EDR умер. Да здравствует XDR!

Это перевод статьи Зевса Керравалы (Zeus Kerravala), основателя и главного аналитика ZK Research. Оригинал вы можете прочитать на сайте CSO Online. Вы можете заказать демонстрацию и тестирование сервиса Palo Alto Networks Andromeda XDR, который реализует принципы, описанные в этой статье, а также принять участие в вебинаре по Palo Alto Networks Magnifier XDR.

Технология Endpoint Detection and Response (EDR) представляла большую ценность в течение многих лет. Однако ее ограниченное поле обзора всегда оставляло множество слепых зон. Настало время перейти к XDR.

Анализируем EDR

Endpoint Detection and Response (EDR) является важной технологией для практиков безопасности, используемой для обнаружения подозрительной активности или, по крайней мере, ее следов, на конечных точках и хостах. Сама кибербезопасность так же стара, как и компьютеры, но сегмент EDR все еще находится в зачаточном состоянии, а первые решения появились около пяти лет назад.

Технология работает на основе мониторинга конечных точек и последующего сбора данных в централизованное хранилище, где эти данные можно анализировать для обнаружения угроз. Как правило, EDR-решения требуют, чтобы на хост-системе был установлен программный агент для сбора данных, используемых для мониторинга и отчетности.

EDR приобрел решающее значение для действенной защиты по мере того как все больше угроз стало нацеливаться непосредственно на пользователя. Подтверждая эти слова, один из ведущих в отрасли пентестеров недавно сказал мне, что обычно он может взломать организацию в течение часа, атаковав пользователя и скомпрометировав конечную точку. Кроме того, Windows по-прежнему является наиболее широко используемой операционной системой в мире бизнеса, и многие ее внутренние функции используются хакерами для взлома как компьютера, на который нацелен злоумышленник, так и соседних машин.

Итак, если EDR является неотъемлемой частью стратегии защиты от угроз и обеспечивает такую существенную ценность, то почему я объявляю EDR мертвым? Это безумие?

Узкая направленность EDR

Каким бы ценным ни был EDR, он дает очень узкое представление о мире. Это все равно, что смотреть в иллюминатор на корабле, и видеть только кусок горизонта. Чтобы определить, какая погода, есть ли вокруг острова или проходящие корабли, нужно получить более широкий обзор, а для этого нужно быть на капитанском мостике.

EDR слишком узко сфокусирован, так как он дает представление только о конечной точке. Пришло время EDR уступить место XDR, где X представляет собой гораздо более широкий набор данных, который включает в себя конечную точку, а также облака, анализ угроз, сетевые данные, информацию журналов и, возможно, даже данные экспертного сообщества. Этот набор данных, конечно, не является исчерпывающим списком сигналов для XDR, а скорее служит для того, чтобы подчеркнуть факт, что большее количество источников данных из большего количества точек защиты позволяет специалистами и технологиям быстрее находить большее количество угроз, а затем блокировать их.

Это все равно что находиться на капитанском мостике корабля и видеть все сразу. Разница в том, что XDR учитывает все элементы атаки, а не только те, которые обнаружены на одной конечной точке, добавляет аналитику, необходимую для интерпретации данных из разных источников данных, и позволяет более эффективно использовать время аналитиков SOC при проведении расследований.

XDR видит все

Кроме того, поскольку решения XDR имеют представление о местах применения политики безопасности (сеть, хост, облако), они могут активно реагировать и блокировать угрозу быстрее и в более широком диапазоне векторов, а не только на конечной точке. С EDR конечная точка может обнаружить взлом, но единственное, что известно, это то, что произошло на самой конечной точке. Правильный подход заключается в том, чтобы увидеть, что произошло на конечной точке, а затем перейти к другой конечной точке, чтобы оценить ее. Если источник является внешним, то EDR не поможет, потому что данные с конечной точки ничего не скажут нам и не обладают знаниями о том, что происходит на сети.

Необходимо понимание сетевой угрозы и связь между различными этапами атаки. Например, что-то, показывающее, что учетные данные администратора были украдены с сервера A, а затем эти учетные данные использовались для проникновения на сервер B.

XDR может отследить угрозы до их источника

С помощью XDR система может лучше отследить плохой трафик от того места, где он был обнаружен, реконструируя атаку. Это помогает практикам безопасности лучше понять, что произошло, определить, где это произошло, и отреагировать в оптимальном месте применения политик безопасности (или местах, если их несколько). Без этих способностей мы лишь знаем, что произошла атака и задействована одна конечная точка. Используя метафору корабля, вода на дне будет указывать на утечку. Можно устранять утечку, вычерпывая воду, но если пробоина остается, проблема не может быть решена.

Одно из моих критических замечаний в отношении EDR заключается в том, что эта технология в основном помогает в обнаружении (Detection, D в аббревиатуре «EDR»), но не очень помогает с реагированием на инцидент (Response, R в аббревиатуре «EDR»), если вы не специалист. В XDR оба аспекта, обнаружение и реагирование, являются равными. Можно представить, что EDR — это большая D и маленькая r, а XDR — большая D и большая R для всех потенциальных источников данных, что дает практикам безопасности гораздо больше шансов сражаться с злоумышленниками.

В свое время EDR был прорывом для покупателей решений ИБ, поскольку эти решения давали возможность увидеть, что происходит на хосте, являющемся средоточием атаки. Теперь, когда мы живем в мире, где буквально все связано между собой, важно, чтобы EDR превратился в XDR, чтобы практики безопасности могли видеть больше и блокировать больше в источнике угрозы. Если вы собираетесь выделить бюджет и время своей службы безопасности, зачем ограничивать их конечной точкой?

Тайгер Оптикс является дистрибьютором Palo Alto Networks в странах СНГ. Вы можете связаться с нами, чтобы заказать презентацию, демонстрацию и тестирование любых продуктов вендора.

About the author

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.