Как выбрать XDR-решение для выявления сложных целевых угроз

На днях компания Fortinet опубликовала чек-лист по выбору расширенной системы обнаружения и устранения угроз - XDR. iTPROTECT проанализировал выявленные критерии и дополнил несколькими аспектами из своей практики.

XDR-решения сочетают в себе расширенный функционал для обнаружения угроз на уровне сети и возможности реагирования на уровне хостовых средств защиты. Другими словами, они позволяют не просто защищать компьютерную систему от вредоносов и моментально замечать новые сложные угрозы, но и одновременно реагировать на возникшую ситуацию по итогам автоматического эвристического анализа или вердикта оператора. Но для того, чтобы правильно выбрать систему, нужно учесть несколько важных моментов.

«По нашей практике клиенты приходят к внедрению XDR, когда уже столкнулись с несколькими попытками фишинга и осознали весь риск целенаправленной атаки. Например, в одном госучреждении, в котором мы сейчас пилотируем XDR, под такой риск попадали несколько десятков сотрудников диспетчерской службы, которые практически нон-стоп коммуницируют с клиентами и партнерами. Это сотни писем в день, и времени на то, чтобы распознать фишинг, просто нет, а значит, решения по Security Awareness тут не подходят», - комментирует Максим Головлев, технический директор iTPROTECT.

Первый критерий выбора XDR-решения заключается в количестве охватываемых векторов атак. Среди них - устройства конечных пользователей, электронная почта и веб-приложения. Также важно, какие источники атаки может отслеживать решение - IoT-устройства, интернет-сервисы, действия внутренних злоумышленников, и, наконец, разновидности каналов передачи данных - корпоративная, домашняя, филиальная, проводная и беспроводная сети.

Второй момент - какие этапы развития киберугрозы распознает XDR-решение. По матрице MITRE ATT&CK киберугроза может развиваться в несколько этапов: разведка, разработка, доставка, использование уязвимости, установка, контроль и управление, достижение целей. Для успешной защиты от кибератаки важно иметь возможность разорвать ее развитие на всех этих этапах.

В-третьих, важна не функциональность или количество функций решения XDR, а их эффективность. Для оценки эффективности систем безопасности существуют независимые испытательные центры (AV Comparatives, SE Labs, Virus Bulletin, ICSA Labs и пр.), однако для проверки решения под конкретную задачу нет ничего эффективнее предварительного пилотирования или испытания системы в реальной среде. Например, iTPROTECT предлагает своим клиентам такую возможность.

В-четвертых, нельзя забывать про удобство решения XDR для пользователей, которое напрямую связано со степенью интеграции и автоматизации процессов в системе. С этой точки зрения важно, в частности, что именно делает XDR-решение - просто коррелирует информацию о безопасности (например, как в SIEM) или полностью автоматизирует работу функций корреляции, обнаружения, расследования и реагирования. С точки зрения удобства интеграции с другими ИБ-системами более интересны готовые коммерческие продукты с поддержкой производителя, в то время как open source решения потребуют самостоятельной доработки для интеграции.

В-пятых, стоит обращать внимание на наличие возможности ретроспективного анализа – это позволяет отследить историю появления угрозы в инфраструктуре, а в некоторых случаях даже собрать исходные логи с конечных устройств, которые могут пригодиться для судебных разбирательств.

Несмотря на описанные универсальные критерии, выбор системы в любом случае должен определяться с учетом особенностей и требований конкретного заказчика. Если вам необходима консультация, сравнение уже рассматриваемых вариантов или формулировка критериев выбора XDR-системы под вашу задачу, оставьте заявку.