Внедрение XDR-решений — перспективный тренд в построении и усилении комплексной защиты инфраструктуры. XDR эффективен в обнаружении инцидентов и реагировании на них, применяет алгоритмы машинного обучения, сочетается с рабочими моделями SIEM / SOAR; подходит компаниям, которые не доросли до потребности в SOC. Каковы особенности современных систем расширенного обнаружения и устранения угроз, что ждёт растущий рынок XDR в ближайшие годы? Отвечают ведущие ИБ-эксперты в студии Anti-Malware.ru.
- Введение
- Что такое XDR?
- Ответы на вопросы слушателей
- Технические особенности XDR
- Тренды и прогнозы развития рынка XDR в России
- 5.1. XDR или SIEM / SOAR?
- Выводы
Введение
31 марта 2021 г. в студии Anti-Malware.ru состоялась очередная встреча с ведущими экспертами в области информационной безопасности, которая была посвящена системам расширенного обнаружения и устранения угроз, или XDR (Extended Detection and Response). В последние годы XDR-решения всё чаще внедряются как для выстраивания, так и для усиления комплексной защиты, повышения скорости реагирования на инциденты, проведения более глубоких расследований.
Гости эфира начали дискуссию с определения XDR, постепенно переключаясь на технические особенности и специфику внедрения XDR-решений, привели примеры из личного опыта. Спикеры также сформулировали рекомендации для компаний, которым будет полезно внедрение подобных систем.
В ходе трансляции к обсуждению подключались слушатели, также проводились опросы аудитории, которые отразили текущее состояние понимания темы. В конце беседы специалисты сделали прогнозы по развитию рынка XDR на ближайшие 2–3 года. Предлагаем ознакомиться с ключевыми вопросами встречи.
В студии Anti-Malware.ru собрались:
- Станислав Фесенко, руководитель департамента системных решений Group-IB.
- Игорь Душа, технический директор InfoWatch ARMA.
- Илья Осадчий, директор по развитию компании «Тайгер Оптикс».
- Яна Шевченко, старший менеджер по продуктовому маркетингу «Лаборатории Касперского».
- Денис Батранков, консультант по новым стратегиям безопасности Palo Alto Networks.
Модератором и ведущим прямого эфира выступил Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru.
Что такое XDR?
Обсуждение началось с вопроса, который, как показал анонс темы, интересует очень многих специалистов. Что же такое XDR, «о чём» этот продукт, для чего необходим, какая от XDR в конечном итоге польза? Эксперты ответили, что к появлению XDR привёл многовекторный подход злоумышленников к проникновению в систему в сочетании с атаками на многие элементы инфраструктуры организаций. XDR обладает качественным автодетектированием, основанным на поведенческом анализе на всех уровнях: и на хостовом, и на сетевом, и даже в изолированных средах. Продукт должен гибко встраиваться в защищаемую инфраструктуру и поддерживать качественную эмуляцию.
Были выделены 3 основных компонента XDR:
- мониторинг конечных точек, сети и прочих источников, который записывает всё, что происходит, как «чёрный ящик» на самолёте;
- автодетектирование на конечных точках и в сети, основанное на сигнатурах, которые недоступны EDR;
- ручное детектирование или «хантинг», которые позволят построить более комплексную картину того, как именно действовал злоумышленник.
Игорь Душа:
— Важно не что такое XDR, важно, какую задачу мы решаем. Важно, чтобы мы понимали XDR одинаково. Термин был введён в 2018 году и ещё не устоялся, до сих пор ведутся споры, что понимать под XDR. Для конечного пользователя это — условная замена SIEM, SOAR.
XDR — это категория продуктов или некая концепция?
Эксперты разделились во мнениях в этом вопросе. Илья Осадчий отметил, что большинство в мире воспринимает XDR как продукт. Яна Шевченко считает, что XDR — это кросс-продуктовая концепция, которая потребовалась рынку, заказчикам, потому что у каждого заказчика имеются разные потребности и задачи, которые будут решаться внедрением XDR. Моновендорность создаёт некоторые лимиты, что играет важную роль в понятии XDR. Станислав Фесенко добавил, что продукт попадает во многие категории, потому что ему требуется универсальность.
Игорь Душа:
— Если мы говорим о продукте — это одно, если о сервисе — это другое. XDR как продукт предоставляет решение конечному пользователю и выполняет все вышеперечисленные задачи по защите.
Рисунок 1. Схема компонентов XDR
Сегодня у многих вендоров есть готовые решения, которые объединяют обозначенные на схеме компоненты, поэтому можно сказать, что XDR — это концепция, в рамках которой отдельные вендоры создали «коробочные» продукты.
Подводя промежуточный итог, спикеры пришли к выводу, что для конечного пользователя не так важно, является ли XDR концепцией или продуктом. Одна из причин потребности рынка в XDR-решениях — это недостаток квалифицированных специалистов. Система позволяет автоматизировать и унифицировать многие процессы, оптимизировать мониторинг и метрики, которые значительно облегчают работу.
Эксперты также подтвердили, что в качественном XDR есть поддержка подписки на дополнительные сервисы, например для проведения более глубокого криминалистического анализа (форензики), проактивного поиска угроз (Threat Hunting). Можно также подключать внешних аналитиков.
Если приобрести EDR, NTA и организовать контроль на уровне хостов и сети, в итоге получится XDR? На этот вопрос специалисты ответили отрицательно, потому что, по их мнению, в таком сценарии не будет системы, которая соберёт все данные и что-то с ними сделает, не будет «detection and response». Денис Батранков предложил следующий набор: EDR, NGFW (межсетевой экран следующего поколения) и NTA с поведенческим анализом.
Игорь Душа обратился к коллегам:
— Допустим, у нас есть разные модули, подключённые к SOAR / SIEM. Как это доделать до XDR? Если все модули — от одного вендора, это будет XDR?
После обсуждения эксперты сошлись во мнении, что SOAR / SIEM и XDR — это две параллельные конкурирующие ветви, два подхода, которые преследуют одну и ту же цель. Можно собрать из разных модулей свой SOAR / SIEM, со временем соединить все эти модули и оптимизировать под свои задачи. Или же можно приобрести готовое «коробочное» решение — XDR, которое вендор будет развивать и улучшать.
Подводя итог: базовая концепция XDR — это EDR + NTA + исключение замыкания на моновендорности.
Рисунок 2. Знакомы ли вы с концепцией XDR?
В результате опроса аудитории оказалось, что только 39 % респондентов знакомы с концепцией XDR.
Ответы на вопросы слушателей
В ходе трансляции к обсуждению активно подключалась аудитория; обобщим ответы спикеров на самые интересные вопросы.
С чего начать внедрение XDR, если ресурсов не хватает на все компоненты?
Эксперты предложили начать внедрение с EDR. Практически все решения по безопасности на рынке — это лицензия или подписка на определённый интервал времени. Те средства, которые вкладываются в лицензии, можно вложить и в XDR, что позволит сэкономить, так как вендор поставляет многие комплексные решения; можно договориться на предоставление скидки, дополнительно уменьшив тем самым затраты.
Компания «с нуля» внедряет XDR, будет ли такая компания хорошо защищена?
Спикеры ответили, что необходимо начинать с базовых превентивных мер, чтобы блокировались 90 % угроз. Без этого системы «detection and response» не будут работать соответствующим образом. Денис Батранков привёл пример случая, когда компания использует одновременно SIEM, MDR и поверх этого XDR, который ускоряет расследования и блокирует угрозы.
Специалисты подчеркнули, что XDR обеспечивает видимость событий на контуре, экономит время и деньги. Детектирование инцидента на анализе тактик и атрибуций происходит за очень короткий промежуток времени, это даёт возможность быстро получить готовый инцидент, а также приоритизировать инциденты. Решение XDR необходимо строить на качественном EDR.
Когда компания будет готова к внедрению XDR?
К этому вопросу эксперты рекомендуют подходить постепенно, проведя подготовительную работу. Подобные системы внедряются в течение года, поэтапно. По очереди XDR стоит за SIEM. При этом внедрение XDR в одной компании непохоже на внедрение в другой, это уникальный процесс.
Технические особенности XDR
В следующей части беседы специалисты сосредоточились на атрибутах качественного XDR, затронули технические аспекты работы продукта.
Денис Батранков ещё раз подчеркнул скорость работы XDR, выделил «озеро данных» (data lake) как его основу. Например, событие записывается в две базы данных: одна — для долгого хранения, для разбора инцидентов, которые были, скажем, полгода назад, другая — для разбора текущих инцидентов. Получаются сбор сведений от многих источников и быстрая обработка. Источники предоставляет клиент, а вендор может самостоятельно собрать дополнительные материалы. Поверх этого «озера данных» и работает XDR.
Эксперты рекомендовали поставить XDR новым компаниям, которые обладают бюджетом, так как это позволит решить целый спектр проблем, и к тому же всегда можно активировать дополнительный модуль XDR для решения той или иной задачи.
Выбор XDR
При выборе XDR эксперты выделили несколько ключевых моментов, образующих комплекс:
- детектирование и расследование — это основа;
- важно удобство расследования, потому что накапливается огромное количество логов;
- имеет значение поддержка большого количества операционных систем.
Важным атрибутом является и возможность выхода за пределы своей экосистемы, так как сейчас лучшие решения XDR — это те, которые эволюционировали из EDR. Сбор данных с большего числа устройств инфраструктуры улучшает детектирование и расследования. Также значима поддержка интеграции со сторонними системами.
Игорь Душа дополнил, что для конечного пользователя более важно просто подключить все источники к XDR без лишних проблем и забыть о нём до первого инцидента. Также спикер выделил три базовых критерия при выборе XDR: простая настройка, эффективность, удобство (юзабилити).
Как работает XDR в обнаружении сложных атак?
В целом работа XDR основана на двух компонентах: хостовой части и корреляционном ядре, которое собирает данные из сети и с хостов. Разные продукты имеют особенности, некоторые больше нагружают хост, некоторые — меньше. Все продукты эффективно используют машинное обучение, которое уже пришло в ИБ и позволяет очень многое детектировать «на лету».
Денис Батранков:
— Здесь — отличие продуктов. Один продукт сообщает, что тебя пытались взломать и не смогли, другой сообщает, мол, вас взломали, но я могу это, например, откатить или рассказать об инциденте вовремя. Решается проблема скорости. Эти техники в продукте направлены на блокировку, это — «превент». Второй набор техник — это сбор журналов: процессы, реестры, файлы. Далее на основе этих событий работают поведенческие правила. Это, по сути, — наработки людей, которые 20 лет расследовали инциденты, занимались форензикой, заложили в продукт правила, которые по индикаторам определяют вредоносную активность. Правила можно посмотреть, по этим правилам можно учиться. Правила можно редактировать, в частности в нашем продукте.
Спикеры также подчеркнули, что заказчик может создавать правила обнаружения самостоятельно, также вендор эти правила поставляет, обновляя их за определённую плату.
Важная особенность XDR — кросс-детектирование. Например, если вредоносный объект извлекается из почтового трафика, то после анализа подозрительная сигнатура автоматически будет блокироваться и на хостах.
Возможность кросс-функциональности не только в одной сети, но и между разными клиентами, как это происходит в продукте Group-IB, выделил Станислав Фесенко. Хеш вредоносного файла от одного клиента (если он не изолирован) попадает в общую базу и далее синхронизируется между всеми клиентами.
Чем расширенное реагирование за счёт XDR лучше SOAR? Ответил Илья Осадчий: идея SOAR — это интеграция «всего со всем». С другой стороны, XDR помогает очень быстро, очень точно и специфично отреагировать, автоматизировать многие процессы и упростить работу аналитиков SOC. К этому следует добавить ручное реагирование, тонкие действия на хосте, автоматические действия на других системах, оптимизацию того же файрвола. Эти действия связаны с тем, какие точечные кейсы детектирует XDR.
Рисунок 3. На каком этапе внедрения концепции XDR вы находитесь?
Большинство зрителей прямого эфира считает, что XDR — это «хайп».
Эксперты сошлись во мнении, что XDR — это серьёзная автоматизация и со временем вендоры, которые выпускают антивирусы и EDR, будут позиционировать свои продукты как XDR.
XDR в контексте SOC
В продолжении жаркой дискуссии спикеры выразили мнение, что XDR может функционировать и без SOC, но здесь всё зависит от конкретных задач. Если инфраструктура огромна (тысячи машин), то без SOC будет не обойтись и оптимально отдать всё на аутсорс. Также нужны аналитики, достаточно квалифицированные для эффективного взаимодействия с XDR. С другой стороны, XDR может поставляться как SaaS (Software-as-a-Service). По сути, XDR и EDR — это инструменты обогащения данных для SOC. SOC строятся на базе SIEM-систем и XDR будет выступать единым источником многих групп данных.
Как проверять эффективность XDR?
Говоря о проверке эффективности, специалисты предложили запуск кросс-сценариев, детектирующих сценариев. В целом спикеры сошлись во мнении, что вопрос неочевиден. Если для антивирусов, к примеру, есть тесты, то для XDR такого нет.
Денис Батранков привёл пример из практики, когда тестировать их продукт принялся человек, который участвует в CTF (киберсоревнованиях по принципу Capture the Flag) и выигрывает.
Яна Шевченко добавила, что если XDR поставлен «поверх» EDR, то в этом случае мы затрагиваем функциональность, которую покажут кросс-сценарии, потому что заказчик уже считает EDR эффективным.
Где хранить терабайты данных?
XDR-решения генерируют огромные объёмы данных. В целом это — выбор между облачным и локальным (on-premise) решениями. Оба варианта масштабируются. Эксперты высказали несколько мнений, а также привели цифры и подчеркнули значимость скорости поиска. Вот некоторые цитаты.
Денис Батранков:
— Важный вопрос, который следует задавать вендору, потому что это — или админ, который всё организовывает, или как у нас: мы сами это облако для data lake поддерживаем, которое по сути бесконечно. Мы продаём этот data lake как сервис, можно приобрести только его, к нему прилагается агент. Этот сервис у нас является источником для разных продуктов, с которыми вы можете на нашем портале ознакомиться. По сути data lake в XDR будет набором «сырых» данных, которые могут быть использованы для того же расследования инцидента, который был полгода назад.
Илья Осадчий:
— XDR берёт на себя свой трафик и трафик других систем, это — огромный объём, плюс возникает проблема поиска в этом объёме. Выходит на первый план архитектура. Традиционно, старые EDR-решения хранили информацию в индексируемых БД. При построении индексов объём данных иногда увеличивался вдвое. В нашем решении используется решение компании «Скайлер», БД без индексов, которая позволяет производить очень быстрый поиск. CrowdStrike аналогично купили no-index-database, чтобы тоже строить это огромное data lake.
Станислав Фесенко отмечает, что важно соблюдать баланс. Скорость поиска не так важна, когда расследуешь инцидент годичной давности.
— В нашем продукте «сырой» трафик не хранится, хранится подробная информация о сессиях, которой в 95 % случаях будет достаточно для расследования. События с хостов собираются также ядром. Объёмы данных могут быть действительно очень большими. 2000 хостов за 2 недели создают примерно 4 ТБ данных. А надо ли хранить всё? Или, может быть, надо хранить то, что было подозрительным, что было предварительно обработано, но не ушло в «алёрт»? Все наши решения обеспечивают гибкость и могут масштабироваться.
Рисунок 4. Нужен ли, на ваш взгляд, XDR для SOC?
58 % зрителей прямого эфира считают, что XDR для SOC не нужен.
После вывода результатов опроса эксперты вернулись к теме SOC и уточнили, что XDR может быть эффективен и для организаций, которые ещё не «дозрели» до SOC, но хотят вести мониторинг, автоматизировать, расследовать инциденты. XDR-решение максимально закроет их задачи и будет максимально полезным. Более того, для некоторых компаний XDR может стать качественной альтернативой SOC. В любом случае должен быть специалист, который работает с XDR. Денис Батранков отметил, что ни разу не встречал сотрудников SOC, которые говорили бы, что им не нужен XDR.
Тренды и прогнозы развития рынка XDR в России
Специалисты пришли ко мнению, что XDR, скорее всего, станет массовым явлением в ближайшие 3–5 лет. Категория подобных продуктов востребованна, потому что всем удобно иметь мониторинг и единое представление о том, что происходит в инфраструктуре. Вендоры также будут развивать XDR, улучшать и подключать кросс-продуктовые функции. Не исключено, что появится какой-то «микс» и всё будет обёрнуто в новую маркетинговую оболочку, но концепция сохранится.
Илья Осадчий:
— [Это] категория продуктов, которая начинает устаиваться. В ближайшие 5 лет EDR будут переквалифицироваться в XDR. Может быть, XDR заменит NTA + EDR и получится триада «SIEM — SOC — XDR».
Игорь Душа:
— 7 лет назад я начал писать концепцию продукта и понял, что пишу XDR. Это — логичная и понятная концепция, которая даёт пользователям то, что им нужно. Основная цель — защищать пользователя от атак. Неважно, как это будет называться через год или через три, это всё равно будет. Мы всё равно увидим у вендоров единую экосистему, единое решение, которое будет решать задачи.
XDR или SIEM / SOAR?
Спикеры отметили, что это — архитектурно разные решения. SOAR не может делать быструю обработку большого массива данных и принять решение основанное на поведенческом анализе, как это делает XDR. Зачастую в компаниях оба решения используются вместе. Вероятно, в будущем эти два подхода скорее сольются и будут друг друга дополнять. Многое покажет выбор рынка.
Илья Осадчий:
— Если достаточное количество заказчиков в течение ближайших лет решат, что SOAR или XDR — правильный путь, то остальным заказчикам предстоит перейти на то, что выбрал рынок.
Яна Шевченко:
— Недавно писала статью, где сопоставляла EDR с XDR и SIEM с SOAR. Кто выиграет? На наш взгляд, SIEM останется, а XDR будет предоставлять базовую SOAR-функциональность.
Игорь Душа:
— XDR решает многие задачи, но если уже установлен SIEM / SOAR, то «профит» будет минимальным. Лично моё мнение — XDR эти технологии постепенно выжмет с рынка.
Рисунок 5. Каково ваше мнение относительно решений XDR?
44 % наших респондентов считают, что решения XDR интересны, но на данный момент избыточны.
Выводы
На сегодняшний день XDR-решения весьма перспективны. Они развиваются ведущими вендорами и являются естественным эволюционным шагом (EDR + NTA) в обеспечении комплексной информационной безопасности. XDR имеет высокую скорость обработки большого массива логов, собранных со всех ключевых узлов инфраструктуры (за любой период), что позволяет администратору обозревать картину происходящего на контуре.
На основе поведенческих алгоритмов и машинного обучения XDR даёт возможность эффективно и своевременно реагировать на инциденты, откатывать действия злоумышленника, совершенствовать эшелоны защиты.
Стоимость внедрения XDR-решений весьма высока, но она ниже цены внедрения отдельных компонентов, которые не будут связаны удобной экосистемой.
XDR-системы могут подойти компаниям, которые не имеют SOC, но ищут профессиональные комплексные решения для расследования инцидентов. Также XDR хорошо сочетается с уже рабочими моделями SIEM / SOAR, значительно ускоряя обработку инцидентов.
В ближайшие несколько лет рынок XDR будет актуализироваться, развиваться и совершенствоваться, так как потребность в подобном комплексном продукте со стороны рынка, со стороны бизнеса возрастает.
AM Live постоянно проводит трансляции посвящённые самым разным вопросам современной информационной безопасности. Подписывайтесь на наш YouTube-канал и задавайте вопросы спикерам в прямом эфире!