Большое количество ИБ-решений от разных поставщиков, а также избыточный объём предупреждений от каждого из них перегружают безопасников и влекут за собой снижение эффективности и оперативности реагирования на инциденты. Для решения этих проблем компания Fortinet разработала систему FortiXDR, которая автоматизирует сбор событий, идентификацию, выявление и устранение инцидентов в ИБ.
- Введение
- Актуальные проблемы, связанные с обнаружением угроз и реагированием на них
- Преимущества внедрения XDR-решения
- Статистика использования XDR
- FortiXDR
- Выводы
Введение
Отличительные черты современного ландшафта киберугроз — непрерывное изменение, многообразие применяемых инструментов, а также возрастающая сложность как атакующих технологий, так и обнаружения киберинцидентов вкупе с реагированием на них.
Множество решений для обеспечения ИБ от разных поставщиков, а также большой объём генерируемых событий по информационной безопасности негативно влияют на защитников информации и на процесс реагирования. Среднестатистическая организация среднего размера использует добрый десяток (а то и больше) инструментов безопасности, которые вместе каждый день генерируют тысячи предупреждений.
Согласно исследованию компании Fortinet, более 75 % организаций признают, что их архитектура систем безопасности разрозненна из-за неинтегрированных защитных продуктов.
Актуальные проблемы, связанные с обнаружением угроз и реагированием на них
В октябре 2020 года Enterprise Strategy Group (ESG) завершила опрос 388 специалистов, которые непосредственно участвуют в операциях по кибербезопасности своей организации, а также в обнаружении угроз и реагировании на них.
Помимо глобальной нехватки квалифицированных кадров, исследования ESG указывают на ряд других проблем:
- ИБ вручную. Представители 43 % организаций согласны с тем, что их организация почти не автоматизирует процессы для обнаружения угроз и реагирования на инциденты.
- Избыточный объём событий по ИБ. Сотрудники 44 % организаций согласны с тем, что их команда изо всех сил пытается справиться с повседневным объёмом событий по безопасности. Часто из-за ложноположительных срабатываний и избытка информации они пропускают критически важные события, впоследствии классифицируемые как инциденты в ИБ.
- Точечные инструменты. Две трети (67 %) организаций управляют обнаружением угроз и реагированием на них используя набор точечных средств защиты. Это означает, что команда SOC вынуждена осуществлять мониторинг безопасности предприятия собирая воедино отдельные данные из каждого инструмента, что снижает оперативность процесса.
Преимущества внедрения XDR-решения
ESG определяет XDR (Extended Detection and Response, расширенное выявление и реагирование) как «интегрированный набор продуктов по безопасности, охватывающий гибридные ИТ-архитектуры, предназначенный для координации совместных действий по предотвращению, обнаружению угроз и реагированию на них». XDR объединяет отдельные точечные инструменты в общую архитектуру, а также добавляет расширенную аналитику и возможности автоматизации процессов.
Таким образом, XDR может решить многие из описанных выше проблем. Расширенная аналитика помогает повысить продуктивность перегруженных работой аналитиков SOC за счёт фильтрации и агрегирования поступающих сообщений о событиях в ИБ. В то же время автоматизация процессов устраняет текущую зависимость от ручных процессов.
Статистика использования XDR
Учитывая все текущие проблемы, связанные с обнаружением угроз и реагированием в целом, у большинства организаций есть планы посмотреть, как XDR может им помочь. Возвращаясь к исследованию ESG, можно сказать, что специалисты по безопасности видят потенциальную ценность внедрения XDR. Например:
- Исследование показывает, что почти четверть (23 %) организаций уже работают над проектом внедрения XDR. Кроме того, 70 % считают, что они могут составить бюджет XDR в течение следующих 12 месяцев. Это говорит о необходимости повысить эффективность защиты и оптимизировать операции по обеспечению безопасности.
- Почти половина (48 %) организаций были бы готовы заменить существующие средства контроля на XDR, в то время как ещё 47 % могли бы сделать это, если бы были уверены в эффективности XDR.
- Более трёх четвертей (76 %) организаций были бы готовы добавить новый агент XDR в том случае, если XDR может принести значительную выгоду.
FortiXDR
Компания Fortinet 2 февраля 2021 года презентовала FortiXDR, XDR-систему, обеспечивающую полностью автоматизированное обнаружение, анализ киберинцидентов и реагирование на них в масштабах всей организации.
«Киберпреступники используют сложные и всё более интеллектуальные инструменты для атак на уязвимые границы сети, возникшие в результате цифровых инноваций. Это означает, что для борьбы со всё более изощрённой организованной киберпреступностью организациям необходимы более умные и быстрые технологии для обеспечения безопасности. FortiXDR — единственное решение XDR, которое использует искусственный интеллект для репликации ручного анализа угроз, позволяя организациям поспевать за преступниками. Интегрированное в платформу Security Fabric, оно помогает бизнесу идти в ногу с постоянно растущим ландшафтом киберугроз. Это актуально даже для организаций ограниченных размерами команды и количеством инструментов», — заявил Джон Мэддисон, первый вице-президент отдела маркетинга продуктов и решений компании Fortinet.
Описание FortiXDR
Система Fortinet Security Fabric обеспечивает отслеживание всего фронта цифровой атаки в организации и управление им. FortiXDR — это облачное решение для обнаружения угроз силами разных продуктов и для реагирования на эти угрозы; оно обеспечивает полностью автоматическую идентификацию, выявление и устранение инцидентов в рамках системы Security Fabric.
Рисунок 1. Схема интеграции FortiXDR
Основные функции FortiXDR
К основным функциям решения можно отнести следующие.
Широкий контроль безопасности. Fortinet Security Fabric охватывает всю цифровую сторону организации:
- Защита конечных точек и пользователей (EPP), управление идентификацией и доступом (IAM).
- Уровень сети и доступа с проводными коммутаторами, точками беспроводного доступа и корпоративными межсетевыми экранами.
- Облако с брокерами безопасности (CASB), межсетевыми экранами веб-приложений (WAF) и безопасными шлюзами электронной почты (SEG).
Все продукты интегрированы между собой и отправляют данные в единую центральную аналитическую платформу.
Аналитика для обнаружения
Постоянно расширяющийся набор улучшенной аналитики предназначен для выявления индикаторов потенциальных кибератак на ранней стадии. Несколько характерных примеров включают анализ угроз от FortiGuard Labs, статический анализ файлов при помощи YARA-правил, динамический анализ в песочнице.
Расследование на основе искусственного интеллекта
Решение работает на базе технологий искусственного интеллекта, использующих пять отдельных, интегрированных между собой моделей нейронной сети, каждая из которых эмулирует отдельный этап расследования и реагирования на инциденты в ИБ.
Первый этап отвечает за сбор подозрительных событий, логов, артефактов, относящихся к событиям в ИБ. Второй этап реализует расследование события в ИБ. На третьем этапе происходит классификация инцидента. Затем на следующем этапе определяются артефакты, относящиеся к атаке злоумышленника. И на последнем шаге данные, которые были получены в результате работы третьего и четвёртого этапов, коррелируются и создаётся план для реагирования на инцидент. План реагирования передаётся на конечный узел для реализации.
FortiXDR постоянно обучается на сведениях по угрозам ИБ и исследованиям FortiGuard Labs, а также на опыте специалистов по реагированию на киберинциденты.
Рисунок 2. FortiXDR
Ключевые отличия FortiXDR от других XDR-решений
К преимуществам FortiXDR можно отнести широту охвата, эффективность индивидуальных компонентов и степень автоматизации.
Широта охвата
Чем дальше можно «расширять» решение XDR, тем больше информации становится доступно для анализа, обогащения и, в конечном итоге, классификации. Хотя компоненты сети и конечных точек являются основополагающими, возможность также охватывать средства управления доступом, электронную почту, веб-приложения и облако выделяют FortiXDR среди остальных систем такого рода.
Эффективность компонентов
FortiXDR может получать информацию о событиях из большего числа частей организации, что увеличивает вероятность обнаружения и правильной классификации атак. Оно также охватывает большее количество этапов цепочки кибератаки, поддерживает больше точек реагирования для более эффективного устранения последствий, чем решения конкурентов. Всё это позволяет организациям сократить среднее время до обнаружения и среднее время до реагирования, одновременно повышая эффективность операций по обеспечению безопасности и общую защищённость.
Степень автоматизации
FortiXDR обеспечивает полную автоматизацию не только процесса корреляции и обнаружения событий в ИБ и анализа данных, но также процесса расследования и устранения инцидентов. Это снимает нагрузку с сотрудников отдела ИБ и повышает уровень защищённости организации.
На рисунке 3 представлена схема обработки инцидента в ИБ с использованием FortiXDR в случае получения письма с вредоносным вложением.
Рисунок 3. Фишинговая атака. Схема обнаружения, расследования инцидента и реагирования на него с помощью FortiXDR
Выводы
FortiXDR предназначен для обнаружения сложных атак и различных аномалий информационной безопасности, а также для оперативного реагирования на них. Оно интегрирует несколько продуктов безопасности в единую комплексную систему безопасности, объединяющую все купленные ранее компоненты.
Подход XDR включает в себя функциональность различных средств информационной безопасности, связанных с обнаружением и отражением угроз, что позволяет настроить процессы кибербезопасности на предприятии более оптимальным образом. В частности, такие решения включают в себя отслеживание поведения пользователей и перемещения цифровых активов. При использовании XDR-подхода отмечается снижение количества ложных срабатываний. Централизованная конфигурация и управление позволяют приоритизировать процессы, связанные с обеспечением безопасности. Полноценная аналитика по каждому вектору модели угроз предприятия позволяет оценивать ситуацию с инфобезопасностью на предприятии в целом и вовремя принимать адекватные меры.