защиты сети, контроля утечек и т. д. Поставщикам XDR придётся убедить сотрудников отделов информационной безопасности отказаться от набора «разношёрстных» инструментов в пользу более долгосрочного видения технологий кибербезопасности.
Вторая проблема — возможное противостояние с SOC. XDR предполагает, что организации либо не имеют существующих компонентов SOC (например, SIEM, SOAR, платформы анализа угроз и т. д.), либо могут их заменить. Однако это будет проблемой для крупных предприятий, которые уже потратили большие средства на создание центра мониторинга и на обучение сотрудников. Вместо того чтобы конкурировать с SOC, более грамотным решением видится взаимодействие с ним.
Третья проблема — это конкуренция с сервисами MDR / MSSP (Managed Detection and Response / Managed Security Service Provider). Поскольку обнаружение угроз и реагирование на них становятся всё сложнее, многие организации активно пользуются услугами внешних поставщиков, которые готовы полностью взять под контроль процесс обнаружения угроз и реагирования. Скорее всего, поставщики XDR будут также оказывать услуги с использованием собственных продуктов или взаимодействовать с действующими сервисами MDR / MSSP.
Аналитики Trend Micro считают, что XDR-системы обладают рядом преимуществ. В частности это — многовекторный контроль, который охватывает электронную почту, конечные точки, серверы, облачные рабочие нагрузки и сети. Он позволяет обеспечить более эффективный поиск угроз, а также реагирование на них. Ещё одной особенностью является широкий спектр аналитических функций, сопоставляющих данные в клиентской среде и глобальную аналитику по угрозам; это даёт возможность предоставлять меньше предупреждений, но с более высокой степенью достоверности. Единая консоль для управления и проведения расследований позволяет упростить задачу по представлению атаки в виде цепочки событий на разных уровнях безопасности с возможностью принимать ответные меры из этой же консоли.
Gartner в статье «Innovation Insight for Extended Detection and Response» предполагала, что потенциальными поставщиками продуктов XDR станут следующие вендоры: Cisco, Fortinet, Fidelis Cybersecurity, McAfee, Microsoft, Palo Alto Networks, Symantec, Trend Micro, FireEye, Rapid7 и Sophos. Эти производители уже имеют собственное понимание взаимосвязей в исходных данных и могут предоставлять частные API-интерфейсы для обеспечения более эффективной автоматизации действий, чем попытки интеграции продуктов от нескольких поставщиков. Большая привлекательность этих продуктов XDR будет заключаться в быстрой окупаемости благодаря встроенной интеграции между компонентами и предварительно настроенным механизмам обнаружения в элементах системы.
В данной статье будут рассмотрены следующие продукты мирового рынка XDR:
- SecureX (Cisco).
- Cortex XDR (Palo Alto Networks).
- Cynet 360 (Cynet).
- Fidelis Elevate (Fidelis).
- FortiXDR (Fortinet).
- Microsoft Defender (Microsoft).
- MVISION XDR (McAfee).
- SentinelOne Singularity XDR (SentinelOne).
- Sophos XDR (Sophos).
- Symantec Endpoint Security Complete (Symantec)
- Trend Micro Vision One (Trend Micro).
Российский рынок XDR
По мнению представителей компании «Тайгер Оптикс», на сегодняшний день XDR является частью EPP-рынка. Объём XDR-рынка в России, по оценке аналитиков, составляет до 5 млн долларов США в год. Основные игроки — это Palo Alto Networks, Trend Micro, Kaspersky, а также SentinelOne, чью XDR-систему приобрели (на общую сумму порядка 800 тыс. долларов) несколько местных заказчиков. Интересно, что заказчики не всегда осознанно ищут и выбирают именно XDR-решение, во множестве случаев есть потребность в решении для защиты хостов, а непосредственно XDR-возможности являются приятным дополнением.
Основным препятствием для развития данного класса систем в нашей стране является отсутствие компетенций в сетевой безопасности, встроенных механизмов для нормализации и агрегации событий, а также компонентов для проведения детального расследования инцидентов, в том числе Data Lake, у разработчиков средств защиты конечных точек. Тем не менее в список попали два российских продукта — Kaspersky Symphony и PT XDR, которые поступят в продажу в 2022 году.
В связи с этим, в настоящий момент на российском рынке представлены в основном зарубежные продукты XDR:
- SecureX (Cisco).
- Cortex XDR (Palo Alto Networks).
- FortiXDR (Fortinet).
- Kaspersky Symphony («Лаборатория Касперского»).
- Microsoft Defender (Microsoft).
- McAfee MVISION XDR (McAfee).
- PT XDR (Positive Technologies).
- SentinelOne Singularity XDR (SentinelOne).
- Sophos XDR (Sophos).
- Symantec Endpoint Security Complete (Symantec)
- Trend Micro Vision One (Trend Micro).
Обзор систем XDR
Cisco SecureX
SecureX — это облачная платформа для интеграции решений Cisco Secure с инфраструктурой заказчика. Данная система позволяет упростить процесс управления средствами безопасности, централизовать все средства контроля и заметно повысить эксплуатационную эффективность за счёт автоматизации рабочих процессов. SecureX организует процесс оперативной нейтрализации угроз в сети, а также сокращает число задач выполняемых вручную.
Система XDR, которая является частью SecureX, собирает и сопоставляет данные на уровне электронной почты, конечных устройств, серверов, облачных рабочих нагрузок, сетей, веб-прокси, межсетевых экранов нового поколения, облачных систем обеспечения информационной безопасности (SASE) и прочих источников. Эти данные используются для мониторинга, анализа и обнаружения сложных угроз (Threat Hunting), а также для обеспечения возможности оперативного и автоматизированного реагирования (Orchestration). Также SecureX предлагает широкофункциональный аналитический модуль.
Рисунок 3. Консоль администрирования SecureX
SecureX поддерживает различные продукты как Cisco, так и других производителей. На уровне конечных точек могут применяться Cisco Secure Endpoint, Cisco Secure Email, Cisco Secure Web Appliance. На уровне сетевого взаимодействия используются Cisco Secure Firewall и Cisco Secure Network Analytics. Для облачных сред можно применять Cisco Umbrella.
Для анализа потенциально вредоносных файлов у разработчика есть готовый продукт Cisco Secure Malware Analytics. Возможности архитектуры данной системы позволяют легко интегрировать и другие продукты, список которых непрерывно растёт. Например, в нём уже есть разработки Google, IBM, Microsoft, Gigamon, Radware, ServiceNow, VirusTotal, Qualys.
Преимущества Cisco SecureX:
- Поддержка облачных систем обеспечения информационной безопасности (SASE).
- Наличие функции обнаружения сложных угроз (Threat Hunting).
- Возможность взаимодействия с другими продуктами помимо разработок Cisco.
Более подробно с продуктом можно ознакомиться здесь.
Cortex XDR
Cortex XDR от Palo Alto Networks — это, по заявлению производителя, первая в мире система, в которую для предотвращения сложных атак изначально интегрированы данные о сети, конечных устройствах и облаках. В ней используются поведенческая аналитика (Behavioral IOC) и профилирование, выявляются неизвестные и труднообнаруживаемые угрозы для сети, а также доступна интеграция с песочницей для динамического и неопосредованного (bare-metal) анализа. Машинное обучение и модели искусственного интеллекта, работающие локально, определяют угрозы из любых источников, включая управляемые и неуправляемые устройства, что позволяет оперативно проводить расследования. Ряд специализированных технологий предотвращает эксплуатацию уязвимостей на конечных точках, а фокусные правила поведенческого анализа защищают от программ-шифровальщиков.
Cortex XDR приоритизирует угрозы и помогает в реагировании на инциденты, предоставляя полную картину по каждой угрозе и автоматически определяя её основную причину, а также обеспечивая широкий спектр действий в отношении станции подвергшейся атаке. Система объединяет различные типы данных и упрощает анализ. Тесная интеграция XDR с системами безопасности конечных точек, межсетевыми экранами нового поколения (не только Palo Alto, но и сторонними), а также различными платформами, например Threat Intelligence, автоматически выстраивает покрытие атаками по MITRE, позволяет применять полученные в результате расследования предыдущих инцидентов данные для выявления идентичных атак в будущем, удобна для Threat Hunting.
Рисунок 4. Цепочка запуска процессов в консоли администрирования Cortex XDR
Приложение XDR-agent, входящее в состав Cortex XDR, предназначено для защиты конечных устройств и обеспечивает комплексный подход ко предотвращению атак вредоносных программ и средств эксплуатации уязвимостей. Агент также позволяет контролировать устройство и его USB-подключения, например блокировать заражение с веб-камеры.
Облачная система Cortex XDR позволяет быстро организовать развёртывание системы защиты информации, устраняя потребность в установке новых локальных служб сбора данных и средств контроля. В качестве последних используются существующие продукты Palo Alto Networks. Для сетей с ограничениями по доступу к интернету предусмотрено использование специального локального прокси-брокера.
Преимущества Cortex XDR:
- Наличие модуля поведенческой аналитики Behavioral IOC.
- Использование машинного обучения и модели искусственного интеллекта.
- Возможность контроля USB-подключений.
Чтобы получить больше информации о данной системе, следует перейти на эту страницу.
Cynet 360
XDR-платформа Cynet обеспечивает расширенное предотвращение и обнаружение угроз на конечных точках, в сети и при работе пользователей, а также полностью автоматизированное реагирование на эти инциденты. Cynet 360 дополнена сервисом MDR, работающим в режиме 24х7.
Продукт представляет собой целостную систему, объединяющую несколько точек контроля и выявления атак для координации действий по предотвращению или обнаружению угроз, а также реагированию на них через единую консоль администрирования.
Рисунок 5. Консоль администрирования Cynet 360
Cynet 360 включает в себя ряд механизмов безопасности, таких как средство антивирусной защиты нового поколения (NGAV), сетевой анализатор трафика (NTA), средство обнаружения и реагирования в конечных точках (EDR), система поведенческого анализа пользователей и сущностей (UEBA). Платформа также использует технологию обмана и ловушек (Deception), которая применяется для направления киберпреступников по ложному следу для выявления их дальнейших действий, чтобы успеть выработать стратегию защиты.
Централизация информации от нескольких средств обнаружения событий позволяет Cynet объединять предупреждения и данные в инциденты, сопоставляя сведения изо множества источников для обнаружения угроз. Платформа также может определять, являются ли эти события полноценным инцидентом или ложными срабатываниями.
Преимущества Cynet 360:
- Наличие единой консоли администрирования.
- Использование технологии Deception (обмана злоумышленника и расстановки ловушек).
- Наличие системы поведенческого анализа пользователей и сущностей (UEBA).
Больше информации о Cynet 360 можно получить здесь.
Fidelis Elevate
Fidelis Elevate включает в себя защиту сети и конечных точек, обеспечивает целостную видимость для всей сети, системы электронной почты, веб- и облачного трафика, активности конечных точек и корпоративных устройств интернета вещей. Система может выполнять анализ сетевого и облачного трафика по всем портам и протоколам, а также осуществлять классификацию активов и применять технологию ловушек (Deception). Также есть функция проактивного расследования неизвестных угроз.
XDR от Fidelis активно применяет машинное обучение, чтобы оперативнее и эффективнее выявлять сложные угрозы и потенциальные атаки «нулевого дня», обеспечивая быстрое обнаружение и предотвращение сложных угроз и действий злоумышленников, а также реагирование на них. Реализована возможность выявлять действия киберпреступников с помощью баз MITRE ATT&CK, которая, в свою очередь, позволяет предсказать следующие враждебные манипуляции и определить, какие шаги следует сделать для защиты.
Рисунок 6. Консоль управления Fidelis Elevate
Fidelis Elevate автоматически проверяет, сопоставляет и объединяет предупреждения об обнаружении в сети потенциальной атаки для каждой управляемой конечной точки. Это позволяет свести к минимуму ложные срабатывания и реагировать на наиболее важные предупреждения. С помощью Fidelis Elevate специалисты по информационной безопасности способны выявлять сложные угрозы и реагировать на них не только в режиме реального времени, но и ретроспективно.
Также есть возможность воспользоваться сервисом Fidelis MDR, который обеспечивает постоянное (24х7) проактивное обнаружение угроз и реагирование на них. MDR включает в себя услугу исследования и анализа угроз. Его можно развернуть локально или в облаке.
Преимущества Fidelis Elevate:
- Наличие функции классификации активов организации.
- Применение технологии машинного обучения.
- Наличие собственного сервиса Fidelis MDR для проактивного обнаружения угроз и реагирования на них.
Более подробная информация о продукте размещена здесь.
FortiXDR
FortiXDR — это облачная система для обнаружения угроз и реагирования на них с помощью различных продуктов Fortinet, а также полностью автоматический комплекс идентификации, выявления и устранения инцидентов в рамках концепции Security Fabric. Fortinet Security Fabric — это экосистема безопасности, которая связывает все продукты Fortinet воедино; можно сказать, что FortiXDR преобразует Fortinet Security Fabric в систему XDR.
Различные средства безопасности от Fortinet, развёрнутые в организации, передают информацию в централизованный слой агрегации событий. Данный компонент применяет аналитические механизмы для выявления потенциально опасных инцидентов, а также для выполнения дальнейших действий по их расследованию и классификации. FortiXDR позволяет сделать данный процесс полностью автоматизированным, обнаруживая и предотвращая атаки злоумышленников автономно, что снимает часть нагрузки со службы безопасности.
Рисунок 7. Схема работы FortiXDR и Fortinet Security Fabric
FortiXDR обеспечивает контроль всей цифровой инфраструктуры организации, включая защиту на конечных точках (EPP), систему управления идентификацией и доступом (IAM) на уровне конечных точек. На уровне сети обеспечивается защита сетевого оборудования и точек Wi-Fi с помощью межсетевых экранов. Наконец, на облачном уровне выявление угроз осуществляется с помощью брокеров безопасного облачного доступа (CASB), межсетевых экранов для веб-приложений (WAF) и шлюзов безопасности электронной почты (SEG).
Все продукты интегрированы в единую систему и отправляют телеметрию в центральное ядро Security Fabric для выявления потенциальных инцидентов в кибербезопасности. В зависимости от типа первоначального обнаружения автоматизированный процесс расследования может сопровождаться принятием решений на базе механизмов искусственного интеллекта.
Преимущества FortiXDR:
- Возможность использования экосистемы Fortinet Security Fabric.
- Выявление угроз осуществляется с помощью брокеров безопасного облачного доступа (CASB).
- Возможность сбора событий и реагирования на атаки на уровне точек Wi-Fi.
Более подробно с продуктом можно ознакомиться здесь.
Kaspersky Symphony
Платформа Kaspersky Symphony позволяет построить эшелонированную защиту в инфраструктуре заказчика, обеспечивая многоуровневое обнаружение атак, мониторинг, расследование, проактивный поиск угроз и реагирование на сложные инциденты. В основе Symphony лежат технологии Kaspersky для защиты рабочих мест, которые активно развиваются вендором.
Платформа использует ряд инновационных инструментов, которые тесно интегрированы между собой и позволяют обеспечить безопасность не только конечных точек, но и всей инфраструктуры. Они предоставляют комплексную защиту от сложных кибератак.
Рисунок 8. Общая схема концепции Общая схема концепции Kaspersky Symphony
Kaspersky Symphony XDR помогает соответствовать требованиям законодательства, в том числе благодаря встроенному модулю ГосСОПКА. В состав решения входят передовая защита рабочих мест, серверов, виртуальных машин, сетевого и почтового трафика, а также программа повышения осведомлённости сотрудников и возможность легко встраиваться в имеющуюся ИБ-систему.
Платформа помогает службе информационной безопасности отражать атаки на всех уровнях значительно быстрее и с меньшими усилиями благодаря оптимально настроенной автоматизации защитных действий, кросс-продуктовому взаимодействию, достоверной аналитике по киберугрозам и многоуровневому контролю потенциальных точек входа злоумышленников.
Преимущества Kaspersky Symphony:
- Использование технологий Kaspersky для защиты конечных точек.
- Высокая степень автоматизации механизмов реагирования на атаки.
- Наличие встроенного модуля ГосСОПКА.
Более подробная информация о продукте размещена на сайте производителя.
Под конец прошлого года мы провели эфир, посвящённый запуску Kaspersky Symphony, где эксперты «Лаборатории Касперского» рассказали о преимуществах своей XDR-системы. Посмотреть его можно на нашем YouTube-канале.
Microsoft Defender
Microsoft Defender — это система XDR от корпорации «Майкрософт», включающая в себя два продукта: Microsoft 365 Defender и Azure Defender. Azure Defender обеспечивает расширенное обнаружение и реагирование для облачной платформы Azure и гибридных сред, а Microsoft 365 Defender помогает противодействовать атакам в службах Microsoft 365 и автоматически восстанавливает скомпрометированные ресурсы.
Microsoft Defender может быть интегрирован с облачной SIEM-системой Azure Sentinel для более простого и гибкого управления анализом угроз, включая возможность поиска, добавления и отслеживания индикаторов, выполнения поиска в аналитике по угрозам и создания списков наблюдения.
Рисунок 9. Схема взаимодействия Microsoft 365 Defender и Azure Defender
Система Microsoft 365 Defender использует все механизмы безопасности Microsoft 365 для автоматического анализа данных об угрозах во всех доменах и создания полной картины каждой атаки в единой консоли мониторинга. Средства автоматизации Microsoft 365 Defender позволяют обнаруживать и блокировать атаки на всех этапах. Обнаружение, исследование и реагирование осуществляются автоматически на уровне домена с помощью каждого продукта Microsoft 365 для обеспечения безопасности.
Система Azure Defender, интегрированная с центром безопасности Azure, осуществляет защиту рабочих нагрузок и данных в Azure и других облаках, размещённых локально и гибридно. Благодаря возможностям расширенного обнаружения и реагирования реализована возможность противостоять таким угрозам, как атаки методом подбора по протоколу удалённого рабочего стола (RDP) и путём внедрения SQL-кода. Также есть возможность выявлять аномальные попытки доступа к службе хранилища Azure. Azure Defender позволяет проверять образы контейнеров в реестре на наличие уязвимостей, а также обеспечивать защиту экземпляров службы Azure Kubernetes.
Преимущества Microsoft Defender:
- Использование возможностей облачных сервисов Azure.
- Возможность выявлять аномальные попытки доступа ко службе хранилища Azure.
- Возможности обеспечения информационной безопасности промышленного интернета вещей.
Больше сведений о Microsoft Defender можно почерпнуть здесь.
McAfee MVISION XDR
Облачная платформа McAfee MVISION XDR позволяет повысить эффективность работы систем управления информационной безопасностью благодаря уменьшению числа этапов реагирования на инциденты и атаки при централизованном сборе информации и реализации контроля на конечных точках, в сетях и в облаке. McAfee MVISION XDR предлагает расширенное облачное управление угрозами на протяжении всего жизненного цикла атаки, с установлением приоритетов для защиты того, что важно, простой оркестровкой и эффективным ответом.
Продукт автоматически расставляет приоритеты на основе риска и воздействия на организацию, помогая проактивно реагировать только на те угрозы, которые представляют опасность, и запускать корректирующие действия с учётом предписаний, выданных системой в зависимости от контекста. Возможности полной видимости и контроля за счёт XDR в конечных точках, сети и облаке позволяют аналитикам с любым уровнем опыта ускорить сортировку угроз с помощью выбора автоматического расследования или расследования под руководством искусственного интеллекта.
Рисунок 10. Панель управления McAfee MVISION XDR
Система XDR компании McAfee не только позволяет собирать подробные данные в режиме реального времени, но и предоставляет критически важную контекстную информацию, необходимую для понимания реального масштаба возникающих угроз безопасности. Так, инциденты оцениваются на основе сведений о пользователе, классификации данных, устройства и уязвимостей, аналитики по угрозам. Также система выдаёт рекомендации по снижению рисков применительно ко вредоносным кампаниям, позволяет проанализировать уровень защищённости организации.
Открытая облачная платформа безопасности упрощает интеграцию со внешними источниками аналитики, а также с существующими инструментами SOC и источниками аналитических данных через единую площадку (маркетплейс) продуктов по безопасности.
Преимущества MVISION XDR:
- Применение корреляционного анализа информации по нескольким направлениям.
- Возможность использования системы приоритизации угроз, прогнозной оценки и упреждающего реагирования на базе MVISION Insights.
- Интеграция с SOC и источниками аналитических данных.
Более подробная информация о данной платформе размещена здесь.
PT XDR
PT XDR собирает и анализирует данные изо множества систем, позволяет обнаруживать действия злоумышленника и автоматически реагировать на атаки. Платформа базируется на экосистеме продуктов Positive Technologies и использует уникальные экспертные знания об угрозах для выявления атак.
Главная особенность PT XDR заключается в нативной интеграции нескольких продуктов Positive Technologies и используемых в них технологий. Подход к расширенному обнаружению киберугроз и реагированию на них (XDR) в масштабе всей корпоративной инфраструктуры подразумевает получение данных от SIEM-системы, песочницы, EDR, средства защиты веб-приложений, системы управления уязвимостями, средства сетевой защиты, сетевых сенсоров и других.
Рисунок 11. Схема взаимодействий продуктов вендора в рамках работы PT XDR
Настроенное взаимодействие продуктов между собой определяет более высокую скорость реагирования на атаки злоумышленников и, соответственно, более высокую вероятность предотвращения инцидента. Внедрение PT XDR не должно быть трудным для специалистов заказчика и отнимать у них много времени на настройку, потому что продукты Positive Technologies априори адаптированы для работы друг с другом.
Система аккумулирует данные, которые вендор получает от собственного исследовательского центра PT Expert Security Center (знания об актуальных киберугрозах, новейших техниках и тактиках злоумышленников), и применяет их на конечных узлах.
Преимущества PT XDR:
- Возможность взаимодействия с другими продуктами вендора.
- Автоматическое реагирование на угрозы.
- Возможность получения данных от собственного исследовательского центра PT Expert Security Center.
Более подробная информация о данной платформе размещена здесь.
SentinelOne Singularity XDR
Платформа SentinelOne Singularity от разработчика SentinelOne объединяет в себе антивирус нового поколения, инструменты для обнаружения, обработки и предотвращения атак, а также проактивный поиск угроз на основе искусственного интеллекта на конечных точках, в контейнерах, облачных системах и устройствах интернета вещей в рамках единой автономной XDR-платформы. Данная система позволяет обеспечить полную видимость и прозрачность в отношении всего происходящего в сети, отражая каждую атаку на каждом этапе жизненного цикла угрозы.
Основой работы SentinelOne Singularity является запатентованная технология Storyline («сюжетная линия»). Каждый агент SentinelOne строит модель своей конечной точки и её поведения в режиме реального времени. Группе связанных событий в этой модели присваивается идентификатор Storyline ID. Когда выявляется аномальное событие, администратор системы использует Storyline ID, чтобы быстро найти все связанные с ним процессы, файлы, потоки, события и другие данные с помощью одного запроса. Сюжетные линии атаки постоянно обновляются в режиме реального времени по мере поступления новых данных телеметрии, обеспечивая полную картину происходящего. После выявления вредоносной активности аналитик может пометить линию как вредоносную и автоматически откатить все изменения, которые были внесены в систему в её рамках.
Рисунок 12. Консоль управления Singularity XDR
Singularity XDR также обладает следующими дополнительными возможностями: гибкая система аутентификации и авторизации (SSO, MFA), хранение данных с инцидентами и угрозами в течение 365 дней, встроенная киберразведка SentinelOne и индикаторы MITRE ATT&CK, гибко настраиваемые уведомления, интеграция Singularity на основе API с SIEM, песочницами, мессенджерами типа Slack, киберразведкой (Threat Intelligence) и т. д. Встроенный статический и поведенческий анализ на основе искусственного интеллекта предотвращает или обнаруживает широкий спектр атак в режиме реального времени до того, как они нанесут ущерб.
Платформа SentinelOne Singularity по умолчанию работает по SaaS-модели. У потенциальных заказчиков есть выбор между использованием системы в облаке Amazon AWS или локально в виде виртуального устройства. Нужно отметить, что действия по предотвращению, обнаружению и реагированию выполняются локально на агенте, так что возможности SentinelOne не зависят от облака. В то же время следует оговориться, что SentinelOne обеспечивает за счёт своих продуктов только контроль конечных точек без использования сетевых сенсоров. Для контроля сетевого уровня понадобится интеграция со сторонними сетевыми системами.
Преимущества Singularity XDR:
- Наличие запатентованной технологии Storyline.
- Интеграция с SIEM, песочницами, мессенджерами, киберразведкой других вендоров.
- Наличие встроенной киберразведки SentinelOne.
Более полная информация о данной системе находится на сайте вендора.
Sophos XDR
Платформа XDR от Sophos включает в себя несколько продуктов разработчика, ключевыми из которых являются три компонента: система защиты конечных точек Intercept X Endpoint, межсетевые экраны следующего поколения XG Firewall, а также инструмент централизованного администрирования компонентов Sophos Central. Все эти компоненты взаимосвязаны. Также данная платформа имеет центральное хранилище данных, инструмент поиска, адаптивную аналитику, систему управляемых сенсоров, механизм централизованного реагирования и API-интерфейсы для расширения и подключения систем сторонних производителей.
Sophos Central — это унифицированная облачная платформа для управления и предоставления отчётов по работе всех продуктов Sophos. Механизм Synchronized Security обеспечивает двустороннюю связь между продуктами, например средством защиты конечных точек и межсетевым экраном нового поколения. Также данная система обеспечивает полную видимость событий и автоматическое реагирование, что предоставляет дополнительные возможности для аналитики.
Рисунок 13. Панель управления Sophos Central платформы Sophos XDR
Intercept X Endpoint — это представитель нового поколения средств защиты от эксплойтов и программ-вымогателей, а также анализа первопричин инцидентов в информационной безопасности. Продукт от Sophos использует искусственный интеллект и применяет бессигнатурные технологии, чтобы повысить безопасность конечных точек.
XG Firewall обеспечивает полную видимость пользователей из группы риска, нежелательных приложений, подозрительных данных и постоянных угроз. Система содержит полный набор современных технологий защиты и при этом удобна в настройке и обслуживании. Также данный NGFW позволяет строить VPN-туннели для безопасного подключения удалённых сотрудников.
Преимущества Sophos XDR:
- Наличие унифицированной облачной платформы Sophos Central для управления и предоставления отчётов.
- Возможность использования сервиса Sophos Managed Threat Response для круглосуточного реагирования на угрозы.
- Наличие API для подключения систем сторонних производителей.
На этой странице размещена более подробная информация о Sophos XDR.
Symantec Endpoint Security Complete
Symantec Endpoint Security Complete представляет собой многофункциональную платформу, которая посредством единого агента обеспечивает безопасность на уровне конечных точек, а также на гибридном и облачном уровнях. Платформа защищает обычные и мобильные конечные точки на уровне устройства, приложений и сети, использует искусственный интеллект для более эффективного выявления угроз и противодействия им. Проактивная защита конечных точек основана на расширенных элементах управления политиками и на технологиях, которые непрерывно производят сканирование на наличие уязвимостей и ищут ошибки в конфигурациях приложений, Active Directory и устройств.
С помощью машинного обучения выявляются сложные угрозы применительно к различным типам устройств, операционных систем и приложений. Атаки блокируются в режиме реального времени, поэтому конечные точки сохраняют целостность и избегают негативных последствий. Подход Symantec ко предотвращению атак предполагает сдерживание злоумышленников на ранних этапах, до того как у них появится какая-либо возможность закрепиться в сети. Для того чтобы максимально затормозить полномасштабные действия злоумышленников, применяются различные инструменты (ловушки, IPS, межсетевые экраны, настроенные политики безопасности).
Рисунок 14. Консоль администрирования Symantec Endpoint Security Complete
Symantec Endpoint Security Complete сочетает технологии обнаружения и реагирования на конечных точках с богатым опытом аналитиков центра управления безопасностью вендора, предоставляя инструменты необходимые для быстрого устранения инцидентов с конечными точками и минимизации последствий атак, а также проведения расследований инцидентов. Для более оперативного и эффективного управления можно использовать единую облачную систему Integrated Cyber Defense Manager, что позволит сэкономить время на интеграцию и быстрее обрабатывать события по безопасности.
Symantec Endpoint Security Complete работает вместе с другими решениями Symantec и со сторонними продуктами через специальные приложения и API. Конкретные интеграции включают в себя, например, службу веб-безопасности Symantec (Symantec Web Security Service), которая позволяет проверять веб-трафик с конечных точек и перенаправлять его на Symantec CASB; веб-шлюз, который даёт возможность провести интеграцию с инфраструктурой сетевой безопасности; многофакторную аутентификацию, включая смарт-карты PIV / CAC для Symantec Endpoint Security и облачные консоли управления; контентный анализ, который использует динамическую песочницу и дополнительные механизмы для дальнейшего анализа подозрительных файлов, отправленных из Symantec Endpoint Security; средство предотвращения утечек информации Symantec DLP.
Преимущества Symantec Endpoint Security Complete:
- Большой опыт разработки и развития продуктов для защиты конечных точек.
- Возможность использования Symantec CASB.
- Возможность использования единой облачной системы Integrated Cyber Defense Manager.
Больше сведений о данной системе можно получить здесь.
Trend Micro Vision One
Trend Micro Vision One — это XDR-система, состоящая из компонентов EDR и NDR (Network Detection and Response, сетевое обнаружение и реагирование), элементов, которые контролируют электронную почту и облака. Данная платформа содержит в себе механизмы корреляции событий и постоянно обновляющуюся базу моделей и правил обнаружения атак, поддерживает глобальный анализ угроз от Trend Micro Smart Protection Network. Также поддерживается взаимодействие с SIEM- и SOAR-системами.
Trend Micro Vision One сопоставляет угрозы по всей организации, предоставляя глобальную информацию о возможных опасностях. Платформа генерирует только значимые оповещения, приоритизируя их по степени важности и серьёзности, что значительно облегчает работу специалистов по информационной безопасности.
Рисунок 15. Схема взаимодействия компонентов Trend Micro Vision One
Например, компонент Cloud App Security, контролирующий корпоративную почту, информирует о том, что в почтовых ящиках нескольких пользователей обнаружена подозрительная ссылка, а один из получателей перешёл по ней; при этом само подключение выявляется средствами Trend Micro Apex One на компьютере пользователя. Два на первый взгляд несвязанных события — письма в почте, связь с подозрительным доменом — могут оказаться этапами одной атаки.
В состав Trend Micro Vision One входят различные продукты для защиты информации, выступающие в роли сенсоров — высокочувствительных датчиков, фиксирующих все изменения в тех средах, где они установлены. Вся информация от этих датчиков поступает в «озеро данных», а далее с помощью инструментов аналитики выявляются наиболее ценные сведения, помогающие установить причинно-следственную связь между событиями. По итогам применения корреляционных правил произошедшая последовательность событий может оказаться предысторией успешно проведённой атаки. Trend Micro Vision One помимо выявления этих действий злоумышленников позволяет организовать адекватный и оперативный ответ из единой консоли управления.
Преимущества Trend Micro Vision One:
- Поддержка SIEM- и SOAR-систем.
- Наличие единой консоли управления.
- Возможность ведения списков по опасным устройствам и пользователям, несанкционированному использованию облачных приложений.
Более полная информация о данной системе размещена на странице продукта.
Выводы
XDR является весьма перспективным направлением на рынке информационной безопасности. Это обусловлено тем, что данная концепция является логичным продолжением развития систем EDR, но теперь уже с охватом всей инфраструктуры предприятия, а не только конечных точек. XDR позволяет обеспечить контроль сетевого уровня, виртуальных устройств и облаков, в том числе и гибридных.
Также XDR может похвастаться многофункциональным аналитическим ядром для обнаружения инцидентов и реагирования на них, удобными инструментами для расследования атак. Появилось новое понятие «озеро данных», описывающее некое ядро, в котором осуществляются сбор, корреляция и нормализация данных и которое позволяет отсеивать «мусорные» и рутинные действия, оставляя только те события, которые стали этапами инцидента или атаки.
Однако необходимо отметить, что поскольку это — совершенно новый класс систем, на рынке присутствует не так много продуктов подобного рода. Те разработки, которые сейчас доступны заказчикам, продолжают развиваться и обновляться. Для того чтобы продукты XDR были более эффективными, необходима интеграция с другими системами, такими как SIEM, SOAR, DLP, IAM / IDM, UEBA, SASE, CASB и т. д.
Думается, что у XDR большое будущее, поскольку, с одной стороны, этот класс удачно вписывается в общемировую тенденцию объединения и централизации различных средств информационной безопасности для построения более эффективной и функциональной системы защиты информации, позволяющей автоматически реагировать на атаки и расследовать инциденты, а с другой стороны, является логическим продолжением развития продуктов класса EDR. Также весомым достоинством этих систем является попытка снять нагрузку с администраторов безопасности за счёт использования машинного обучения и автоматизации многих процессов.