Разбираемся в решения по обнаружению и реагированию на угрозы

XDR (Extended Detection and Response) и EDR (Endpoint Detection and Response) – это две различные технологии со своими особенностями, но обе заточены на обнаружение и реагирование на угрозы безопасности в сетях компании и на конечных точках.

EDR – технология, которая сфокусирована на мониторинге и обнаружении угроз именно на сетевых узлах, таких как рабочие станции, серверы и прочие устройства. EDR-решения обнаруживают угрозы на конечных точках сети, анализируют их и принимают меры по устранению угрозы. EDR обычно устанавливается на каждой конечной точке и требует установки агента на устройство. После обнаружения угрозы EDR отправляет информацию об этом оператору, который в свою очередь принимает действия по её устранению.

XDR – это более широкая технология, которая включает в себя не только обнаружение угроз на конечных точках, но и на других устройствах, и в различных частях сети. XDR-решения интегрируют данные из разных источников, таких как EDR, SIEM (Security Information and Event Management), NTA (Network Traffic Analysis), чтобы обнаруживать и реагировать на угрозы в различных частях сети. XDR может использовать алгоритмы машинного обучения для автоматического обнаружения и реагирования на угрозы.

То есть основное отличие между XDR и EDR заключается в том, что XDR-решения позволяют компаниям обнаруживать и реагировать на угрозы на разных устройствах и в разных частях сети, а точнее – XDR это совокупность EDR и других инструментов ИБ. XDR является цельным решением, которое собирает информацию с разрозненных продуктов в едином интерфейсе и позволяет работать с разными данными в единой точке.

Решение XDR появилось в ответ на запрос рынка. Всё началось с того, что заказчикам понадобился инструмент, который объединил бы в себе многие разрозненные классы решений и находил взаимосвязи между данными из разных источников и прослеживал в этой цепочке сложные угрозы. Почему это нужно? Потому что сегодня злоумышленники-профи используют многовекторный метод для проникновения в сеть организации и атакуют одновременно большое количество элементов ИТ-инфраструктуры.

Какие задачи решает XDR/EDR:

1. Защита от сложных атак. XDR-решение обнаруживает и реагирует на сложные кибератаки, такие как угрозы APT (Advanced Persistent Threats), которые могут проникать в сеть и оставаться незамеченными в течение длительного времени.

2. Сокращение времени реагирования на угрозы. XDR-решения могут уведомлять о возможных угрозах безопасности практически в режиме реального времени и автоматически реагировать на них, что сокращает время, необходимое для реагирования на угрозы.

3. Повышение производительности. Решение позволяет автоматизировать процессы обнаружения и реагирования на угрозы и сложные векторы атак, что позволяет сотрудникам компании сконцентрироваться на более важных задачах в рамках обеспечения защиты данных.

4. Уменьшение времени реакции на угрозы. Компании, использующие систему XDR/EDR, могут быстро реагировать на угрозы безопасности и предотвращать их распространение. Это позволяет снизить время простоя системы и уменьшить риск потери данных и дохода.

5. Обеспечение соответствия требованиям. Многие отраслевые стандарты и законодательные акты требуют от компаний обеспечивать безопасность своих данных и реагировать на любые угрозы. Использование системы XDR/EDR помогает компаниям соблюдать эти стандарты.

6. Расширенный обзор. Системы XDR/EDR предоставляют расширенный обзор состояния безопасности всей сети, а не только отдельных устройств. Это помогает лучше понимать свою сеть и управлять ею.

Решение использует различные источники данных, включая данные от EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management), NTA (Network Traffic Analysis) и других источников, чтобы обнаруживать начало атаки.

Когда XDR получает данные от источников, он использует машинное обучение и анализ больших данных для обнаружения подозрительных активностей. Например, анализирует события, связанные с учетными записями пользователей: необычные попытки входа в систему, использование необычных протоколов или подозрительные изменения в учетных записях.

XDR также может использовать анализ поведения для обнаружения подозрительных активностей. Например, если пользователь обычно работает в определенных частях сети и выполняет определенные задачи, а затем начинает активно искать файлы в других частях сети, что может быть признаком того, что у него есть несанкционированный доступ.

Кроме того, XDR может использовать анализ угроз для обнаружения начала атаки. Например, если определяет, что вредоносный файл был загружен на устройство в сети, может анализировать поведение этого файла и его связи с другими устройствами, чтобы определить, есть ли угроза.

Первым шагом стоит провести анализ текущей системы безопасности и определить ее слабые места и потенциальные уязвимости. Это поможет определить, какие функции и возможности должны быть у новой системы XDR. Далее следует выбрать подходящую платформу XDR, которая лучше всего соответствует потребностям компании. Необходимо учитывать такие факторы, как широта покрытия, интеграция с другими системами безопасности, функциональность, автоматизация, аналитика и простота использования.

После выбора платформы стоит разработать план внедрения XDR, который определит, как и когда новая система будет интегрирована в существующую инфраструктуру компании. Важно определить, какие ресурсы и бюджет будут необходимы для успешного внедрения и поддержки XDR. После внедрения необходимо провести тщательное тестирование системы, чтобы убедиться, что она работает правильно и эффективно защищает компанию от угроз. Также необходимо провести обучение сотрудников компании, чтобы они знали, как использовать новую систему и реагировать на угрозы безопасности.

Наконец, следует разработать стратегию постоянного мониторинга и обновления XDR, чтобы система была всегда актуальна и защищала компанию от новых угроз.

Information Security Lab, специализированный поставщик технологий и сервисов в области кибербезопасности и защиты данных оказывает весь спектр услуг в рамках работ по обнаружению и реагированию на угрозы. В список наших услуг входит:

• Проектная разработка и внедрение решения.
• Сервисное обслуживание EDR/XRD решений.
• Создание единого центра сбора, анализа, корреляции данных.
• Проведение расследований и составление алгоритмов реагирования с применением максимально возможной автоматизации.

Для обеспечения защиты от сложных атак мы используем решения от надежных партнеров «Лаборатории Касперского» и Positive Technologies. Напишите нам и получите оперативную консультацию → info@islg.ru.