XDR vs SIEM, SOAR. Перемешать, но не взбалтывать

Привет, Хабр! Меня зовут Сергей Куценко, я являюсь экспертом направления информационной безопасности в К2Тех. Рынок решений информационной безопасности динамично развивается. В последнее время все больше на слуху концепции EDR (Endpoint Detection and Response) и XDR (Extended Detection and Response), и, несмотря на то, что в интернете достаточно много материалов по данной теме, нет четкого ответа на вопросы: что это такое, зачем это нужно, в чем отличие от SIEM или SOAR?

В этой статье мы попробуем в этом разобраться.

Нужно ли защищаться?

Прошедшие годы, а особенно 2022, получились достаточно насыщенным в плане количества кибератак и активности различных хакерских группировок. Все эти атаки можно разделить на 2 больших класса, взяв в качестве признака возможные жертвы.

Первый класс – ненаправленные атаки, или атаки, которые действуют на широкий круг пользователей. Как правило – это обычные вирусы, использующие распространенные уязвимости в программном обеспечении, которые, попав в слабозащищенную среду, воздействуют на нее. Цели подобных атак очень разнообразны: это может быть мошенничество, распространение ботнета, либо же эксперимент какого-нибудь студента. В силу того, что вирусы, распространяемые в сети, действуют на широкий круг потенциальных жертв и давно известны, уже сложилась достаточно успешная практика борьбы с подобными атаками – блокировка известных источников распространения вредоносного программного обеспечения и применение традиционных средств защиты.

Второй класс – направленные атаки. В них злоумышленник точно знает, кто будет его жертвой, а потому разрабатывает уникальные вариации вредоносного ПО, использует уязвимости нулевого дня, строит кибератаку с множеством этапов (разведка, проникновение, распространение и достижение целей). Обнаружить и обезвредить подобные нападения с помощью средств, основанных на сигнатурах, уже невозможно. Атаки такого типа в среднем длятся от нескольких месяцев, до нескольких лет. Согласно исследованию Лаборатории Касперского 23% считают, что уже становились жертвой целевой атаки.

Если посмотреть на возможный ущерб от направленных атак, то, по нашим данным, он может составлять от 8 млн рублей для среднего и малого бизнеса и от 79 млн. рублей – для крупного. Нужно заметить, что это лишь оценочные значения возможного ущерба, так как реальный ущерб в материальном эквиваленте зачастую точно ценить невозможно.

Концепция XDR

Для начала введем несколько определений:

EDR (Endpoint Detection and Response) – класс решений, направленных на обнаружение и изучение вредоносной активности на конечных точках на более глубоком уровне по сравнению с обычными антивирусами, а также на предоставление функционала по реагированию на угрозы

XDR (Extended Detection and Response) – это расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. XDR нацелен на защиту не только конечных станций, но также сети, веб-трафика и электронной почты. Поэтому XDR – это не какое-то конкретное решение, это именно концепция.

Зачастую в основу XDR ложится стратегия построения единой экосистемы на базе одного вендора. Но это не значит, что к ней нельзя подключить и сторонние решения по информационной безопасности.

Рисунок ниже демонстрирует полноценную концепцию XDR.

Как видим, в нее могут быть включены: портал кибер-разведки (Threat Intelligence), сторонние ИБ-решения, системы динамического анализа (Sandbox), защита облаков и др. На рисунке EDR и XDR объединены и показаны в центре схемы. Это сделано намеренно, потому что EDR является главной и неотъемлемой частью XDR.

Зачем нужен XDR? Достаточно ли SIEM и SOAR?

Сейчас, когда мы немного разобрались со структурой XDR, предлагаю обсудить, как на текущий момент выглядит информационная безопасность в компаниях. Приведу пример.

У компании есть агенты антивирусной защиты на конечных станциях, есть свой прокси сервер, антиспам. Получается достаточно классический набор СЗИ. Данные СЗИ фактически никаким образом между собой не связаны, и вполне логичным будет поставить дополнительно систему управления событиями информационной безопасности (SIEM). Теперь все события объединены в одном месте, но никакой интеграции между этими системами все равно нет, и автоматизации, как вы понимаете – тоже. Конечно, для реагирования на инциденты ИБ можно внедрить еще одну дополнительную систему – SOAR. И вот мы уже получили достаточно большой и сложный в эксплуатации комплекс СЗИ по информационной безопасности.

Может ли XDR как-то помочь упростить процесс расследования и реагирования на инциденты? – Да, может.

В случае использования XDR, при обнаружении угрозы в любом из источников трафика, появляется возможность в полуавтоматическом режиме (без написания специальных сценариев реагирования — плейбуков) осуществлять блокирование данной угрозы, в том числе и с помощью агентов на рабочих станциях пользователей, что невозможно в классической модели, описанной выше. Также, в отличие от SOAR, в XDR для реагирования уже подготовлены специальные наборы команд, которые можно запускать прямо из веб-интерфейса, например, изоляция станций, удаление файлов и др.

Выше я привел лишь один из примеров, показывающих актуальность XDR. Если попробовать достаточно обобщенно выделить все ключевые преимущества, которые получает компания при построении концепции XDR, то получится следующий результат:

• Контроль всех наиболее популярных точек входа злоумышленников в IT-инфраструктуру

• Обнаружение цепочек атак

• Централизованная обработка событий ИБ со всех компонентов XDR

• Расширенный анализ событий с конечных устройств, за счет чего удается обнаруживать скрытые от обычных антивирусов угрозы

• Наличие инструментов по оперативному реагированию на угрозы (изоляция станций, удаление файлов, поиск индикаторов компрометации, завершение процессов, запуск скриптов, получение дампов памяти и др.)

• Сокращение времени на расследование инцидентов

• Динамические методы анализа (Sandbox) – поиск угроз нулевого дня, на всех уровнях инфраструктуры

• Обогащение данных за счет интеграции с платформой Threat Intelligance

• Интеграция со сторонними системами защиты

Отличие XDR от SIEM/SOAR

Сейчас вполне может возникнуть вопрос: если XDR такой функциональный, то зачем тогда нужны SIEM и SOAR? Сразу кратко хочу отметить их ключевое отличие:

• SIEM\SOAR работают только с теми данными, которые мы им подаем: логи средств защиты информации (СЗИ), события из прикладного ПО и др.

• XDR производит глубокий анализ данных на всех уровнях IT-инфраструктуры

Например, для SIEM в большинстве случаев остается загадкой, что же происходило на конечной станции, так как в SIEM поступают события с пограничных систем защиты, Active Directory и обычных антивирусов, которые, в свою очередь, предоставляют лишь общие сведения об угрозе. На основе всей этой информации бывает достаточно сложно провести полноценное расследование, поэтому зачастую приходится сталкиваться со многими гипотезами и допущениями. Отсюда сильно растягиваются по времени процессы расследования и реагирования на угрозы. При этом аналитикам нужно иметь достаточно высокую квалификацию, чтоб во всем этом разобраться.

XDR же позволяет собрать максимум информации с различных каналов (конечные точки, сетевые устройства, почта и др.) и обогатить SIEM для более полной картины.

Ключевое отличие XDR от SIEM наглядно можно продемонстрировать на примере зоны контроля в аэропорте. У нас есть два средства регистрации событий:

• Камера на входе и, например, металлодетектор, как и SIEM, выполняют поверхностный анализ

• Ленточный рентген уже производит глубокий анализ содержимого

Таким образом, можно сделать уверенное заключение, что данные классы решений ни в коем случае не конкурируют, а, наоборот, дополняют и усиливают друг друга. И для XDR наличие SIEM-системы позволяет значительно ускорить процесс расследования инцидентов и снизить процент ложных срабатываний.

Новые вершины технологий ждут тебя в Telegram-канале К2Тех