Palo Alto Networks Cortex XDR. Лучший подход к детекции и реагированию на инциденты

Это перевод статьи Palo Alto Networks, оригинал доступен по ссылке.

Для многих организаций SOC является первой линией защиты от всех угроз, известных и неизвестных. Основная функция этой структуры заключается в выявлении, расследовании и устранении последствий угроз по всему цифровому пространству организации. Поскольку злоумышленники все больше автоматизируют и усложняют свою деятельность, эксперты ИБ полагаются на многоуровневый подход к предотвращению атак.

Этот подход включает в себя внедрение таких технологий, как детекция и реагирование на конечных точках (Endpoint Detection and Response, EDR), поведенческая аналитика (User and Entity Behavioral Analytics, UEBA) и анализ сетевого трафика (Network Traffic Analysis, NTA) для обеспечения мониторинга и понимания происходящего в среде организации. Кроме того, команды SOC обычно используют технологии оповещения и сбора журналов, такие как Security Information Event Management (SIEM) для определения политик, корреляции событий и приоритизации инцидентов. Наконец, необходимо как-то связать сгенерированные алерты с информацией, чтобы оперативнее расследовать и устранять угрозы, для чего применяются решения Security Orchestration, Automation and Response (SOAR).

Этот многоуровневый подход к предотвращению требует значительных затрат и наличия профессионального опыта, а также занимает много времени. Многие команды SOC не способны обрабатывать большое количество алертов. По статистике, в среднем SOC может получать 174.000 алертов в неделю. Поскольку численность сотрудников департаментов ИБ не бесконечна, математика не сходится. Команды ИБ могут полагаться на более чем 40 точечных продуктов для расследования и устранения атак, которые могут генерировать более 200 кейсов (инцидентов) в день. Это создает эффект «вращающегося кресла», который заставляет группы безопасности тратить время на ручное внесение данных и реагирование на алерты, а не на проактивный подход и предотвращение атак.

В среднем, требуется 197 дней, чтобы идентифицировать сетевой взлом, и 69 дней, чтобы отреагировать на него. Неудивительно, что новости о взломах имеют такой приоритет в прессе. Средняя стоимость взлома в США в 2018 году оценивалась в 7,91 миллиона долларов.

Эксперты ИБ заслуживают лучшего подхода, который избегает сложности и ограничения точеных инструментов, таких как EDR, UEBA или NTA. Подход, который может объединить разные инструменты и источники данных и помочь командам ИБ на всех этапах — обнаружение аномалий, проверку алертов (триаж), расследование инцидентов и поиск угроз. Этот идеальный подход будет:

  • Отслеживать происходящее в сети,
  • Интегрироваться с инструментами,
  • Использовать масштабную аналитику,
  • Упрощать проведение расследований.

Это совершенно новый подход, называемый XDR, резко отличающийся от традиционной категории обнаружения и реагирования. «X» обозначает любой источник данных, будь то сеть, конечная точка или облако, с акцентом на резкое увеличение производительности каждого члена команды ИБ благодаря автоматизации. Конечная цель состоит в том, чтобы решения этой категории сокращали среднее время на обнаружение угроз и реагирование на них, не повышая загруженность кого-либо в команде.

Чтобы узнать больше об инновационном подходе XDR, вы можете изучить этот обзорный документ, который рассказывает о том, как XDR может помочь вывести ваш SOC на новый уровень.

Вы можете узнать подробности и протестировать решения Palo Alto Networks, обратившись в компанию Тайгер Оптикс.

About the author

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.