Kilka tygodni temu opublikowaliśmy krótkie omówienie XDR. Podsumowując, XDR - skrót od rozszerzonego wykrywania i odpowiedzi (lub czasami x-product detection and response) - można zdefiniować jako:  Podejście, które ujednolica informacje z wielu produktów zabezpieczających, aby zautomatyzować i przyspieszyć wykrywanie, badanie i reagowanie na zagrożenia w sposób, którego nie mogą zapewnić pojedyncze rozwiązania punktowe.

Wraz z niedawnym wydaniem naszego programu wczesnego dostępu do Sophos XDR, pomyśleliśmy, że to dobry czas, aby przyjrzeć się bliżej temu, jak tu dotarliśmy, czym dokładnie jest XDR i czym się zajmuje oraz co robimy w Sophos, aby dostarczać XDR naszym klientom.

Rola wykrywania i reagowania na zagrożenia

W branży infosec jest klasyczne powiedzenie: Zapobieganie jest idealne, ale wykrywanie jest koniecznością.

Większość osób w tej dziedzinie zna to powiedzenie, ale często dopiero później, w okresie dojrzewania organizacji w zakresie bezpieczeństwa, coś się z tym robi. Ostatecznie CISO, dyrektor ds. bezpieczeństwa lub IT zdaje sobie sprawę, że prewencyjne mechanizmy kontroli, takie jak ochrona punktów końcowych i zapora sieciowa nowej generacji, choć niezbędne, po prostu nie wystarczą. Pytanie zmienia się z „Co możemy zablokować?” do „Czego nam brakuje?”

Wykrywanie zagrożeń i reagowanie na nie, cytuję moich kolegów, to „metodologia, która umożliwia operatorom zabezpieczeń wykrywanie ataków i neutralizowanie ich, zanim spowodują zakłócenia lub staną się naruszeniem”. Innymi słowy: czego nam brakuje i co z tym robimy?

Jak każde rozwiązanie technologiczne, ta metodologia musi być poparta narzędziami i ludźmi, którzy wiedzą, jak z nich korzystać.

Wykrywanie i reagowanie na urządzeniach końcowych

W ciągu ostatnich pięciu lat wykrywanie i reagowanie na endpointach (EDR) stało się narzędziem wybieranym przez zespoły ds. bezpieczeństwa. W przeciwieństwie do SIEM, które zbiera i próbuje skorelować dzienniki zdarzeń z różnych produktów, EDR jest narzędziem stworzonym specjalnie do tego celu. Jego agent na urządzeniu końcowym zbiera dokładnie te rodzaje danych, które są najbardziej pomocne w wykrywaniu i badaniu zagrożeń. Konsola rozpoznaje dane, wzbogaca je, łączy ze sobą działania, umożliwia reagowanie (wykonywane przez agenta) i upraszcza dochodzenie.

Jednak tak potężne narzędzia jak EDR są ograniczone do wykrywania i reagowania na urządzeniach  końcowych. To nie jest całkowicie zła rzecz; gdybyś musiał wybrać jedno miejsce, w którym skupisz się na wykrywaniu i reagowaniu, urządzenia końcowe byłyby dobrym wyborem. Są bogatym źródłem danych, głównym punktem interakcji dla użytkowników i skutecznym punktem kontrolnym do powstrzymywania zagrożeń. Skoncentrowanie się tylko na punktach końcowych ogranicza również dane i interfejs użytkownika, dzięki czemu narzędzie jest bardziej usprawnione.

Mimo to są rzeczy, których po prostu nie można zrobić, pracując z punktami końcowymi w izolacji. W końcu Twoje środowisko IT jest połączonym środowiskiem sieci, narzędzi komunikacyjnych, urządzeń mobilnych, aplikacji w chmurze i nie tylko. Aby bardziej kompleksowo chronić swoją infrastrukturę IT, dobrze byłoby mieć zintegrowany system wykrywania i reagowania. Tu pojawia się XDR.

Rozszerzone wykrywanie i reagowanie

XDR przyjmuje ideę EDR i, cóż, ją rozszerza. Zamiast skupiać się tylko na urządzeniu końcowym, zawiera dane z innych narzędzi bezpieczeństwa, takich jak zapory sieciowe, bramy poczty e-mail, narzędzia chmury publicznej i produkty do zarządzania zagrożeniami mobilnymi. Ponieważ XDR jest wciąż rozwijającą się technologią, dokładna technologia różni się w zależności od dostawcy, ale niektóre typowe komponenty obejmują:

  • Sensory zapewniające dane telemetryczne z różnych elementów infrastruktury IT. Mogą to być istniejące produkty, takie jak ochrona urządzeń końcowych albo zapora sieciowa, lub dodatkowe składniki, takie jak urządzenie wirtualne wdrażane w centrum danych.
  • Punkty kontrolne, które umożliwiają podjęcie działań, takich jak poddanie kwarantannie zagrożonego punktu końcowego, blokowanie ruchu sieciowego lub usuwanie złośliwego oprogramowania. Często sensory działają również jako punkty kontrolne.
  • Platforma analityczna i zarządzająca, zwykle oparta na chmurze. W idealnym przypadku platforma jest zasilana przez automatyzację i wzbogacanie danych, które usprawniają wykrywanie, badanie i reagowanie.
  • Interfejsy API, które umożliwiają integrację z istniejącymi systemami i przepływami pracy.

Chociaż wszystkie te elementy można połączyć ręcznie, odpowiednie rozwiązanie XDR zostało zaprojektowane do współpracy jako system. Komponenty są wzajemnie świadome i współpracują, aby usprawnić procesy wykrywania zagrożeń i reagowania.

Ostatecznie te przepływy pracy będą napędzane przez ludzi. Najlepsze systemy XDR zwiększają efektywność każdego specjalisty IT lub bezpieczeństwa, zapewniając intuicyjne narzędzia dla nowicjuszy i szczegółową kontrolę dla ekspertów analityków bezpieczeństwa.

Organizacje posiadające niezbędne zasoby - które często obejmują całodobowy personel wysoko wykwalifikowanych analityków - mogą zdecydować się na samodzielne wykonanie wszystkich prac operacyjnych. Inni skorzystają z usługi zarządzanego wykrywania i reagowania (MDR) w celu uzupełnienia lub pełnego outsourcingu działań w zakresie bezpieczeństwa.

Tak czy inaczej, platforma XDR służy jako fundamentalne narzędzie nowej generacji umożliwiające wykrywanie zagrożeń i reagowanie na nie w całej organizacji.

Sophos i XDR

XDR to nowy termin dla wyłaniającej się kategorii produktów, ale Sophos od dawna myślał o tej koncepcji. Widać to odzwierciedlone w produktach, które wprowadziliśmy na rynek, oraz w przywództwie, które zademonstrowaliśmy w ciągu ostatnich kilku lat.

Po pierwsze, jest Sophos Central, nasza ujednolicona platforma chmurowa do zarządzania i raportowania dla wszystkich naszych produktów nowej generacji. Byliśmy jednym z pierwszych dostawców zabezpieczeń, który dostrzegł znaczenie połączenia zarządzania bezpieczeństwem w chmurze i do dnia dzisiejszego oferujemy najszerszą gamę produktów zabezpieczających w ramach jednej konsoli.

Następnie mamy Synchronized Security, które wprowadziliśmy w 2015 roku. Przewidując potrzebę istnienia połączonego systemu, Sophos umożliwił dwukierunkową komunikację między produktami, takimi jak ochrona urządzeń końcowych i zapora nowej generacji. Dodatkowa widoczność i zautomatyzowana odpowiedź zapewniana przez Synchronized Security to kroki w kierunku analizy wielu produktów i skoordynowanej odpowiedzi wymaganej od rozwiązania XDR.

EDR jest oczywiście również podstawą do XDR. Sophos oferuje potężne rozwiązanie EDR zbudowane w oparciu o najlepszą na świecie ochronę punktów końcowych, Intercept X. Podstawowe elementy naszego EDR, takie jak elastyczne zapytania oparte na SQL i kontrolowane konsole Live Response, są podstawą dostarczania XDR.

Klientom, którzy mogą skorzystać z niewielkiej (lub dużej) pomocy przy operacjach związanych z bezpieczeństwem, Sophos Managed Threat Response (MTR) dostarcza XDR jako usługę zarządzaną. MTR oferuje ludzką reakcję przyspieszaną maszynowo, która wykorzystuje nasze EDR i inne produkty Sophos Central, takie jak XG Firewall i Cloud Optix.

Wszystko to realizujemy w kierunku naszej wizji w pełni połączonego systemu XDR. Obejmuje to wszystkie powyższe elementy, ale idzie dalej z centralnym repozytorium danych, wyszukiwaniem między produktami, adaptacyjną analizą, programowalnymi sensorami, skoordynowaną reakcją i interfejsami API do rozszerzania.

Nasz niedawno ogłoszony program wczesnego dostępu do Sophos XDR to zapowiedź naszego pierwszego przejawu tego. Spróbuj zobaczyć, jak przygotowujemy się, aby umożliwić naszym klientom, naszej usłudze MTR i partnerom naszych dostawców usług zarządzanych skuteczniejsze, bardziej dostępne i kompleksowe wykrywanie zagrożeń i reagowanie na nie.

XDR w Twojej sieci

Jeśli Twoja organizacja jest gotowa wyjść poza podstawową higienę bezpieczeństwa IT, to wdrożenie operacji wykrywania i reagowania opartej na XDR - wewnętrznej, zarządzanej lub hybrydowej - może być logicznym, kolejnym krokiem w celu ochrony przed ukrytymi zagrożeniami.

Jeśli prowadzisz już operacje wykrywania zagrożeń i reagowania na nie, możesz rozważyć rozwiązanie XDR, aby skonsolidować dostawców, poprawić wydajność i zwiększyć poziom bezpieczeństwa organizacji. Aby dowiedzieć się więcej o tym, jak Sophos może pomóc w kompleksowym wykrywaniu zagrożeń i reagowaniu na nie, zarejestruj się w programie wczesnego dostępu Sophos XDR lub skontaktuj się z partnerem Sophos.

Treść oryginalnego artykułu: https://news.sophos.com/en-us/2021/03/03/understanding-xdr-the-latest-evolution-in-threat-detection-and-response/

__________________________________________________

Zainteresowały Cię rozwiązania Sophos?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl