Оглавление
Технология EDR играет важную роль в обеспечении кибербезопасности, но XDR выводит эффективность на новый уровень благодаря расширению возможностей мониторинга и реагирования. Для внешней команды SOC это означает возможность получить более полное представление о защищаемой инфраструктуре, позволяя полностью контролировать все актуальные вектора атак, касающиеся конкретного заказчика, и обнаруживать угрозы, которые остаются незамеченными при использовании отдельных инструментов защиты. Другим важным плюсом оказывается возможность эффективного применения киберразведданных, централизованного и практически моментального регирования.
Автор: Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.C.C.T.
Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
Extended Detection
Первая часть, XD (расширенное обнаружение), дает аналитикам SOC возможность применять методы обнаружения и анализа угроз на всех уровнях защищаемой инфраструктуры, а не ограничиваться лишь конечными устройствами или трафиком. Мы получаем мгновенный доступ к большому объему метаданных: из сетевого и почтового трафика, от пользовательских устройств и серверов, от другого периферийного оборудования и ПО. Это позволяет быстро получить целостную картину при анализе алертов, определить реальный уровень критичности и инициировать следующие этапы реагирования и расследования.
Однако важно не забывать о знаниях, как совершаются атаки и кто их совершает. Современный разработчик XDR обязан иметь нативную синхронизацию с собственной киберразведкой и в то же время давать возможность интеграции с CTI-данными других вендоров, чтобы не только эффективно выстраивать детект, но и обогащать контекстом инциденты, обнаруженные XDR, в режиме единого окна.
Extended Response
Вторая часть, XR (расширенное реагирование), дает саму возможность самостоятельного реагирования, при этом существенно сокращая время этого процесса. Функционал EDR, помимо автоматической блокировки, позволяет аналитикам применять процедуры реагирования, расследования и восстановления на устройствах, задействованных в инциденте, прямо из единой консоли XDR.
Комбинация подходов XD и XR позволяет значительно увеличить эффективность SOC-команды, давая универсальный инструмент – швейцарский нож, который позволяет быстро нейтрализовывать инциденты до момента, когда угрозы будут реализованы.
XDR или SIEM?
Не секрет, что традиционные SOC исторически строились с ориентиром на работу вокруг SIEM, что оставляло свой отпечаток на их операционной деятельности. Такие критические процессы, как сбор событий, написание правил корреляций и детектирования актуальных угроз, ложились на плечи SOC. Качество и глубина детектирования напрямую зависели от экспертизы команды, которая, не стоит забывать, в первую очередь была ориентирована на мониторинг событий ИБ. Поэтому в таких командах органически возникали обособленные бэк-линии, специализирующиеся на отдельных направлениях – анализе угроз, разработке детектирующей логики и т.д. Усложнение структуры и увеличение штата за счет непрофильных SOC-специалистов приводило к увеличению себестоимости операционной деятельности.
С появлением XDR началось медленное, но существенное движение в сторону изменений в подходах к мониторингу и реагированию. Первыми на практике это ощутили SOC на базе компаний-разработчиков XDR-решений. Не случайно на зарубежном рынке первопроходцами в MDR (Managed Detection and Response) становились компании-вендоры современных средств защиты, в частности, разработчики XDR. По мере того, как XDR начинает завоевывать все большее признание специалистов по безопасности, MDR-подход начинает активно проникать в коммерческие SOC.
Но не все проходит гладко. Сложность перехода заключается в необходимости перестройки SOC, даже несмотря на готовые интеграции XDR с SIEM, – приходится выстраивать существенно новые процессы, ориентированные на активное реагирование. Переход также требует немалых затрат, а SOC-команды, как правило, и без того сталкиваются с ресурсными ограничениями.
Но несмотря на сложности, все больше коммерческих SOC начинают внедрять XDR в рабочую практику, – даже если не полное решение, то, по крайней мере, мониторинг EDR совместно с NTA, параллельно трансформируя свои процессы, ориентированные на реагирование.
Переизбыток оповещений при недостатке контекста
В условиях, когда аналитики погружаются в рутинные оповещения и расследования, часто приводящие к ложным срабатываниям, растет не только уровень их стресса, но и вероятность упущения действительно важных угроз. Перегрузка алертами в значительной степени обусловлена разрозненными и иногда неэффективными защитными решениями, интеграция которых весьма трудозатратна и требует постоянной поддержки.
Другая важная проблема – сложность в применении на практике стратегических и тактических знаний киберразведки (CTI), что также увеличивает поток нерелевантных алертов. Многие организации по-прежнему используют SIEM как основной инструмент для детектирования, но не все команды способны эффективно разрабатывать контент, способный выявлять действительно серьезные и актуальные угрозы.
Коммерческим SOC-командам также требуется тратить колоссальные силы на настройку стандартных средств защиты под актуальный ландшафт угроз. Причем этот процесс должен быть непрерывным, чтобы соответствовать постоянно меняющимся условиям.
В результате зоопарк из защитных решений и отсутствие контекста об угрозах приводят к экономической неэффективности как команд, так и самого процесса обеспечения кибербезопасности. Организации продолжают тратить значительные средства на капитальные и операционные расходы, но деньги сами по себе не могут предотвратить критические инциденты.
Решение – XDR-центричный подход
В Центре кибербезопасности F.A.C.C.T. применяется XDR-центричный подход, при котором основой мониторинга и реагирования является технология XDR, а все остальные защитные решения, например SIEM, служат лишь источниками дополнительного контекста.
Сегодня в продуктах XDR уже заложена корреляция событий для снижения количества ложных срабатываний и ускорения обнаружения самых актуальных угроз. Этот детект является результатом работы большого количества специалистов, которые ежедневно занимаются расследованием киберпреступлений, компьютерной криминалистикой и исследованием угроз.
В случае, если SOC располагает новым/свежим индикатором атаки, можно вручную добавить необходимое правило или написать сигнатуру. Однако это не должно становиться основным операционным процессом SOC, использующего XDR. Такой подход позволяет сместить фокус на оперативную реакцию, расследование и нейтрализацию угроз.
Умная приоритизация
В рамках синергии собственных продуктов, используемых Центром кибербезопасности F.A.C.C.T., помимо XDR, применяются и другие решения, например продукт класса ASM (Attack Surface Management), ориентированный на анализ и оценку внешней поверхности атаки защищаемой инфраструктуры.
Если ASM обнаруживает проблему, аналитики оперативно проводят ее верификацию и направляют персонализированное уведомление клиенту. Однако, если на основе данных киберразведки известно, что некоторая атакующая группа из ландшафта угроз клиента использует выявленную уязвимость для получения первоначального доступа, то критичность инцидента возрастает. В рамках анализа запускается процедура расследования: ретроспективно анализируется трафик на предмет коммуникаций, свидетельствующих о попытках эксплуатации уязвимости. В случае установленного EDR-агента на уязвимом устройстве проводится ретроспективная оценка его компрометации. В итоге, удостоверившись, что атака не состоялась, наш SOC берет это устройство на особый контроль до устранения уязвимости.
XDR из коробки для SOC
Правильно интегрированный в инфраструктуру XDR сразу предоставляет внешней команде SOC налаженные механизмы кросс-уровневой корреляции событий из различных источников. А совсем небольшой тюнинг правил на основе данных киберразведки позволит проводить поиск атакующих из персонального ландшафта угроз для каждого конкретного клиента.
Сегодня на базе XDR успешно оказываются услуги, которые реализуются тремя сервисами: круглосуточный мониторинг, проактивный поиск угроз и реагирование на инциденты.
В рамках сервиса управляемого мониторинга (MD) компания F.A.C.C.T. берет на себя ответственность за непрерывный анализ всех событий и алертов, генерируемых XDR, и оформлением на их основе конкретных инцидентов. Важной задачей в этом процессе является предоставление клиентам контекста относительно каждого инцидента. При этом, мы не вмешиваемся в процесс реагирования, предполагая, что у клиента есть необходимые ресурсы для оперативных действий. Наша цель – дать ясные рекомендации: «Смотрите, вот атака, вот устройство, действуйте быстро, вот наши инструкции».
Параллельно аналитики занимаются расследованием инцидента из консоли XDR, в процессе которого предоставляются дополнительные индикаторы атаки и инструкции, что с ними делать. После того, как аналитик получает от клиента информацию, что источник инцидента и/или вредоносный код нейтрализованы, запускается перепроверка событий на предмет вредоносной активности, при отсутствии которой инцидент закрывается.
Мониторинг может быть расширенным, если он включает сервис проактивного поиска угроз (Threat Hunting / MTH). Основные усилия в этом случае направлены на поиск сложных, скрытых угроз на серверах, рабочих станциях и в сетевом трафике, обнаружение которых выходит за рамки внедренных правил корреляции и детектирования.
Обладая объемной телеметрией, собираемой XDR, мы ориентируемся на собственные CTI-данные и другие источники информации о киберугрозах с целью идентификации скрытых действий атакующих, происходящих после первоначального доступа. Процесс поиска построен вокруг предположения, что инфраструктура уже была скомпрометирована, и аналитику нужно найти следы злоумышленников, которые остались незамеченными средствами защиты.
Анализируя ландшафт угроз клиента, мы смотрим, какие группировки могут его атаковать с учетом с его профиля, затем извлекаем сведения о соответствующих тактиках, методах и процедурах. Если в результате обнаруживаются подозрительные следы или вредоносная активность, запускается процесс информирования и реагирования.
В рамках сервиса управляемого реагирования (MR) специалисты Центра кибербезопасности F.A.C.C.T. не просто информируют об инциденте, но и самостоятельно проводят все необходимые мероприятия по активному реагированию.
Чтобы локализовать инцидент, с помощью EDR-агента мы изолируем скомпрометированное устройство, отрезая его от внутренней сети и Интернета, оставляя только связь с XDR-консолью. К этому моменту уже проводятся мероприятия по сбору криминалистически важных данных для расследования и оценке масштаба проблемы, инициированные еще на этапах MD и MTH.
После того, как собранные данные проанализированы и угроза купирована, инициируются мероприятия по нейтрализации этой угрозы. После обязательного согласования с клиентом аналитики Центра кибербезопасности F.A.C.C.T. проводят зачистку следов работы ВПО или других инструментов, задействованных атакующими. Это реализуется функционалом EDR-агента, в котором есть как уже встроенные сценарии восстановления, так и возможность провести мероприятия вручную через удаленный терминальный доступ.
По завершении клиент получает подробный отчет с описанием инцидента, хронологией его развития и шагами по нейтрализации, а также базовые рекомендации по снижению вероятности повторения инцидента.
Заключение
Система безопасности хороша, когда эшелонированный подход или многоуровневые ИБ-решения работают как единое целое, тем самым повышая эффективность как компонентов защиты инфраструктуры, так и самой SOC-команды. XDR-решения развиваются, следуя этому принципу.
Переход Центра кибербезопасности F.A.C.C.T. к XDR-центричному подходу в рамках оказания классических услуг мониторинга открыл перед командой новые возможности развития сервиса, фокусирующегося на самостоятельной нейтрализации угроз внутри защищаемых инфраструктур. Реагирование и проактивный поиск позволили снять с клиентов еще больше практических и критических для обеспечения кибербезопасности задач, предоставив им возможность фокусироваться на более стратегических целях.
ITSec_articles