PT XDR снимает боль индустрии и создаёт единый контекст событий ИБ и ускоренное реагирование на атаки

BIS Journal №1(44)/2022

25 февраля, 2022

PT XDR снимает боль индустрии и создаёт единый контекст событий ИБ и ускоренное реагирование на атаки

Под занавес 2021 года Positive Technologies представила рынку новое решение для качественного обнаружения киберугроз и реагирования на них, относящееся к классу XDRс [1], — PT XDR, а также его финальный элемент для защиты конечных точек PT EDR.В чём сила позитивного XDR, как решение помогает специалистам по кибербезопасностиреагировать на атаки и почему PT XDR нужен бизнесу?

Решение PT XDR позволяет кратно ускорить реагирование на атаки и является неотъемлемой частью наших метапродуктов (в частности, MaxPatrol O2), которые направлены на автоматическое обнаружение и предотвращение действий злоумышленников в корпоративной инфраструктуре, в идеале — силами одного специалиста.

 

В ЧЁМ ПОЛЬЗА XDR-СИСТЕМ

Сегодня каждый инцидент так или иначе затрагивает рабочие станции: профессиональные киберпреступники используют многовекторный подход для проникновения в корпоративную сеть и атакуют максимальное количество элементов инфраструктуры. Поэтому организациям важно одновременно отслеживать потенциальные точки проникновения и оперативно устанавливать взаимосвязи между событиями на этих точках.

XDR-системы позволяют получить полную картину происходящего в инфраструктуре за счёт собственных агентов и сетевых сенсоров, а также за счёт объединения продуктов (о них далее) в единую среду обмена данными. Решения этого класса помогают выяснить причины заражения либо компрометации и предпринять верные действия по реагированию.

Набор средств защиты в составе XDR изменяемый: он может, например, собирать информацию с таких систем, как EDR [2], NDR [3], SIEM [4], Sandbox [5], WAF [6] и VM [7]. За счёт сбора событий с разных продуктов в единый контекст XDR-решение предоставляет аналитикам в одном интерфейсе всю необходимую информацию об атаке и весь требуемый инструментарий для реагирования, что сокращает время на поиск и блокирование угроз, причём в рамках всей инфраструктуры, а не отдельных её элементов. Системы класса XDR, позволяющие частично автоматизировать рутинную работу SOC-подразделений, в первую очередь необходимы крупным компаниям для противодействия сложным киберугрозам.

 

СИЛА XDR

Появление новых способов защиты вызывает у киберпреступников ответные действия– они начинают искать варианты её обхода. И наоборот, ранее неизвестные инструменты злоумышленников мотивируют специалистов по кибербезопасности начать поиски новейших возможностей по защите. С появлением PT XDR, а вместе с ним EDR-решения мы можем доносить до «эндпоинтов» знания о том, как атакующие взламывают системы. XDR – это инструмент, который позволяет проверять гипотезы компрометации на реальной сети агентов и на основании собранной телеметрии пытаться искать атаки, которые были ранее неизвестны. Мало примеров на рынке ИБ-решений, даже в других классах, которые позволяют реализовать данный подход, а здесь это достигается за счёт объединения телеметрии из разных источников, мы логируем не только то, что считаем подозрительным, а даже легитимные действия процессов в ОС, чтобы потом иметь возможность восстановить всю картину целиком и на основе большего объёма данных их скоррелировать и выявить ранее неизвестный вектор атаки.

Мы знаем, как злоумышленники атакуют компании по всему миру, поэтому понимаем, как от них защищаться. При разработке любого своего продукта мы опираемся на свой многолетний опыт по обнаружению реальных атак и расследованию инцидентов, а также по нахождению уязвимостей. Эти знания наши продукты получают от двух команд Positive Technologies —исследовательского центра PT SWARM и экспертного центра безопасности (PT Expert Security Center). Специалисты последнего постоянно отслеживают активность хакерских группировок (в том числе и ранее неизвестных), действующих на территории России и мира, и могут по первым признакам и с высокой точностью определить, какая группировка стоит за конкретным инцидентом. А команда PT SWARM, в свою очередь, делает технологическую среду безопаснее: за последние три года эксперты выявили более 250 уязвимостей, 70% из которых высокого и критического уровня опасности, в программных продуктах 60 различных производителей. Все эти знания мы передаём в наши продукты.

PT XDR аккумулирует технологии продуктов Positive Technologies (PT Sandbox, MaxPatrol SIEM, MaxPatrol VM, PT NAD, PT ISIM, PT Application Firewall и PT EDR), что позволяет как коррелировать события безопасности на конечных узлах, так и поднимать необходимый контекст вверх, чтобы устанавливать соответствия, выявлять действия злоумышленников, обнаруживать дополнительные инциденты, которые до этого находились в слепой зоне, и реагировать на них в автоматическом режиме намного раньше, чем наши продукты могли это сделать прежде. Также PT XDR позволяет обогащать уже сформированные, переданные или записанные инциденты.

 

О СКОРОСТИ РЕАГИРОВАНИЯ И ПРЕИМУЩЕСТВАХ АВТОМАТИЗАЦИИ

Получение максимального контекста в кратчайшие сроки и с минимальными трудозатратами специалистов — это основная потребность компаний, стремящихся нивелировать риски и испытывающих дефицит в экспертах. При этом именно скорость реагирования на угрозы называют главным параметром, позволяющим повысить защищённость бизнеса. Поиск и анализ угроз занимает у аналитика SOC время, так как ему приходится одновременно работать с большим числом средств мониторинга и защиты, смотреть во множество консолей. А время — самый ценный ресурс: чем дольше специалист по ИБ пытается понять, что происходит и как на это отреагировать, тем больше шансов у хакеров закрепиться в инфраструктуре. Если говорить о конечных точках, то колоссальное значение имеет детектирование действий на рабочих станциях (скорость перемещения злоумышленников по ним измеряется минутами), а также умение отличить их от активности авторизованных пользователей. Злоумышленники очень часто используют легитимный инструментарий, который есть в инфраструктуре, в своих целях.

Отслеживание защищённости корпоративной инфраструктуры в интерфейсе одной системы невозможно реализовать без удобного инструмента. PT XDR позволяет операторам SOC всегда иметь целостное представление об инфраструктуре и степени её защищённости, а также о безопасности устройств. Решение даёт возможность почти молниеносно реагировать на кибератаки (в том числе на конечных точках) — скорость реакции измеряется секундами. C помощью PT XDR специалисты по кибербезопасности могут выявить угрозу как на начальном этапе, когда атака только начала развиваться, и сразу же заблокировать эксплуатацию уязвимости или любую другую вредоносную активность на скомпрометированном узле, так и на этапе, когда злоумышленники уже успели развить атаку внутрь инфраструктуры. Специалисты по ИБ получат более качественное обнаружение вплоть до причины заражения, что позволит обеспечить новый уровень безопасности с учётом обогащённой информации.

PT XDR решает основную боль индустрии — нехватку квалифицированных кадров на рынке. Мы снижаем требования к компетенции специалистов по ИБ и их числу в штате SOC за счёт того, что передаём недостающую экспертизу через наши продукты. Кроме того, наше XDR-решение позволяет автоматизировать процесс реагирования на киберугрозы: не дожидаясь действий оператора, продукт может самостоятельно принимать решение по блокировке атак, остановке подозрительных IT-процессов или перемещению файлов в карантин — в общем, делать всё, чтобы не позволить свершиться недопустимым для бизнеса событиям.

Коммерческая версия PT XDR станет доступна во II квартале 2022 года. Прямо сейчас можно подать заявку на участие в программе Earlybirds и записаться на проведение «пилота» на собственной IT-инфраструктуре. Преимущество раннего тестирования решения состоит в том, что Positive Technologies будет расширять список собираемой информации и автоматизировать сценарии реагирования, релевантные именно вашей инфраструктуре.

 

[1] Extended detection and response, расширенное выявление угроз и реагирование на них

[2] Endpoint detection & response

[3] Network detection and response

[4] Security information and event management

[5] Сетевая песочница

[6] Web application firewall

[7] Vulnerability management

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных