Комментарии 1
tl;dr
Сама по себе идея централизованного мониторинга, оркестрации и автоматизации реагирования и управления безопасностью — это хорошая, правильная и очень здравая идея. Идея реализовать это все силами вендора — порочная, т.к. нереализуемая. Правильная идея (IMHO, естественно) — это открытые стандарты взаимодействия. обмена информацией и наличие API. Ну не получится у безопасников уйти от того, что бы самим делать автоматизацию и реализовывать логику.
Сама по себе идея централизованного мониторинга, оркестрации и автоматизации реагирования и управления безопасностью — это хорошая, правильная и очень здравая идея. Идея реализовать это все силами вендора — порочная, т.к. нереализуемая. Правильная идея (IMHO, естественно) — это открытые стандарты взаимодействия. обмена информацией и наличие API. Ну не получится у безопасников уйти от того, что бы самим делать автоматизацию и реализовывать логику.
И чуть подробнее
На словах «моновендорная история» можно закапывать. Я не знаю ни одного вендора, который закрывал бы все-все-все потенциальные каналы. Правда, я знаю вендоров, которые пытаются делать свои «экосистемы», полностью изолированные от окружающего мира.
Это реализуется централизованным мониторингом. LM, SIEM — по желанию/потребностям/возможностям.
Множество никак не интегрированных друг с другом решений — это действительно проблема. Но решение уровня «еще одно половинчатое, ни с кем не интегрируемое решение» — кмк, так себе. Гораздо интереснее подход с открытыми API, или хотя бы с наличием коннекторов к teraform/ansible. Если что, это есть у CheckPoint и Fortinet, на пример.
Ключевое — это что «от одного вендора». А потом приходит понимание, что в существующей инфраструктуре уже есть некоторый зоопарк решений, что те же PCI DSS и ГОСТ 57580.1 требуют наличия разных антивирусов в разных сегментах, что вендор может не закрывать наши потребности или не поддерживать используемые платформы и много-много других ограничений.
XDR (Extended Detection and Response) – это расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. В основе решения данного класса лежат продукты от одного вендора, то есть, это, в большей степени, моновендорная история.
На словах «моновендорная история» можно закапывать. Я не знаю ни одного вендора, который закрывал бы все-все-все потенциальные каналы. Правда, я знаю вендоров, которые пытаются делать свои «экосистемы», полностью изолированные от окружающего мира.
В настоящее время для противостояния более сложным угрозам, целенаправленным атакам и угрозам типа APT организациям необходимо уделять особое внимание не только уровню конечных точек, но и другим потенциальным точкам проникновения злоумышленника в инфраструктуру и, самое главное, на взаимосвязи между ними. Почему? Потому что профессиональные киберпреступники сегодня предпочитают многовекторный подход к проникновению в корпоративную сеть, атакуют как можно больше элементов инфраструктуры и часто объединяют множество различных методов в одну запланированную атаку. Организации должны обладать пониманием того, что происходит у них в рамках всей инфраструктуры, контролировать ключевые точки проникновения и получать полную картину атаки, иметь возможность быстро анализировать первопричины, проводить глубокие расследование сложных инцидентов и реагирования на них в рамках всей инфраструктуры, а не отдельных элементов.
Это реализуется централизованным мониторингом. LM, SIEM — по желанию/потребностям/возможностям.
Сегодняшняя ситуация с большим количеством разрозненных не интегрированных решений, отсутствием достаточного количества ресурсов и знаний для работы с этим зоопарком решений и невозможностью получить оперативно из этого всего полную картину происходящего. А также, недостаток автоматизации, необходимой в процессе обнаружения, расследования и реагирования, отсутствие кросс-продуктовых сценариев, наличие огромного числа ложно-положительных срабатываний, низкий уровень приоритезации, не самые лучшие показатели MTTD/MTTR – весь этот набор проблем требует поиска какого-то решения.
Множество никак не интегрированных друг с другом решений — это действительно проблема. Но решение уровня «еще одно половинчатое, ни с кем не интегрируемое решение» — кмк, так себе. Гораздо интереснее подход с открытыми API, или хотя бы с наличием коннекторов к teraform/ansible. Если что, это есть у CheckPoint и Fortinet, на пример.
Благодаря XDR различные продукты от одного вендора обретают единую среду обмена данными и получения единой картины происходящего в инфраструктуре. Единая консоль управления для удобства работы аналитика, предоставляемый высокий уровень автоматизации действий в рамках расследования и реагирования, усовершенствованный процесс приоритезации инцидентов, улучшенные показатели MTTD и MTTR, сокращение числа ложно-положительных срабатываний и времени, которое аналитики тратят на процесс расследования и реагирования на инциденты делает сегодня XDR очень привлекательным.
Ключевое — это что «от одного вендора». А потом приходит понимание, что в существующей инфраструктуре уже есть некоторый зоопарк решений, что те же PCI DSS и ГОСТ 57580.1 требуют наличия разных антивирусов в разных сегментах, что вендор может не закрывать наши потребности или не поддерживать используемые платформы и много-много других ограничений.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Всё что вы хотели узнать об XDR в одном посте