Skip to content Skip to navigation Skip to footer

Расширенное обнаружение угроз и реагирование (XDR)

Что такое XDR?

XDR осуществляет межуровневое обнаружение и реагирование. XDR собирает и затем сопоставляет данные на различных уровнях безопасности, включая конечные точки, электронную почту, серверы, облачные инфраструктуры и общую сеть. XDR — это новый, альтернативный подход к традиционному механизму обнаружения и реагирования на инциденты, объединяющий процедуры обнаружения и реагирования в различных средах.

Принцип работы XDR

Хорошо продуманные угрозы сложно обнаружить, потому что они работают между разрозненными системами безопасности. Эти системы обычно используют различные методы защиты, которые работают параллельно, но не обязательно вместе. Благодаря своей способности прятаться между изолированными системами безопасности, со временем они распространяются, а их количество увеличивается. В результате им удается ускользнуть от внимания центра операций безопасности (SOC) и в конечном итоге нанести еще более серьезный ущерб.

Решение XDR изолирует и анализирует эти угрозы. Оно собирает и затем сопоставляет данные о каждом обнаружении на каждом отдельном уровне безопасности. Каждый «уровень» представляет собой отдельную поверхность атаки: конечные точки, электронная почта, сеть, серверы и облачные нагрузки. Конкретные методы защиты, которые решение XDR использует для каждой поверхности атаки, будут описаны в исследовании поставщика XDR.

Конечная точка

Управление активностью конечных точек имеет большое значение, поскольку помогает выяснить, как угроза могла проникнуть и распространиться между конечными точками. Решение XDR выполняет сканирование конечных точек для поиска индикаторов компрометации (IOC), а затем отслеживает их, используя информацию, собранную с помощью индикаторов атаки (IOA).

Система XDR может рассказать, что произошло на конечной точке, а также откуда появилась угроза и как ей удалось распространиться на несколько конечных точек. Затем система XDR может изолировать угрозу, остановить необходимые процессы и удалить либо восстановить файлы.

Электронная почта

Электронная почта является одной из самых больших и часто используемых поверхностей для атак. Из-за этого она становится легкой мишенью, но решения XDR могут помочь снизить риски, связанные с системой электронной почты. Несмотря на то, что для защиты электронной почты также можно использовать управляемую службу выявления и реагирования на угрозы  (MDR), решение XDR более точно выявляет угрозы безопасности электронной почты.

В рамках процесса сортировки XDR может обнаруживать угрозы электронной почты и идентифицировать учетные записи, которые были скомпрометированы. Кроме того, оно может обнаруживать пользователей, которые часто подвергаются атакам, а также шаблоны атак. Решение XDR может выяснить, кто несет ответственность за угрозу, проникшую через протоколы безопасности, и кто еще мог получить соответствующее электронное письмо.

В качестве ответных мер на атаку XDR может поместить электронное письмо в карантин, выполнить сброс учетных записей, а также заблокировать причастных отправителей.

Сеть

Анализ сети на предмет атак и возможностей для атак является важным шагом в активном решении проблем безопасности. Анализ состояния сети позволяет фильтровать события, что помогает определять уязвимые точки, такие как неуправляемые устройства и устройства Интернета вещей (IoT). Независимо от того, исходят ли угрозы от поиска в Google, электронной почты или хорошо спланированных атак, анализ состояния сети может выявить основную уязвимость.

XDR может обнаруживать подозрительное поведение в сети, а затем анализировать данные об угрозе, в том числе механизм ее взаимодействия и распространения по корпоративной сети. Это выполняется независимо от расположения угрозы в сети — от шлюза пограничных служб (ESG) до центрального сервера. Затем XDR может сообщить администраторам о масштабах атаки, чтобы они могли быстро найти решение.

Серверы и облачные нагрузки

Защита серверов и облачной инфраструктуры включает шаги, которые по своему принципу аналогичны процедурам защиты конечных точек. Чтобы выяснить, как угроза попала в сеть, а также как она могла распространяться, ее необходимо изучить.

XDR дает возможность изолировать угрозы, специально разработанные для атаки серверов, контейнеров и облачных нагрузок. Затем решение XDR выясняет, как угроза влияет на рабочую нагрузку и как распространяется по системе. Затем оно изолирует сервер и останавливает необходимые процессы для сдерживания угрозы. Изоляция угроз — ключевое условие для сокращения среднего времени восстановления после атак.

Например, если угроза получила доступ к облачной сети через конечную точку IoT, решение XDR может определить место ее проникновения. После этого можно устранить причины нарушения безопасности и использовать эту информацию для выяснения плана атаки. 

Решение XDR также может стать эффективным дополнением к набору средств защиты, поскольку помогает выяснить, как угроза повлияла на рабочую нагрузку сервера. Если это привело к снижению скорости обработки или повреждению данных, решение XDR может определить степень последствий. Затем XDR останавливает любые процессы, которые могут способствовать распространению угрозы. В облачной среде, которая поддерживает огромное количество точек подключения, такая остановка процессов может предотвратить большие потери данных или полную приостановку важных процессов.

Серверы и облачные нагрузки

Система XDR может передавать информацию в озеро данных — централизованное хранилище необработанных данных — для очистки. Сначала оно запускает межуровневую очистку для обнаружения угроз, затем выявляет их, анализирует и устраняет.

 

Сравнение XDR и традиционного средства обнаружения угроз

Решение XDR отличается от традиционного средства обнаружения угроз тем, что оно направлено именно на решение проблем, которые возникают в результате использования разрозненного подхода. Один из способов, которым XDR борется с разрозненностью системы безопасности, — это сегментирование поверхностей атаки по основным категориям. Таким образом, получается относительно комплексное решение для электронной почты, сетей, серверов и облачных нагрузок. 

Решение XDR отличается не только методами обнаружения и идентификации угроз, но и мерами реагирования на них. Некоторые системы обнаружения угроз только обнаруживают угрозу, не предпринимая решительных действий по ее устранению. В зависимости от потребностей этот аспект XDR может оказаться бесполезным, особенно если необходимо больше свободы действий в отношении того, как реагировать на угрозы.

Кроме того, XDR может стать полезным инструментом для управления предупреждениями. Система безопасности может быть завалена множеством предупреждений, и для управления ими иногда требуется не меньше усилий, чем для устранения самих угроз. Система XDR может группировать предупреждения, которые, хоть и являются необходимыми, но могут не содержать важной информации. Это помогает администраторам сосредоточиться на предупреждениях, которые требуют определенных действий.

Поскольку решение XDR не только обнаруживает угрозы, но и реагирует на них, оно может помочь специалистам по безопасности сэкономить время и ресурсы. Например, если ИТ-специалисты знают, как необходимо реагировать на каждую угрозу, и решение XDR поддерживает такую возможность, они могут охватить сразу несколько баз, используя XDR для выявления и изоляции угроз, а также для завершения проблемных процессов.

Сравнение XDR и решения выявления и реагирования на угрозы безопасности конечных точек (EDR)

Решение EDR отличается от XDR тем, что «E» означает работу конкретно с конечными точками, тогда как «X» в XDR указывает на то, что оно также поддерживает сети и облачные данные.

Если у вас уже есть решение для обеспечения безопасности сети и облачной инфраструктуры, возможно, вам лучше использовать решение EDR, такое как FortiEDR. Системе XDR может быть сложно взаимодействовать с текущим решением сетевой безопасности, а избыточность может создать больше проблем, чем возможностей.

Сравнение XDR и решения анализа сетевого трафика (NTA)

И XDR, и NTA могут обнаруживать угрозы. NTA фокусируется на распознавании шаблонов и поэтому может обеспечить мгновенное реагирование на пакеты данных, нарушающие ожидаемый шаблон поведения. Например, если сервер обычно получает трафик из США, Канады и Бразилии, но внезапно начинает получать трафик из России, для устранения потенциальной угрозы можно использовать систему NTA. 

Таким образом, NTA может быть лучшим решением, чем XDR, если угрозы, с которыми сталкивается организация, можно изолировать с помощью такого метода обнаружения шаблонов.

Сравнение XDR и технологии управления информационной безопасностью и событиями (SIEM)

XDR отличается от SIEM тем, что предлагает решения для реагирования. Хотя технология SIEM может работать с решением для реагирования, она ориентирована на обнаружение угроз, а не на реагирование на них. Если необходимо разработать индивидуальный механизм реагирования на угрозы, тогда решение SIEM, такое как FortiSIEM, может лучше подойти, чем XDR.

В некоторых случаях XDR может обнаруживать угрозу и реагировать на нее автоматически, даже если она не представляет реальной опасности. Такое преждевременное реагирование может навредить организации. Технология SIEM позволяет решать, как реагировать на каждую угрозу, тем самым помогая избежать ненужной остановки работы или прекращения операций.

Сравнение XDR и функций оркестрации, автоматизации и реагирования (SOAR)

В то время как XDR отлично справляется с обнаружением угроз и реагированием на них в своей собственной экосистеме, SOAR может делать то же самое, плюс может использоваться для оркестрации политик безопасности и отчетности.

Если ваше текущее средство немедленного реагирования на угрозы эффективно, но вам нужна система, которая осуществляет общую реализацию политик безопасности, такое решение, как FortiSOAR может лучше подойти, чем XDR. Для внедрения решения XDR поверх существующей эффективной системы реагирования на угрозы может потребоваться больше времени, чем у вас есть, и без гарантии лучших результатов, чем у существующего решения.

Получите возможность полного отслеживания поверхности атаки

Решение FortiClient позволяет выявлять угрозы, отслеживать их и оценивать, к каким рискам они привели. Это можно делать для различных конечных точек, что дает дополнительную гибкость, позволяющую адаптировать имеющийся подход к защите к потребностям организации.

Кроме того, решение FortiClient обеспечивает защиту от продвинутых угроз и, являясь центральным компонентом телеметрии, может автоматически передавать информацию об угрозах, которые оно устраняет. Поскольку оно легко интегрируется с системой Fortinet Security Fabric, можно использовать автоматизацию процессов на основе политик, которая помогает сдерживать угрозы и предотвращать их распространение. Если у вас уже есть средство, поддерживающее интеграцию с системой Security Fabric, FortiClient может работать с ним, чтобы сделать решение безопасности вашего предприятия еще надежнее. Независимо от того, замедлилась ли работа из-за COVID или уже начала восстанавливаться, сейчас отличное время для пользователей FortiClient, чтобы получить интегрированное решение для обнаружения угроз и реагирования на них.