Pull to refresh

Comments 1

tl;dr

Сама по себе идея централизованного мониторинга, оркестрации и автоматизации реагирования и управления безопасностью — это хорошая, правильная и очень здравая идея. Идея реализовать это все силами вендора — порочная, т.к. нереализуемая. Правильная идея (IMHO, естественно) — это открытые стандарты взаимодействия. обмена информацией и наличие API. Ну не получится у безопасников уйти от того, что бы самим делать автоматизацию и реализовывать логику.

И чуть подробнее
XDR (Extended Detection and Response) – это расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. В основе решения данного класса лежат продукты от одного вендора, то есть, это, в большей степени, моновендорная история.


На словах «моновендорная история» можно закапывать. Я не знаю ни одного вендора, который закрывал бы все-все-все потенциальные каналы. Правда, я знаю вендоров, которые пытаются делать свои «экосистемы», полностью изолированные от окружающего мира.

В настоящее время для противостояния более сложным угрозам, целенаправленным атакам и угрозам типа APT организациям необходимо уделять особое внимание не только уровню конечных точек, но и другим потенциальным точкам проникновения злоумышленника в инфраструктуру и, самое главное, на взаимосвязи между ними. Почему? Потому что профессиональные киберпреступники сегодня предпочитают многовекторный подход к проникновению в корпоративную сеть, атакуют как можно больше элементов инфраструктуры и часто объединяют множество различных методов в одну запланированную атаку. Организации должны обладать пониманием того, что происходит у них в рамках всей инфраструктуры, контролировать ключевые точки проникновения и получать полную картину атаки, иметь возможность быстро анализировать первопричины, проводить глубокие расследование сложных инцидентов и реагирования на них в рамках всей инфраструктуры, а не отдельных элементов.


Это реализуется централизованным мониторингом. LM, SIEM — по желанию/потребностям/возможностям.

Сегодняшняя ситуация с большим количеством разрозненных не интегрированных решений, отсутствием достаточного количества ресурсов и знаний для работы с этим зоопарком решений и невозможностью получить оперативно из этого всего полную картину происходящего. А также, недостаток автоматизации, необходимой в процессе обнаружения, расследования и реагирования, отсутствие кросс-продуктовых сценариев, наличие огромного числа ложно-положительных срабатываний, низкий уровень приоритезации, не самые лучшие показатели MTTD/MTTR – весь этот набор проблем требует поиска какого-то решения.


Множество никак не интегрированных друг с другом решений — это действительно проблема. Но решение уровня «еще одно половинчатое, ни с кем не интегрируемое решение» — кмк, так себе. Гораздо интереснее подход с открытыми API, или хотя бы с наличием коннекторов к teraform/ansible. Если что, это есть у CheckPoint и Fortinet, на пример.

Благодаря XDR различные продукты от одного вендора обретают единую среду обмена данными и получения единой картины происходящего в инфраструктуре. Единая консоль управления для удобства работы аналитика, предоставляемый высокий уровень автоматизации действий в рамках расследования и реагирования, усовершенствованный процесс приоритезации инцидентов, улучшенные показатели MTTD и MTTR, сокращение числа ложно-положительных срабатываний и времени, которое аналитики тратят на процесс расследования и реагирования на инциденты делает сегодня XDR очень привлекательным.


Ключевое — это что «от одного вендора». А потом приходит понимание, что в существующей инфраструктуре уже есть некоторый зоопарк решений, что те же PCI DSS и ГОСТ 57580.1 требуют наличия разных антивирусов в разных сегментах, что вендор может не закрывать наши потребности или не поддерживать используемые платформы и много-много других ограничений.

Only those users with full accounts are able to leave comments. Log in, please.