Сигурността на крайните точки се развива бързо. Организациите преминаха от прост антивирусен софтуер към пълни платформи за защита на крайни точки (EPP), които предоставят добре оформени, превантивни възможности за сигурност за крайни точки към решения за откриване и реагиране на крайни точки (EDR), които допълват EPP, като добавят способността за активен отговор на пробиви в сигурността.
Днес всички тези технологии са засенчени от нова парадигма, наречена XDR или разширено откриване и реакция. Как се различава XDR от EPP и EDR? Ще ги замени или допълни? Научете повече в това кратко ръководство за технологии за сигурност на крайни точки.
Платформа за защита на крайни точки (EPP)
Целта на EPP е да предотврати атаки срещу крайни точки от заплахи като злонамерен софтуер, уязвимости от нулев ден и атаки без файлове. EPP открива атаки чрез няколко метода:
– използване на бази данни с известни сигнатури за съвпадение на зловреден софтуер и други базирани на файлове заплахи;
– блокиране или разрешаване на приложения, URL адреси, портове и адреси с помощта на черни или бели списъци;
– предоставяне на пясъчна среда за тестване на предполагаеми заплахи, като изпълними файлове;
– използване на поведенчески анализатори и машинно обучение за докладване на аномална или подозрителна дейност на крайната точка.
EPP се разполагат на крайни точки, но обикновено имат базирано на облак решение, което може да събира данните, да ги анализира и да предоставя удобен достъп на анализаторите по сигурността.
В тази статия противопоставяме EPP и EDR, но всъщност повечето съвременни EPP платформи съдържат EDR решение, поне като незадължителен компонент.
EDR влиза в действие, когато вече се е случил инцидент със сигурността на крайна точка. Това устройство се използва за изследване и реагиране на опасности. Други елементи в платформата EPP са пасивни и се използват за предотвратяване на пробиви в сигурността на крайната точка. EDR е активен инструмент, който може да помогне за идентифициране на атаки и иницииране на автоматизирани решения или ръчни отговори.
EDR инструментите обикновено изпълняват следните функции:
– помагат на анализаторите да идентифицират индикатори за компрометиране (IoC), като обикновено комбинират данни, събрани от крайни точки, с разузнаване на заплахи;
– предоставят сигнали в реално време за инциденти, свързани със сигурността;
– интегрират криминалистиката, за да помогнат на анализаторите да разследват засегнатите крайни точки и да идентифицират първоначалния източник на атака;
– автоматично коригиране, например чрез изолиране, изтриване или повторно изобразяване на крайна точка.
XDR е интегрирана платформа за сигурност и реакция при инциденти, която може автоматично да събира и корелира данни от крайни точки и много други части на ИТ средата. Това е платформа за интегриране на данни за сигурност от информация за сигурността и управление на събития (SIEM), EDR, мрежови анализи и инструменти за управление на идентичността и достъпа (IAM). Той предоставя преглед на киберсигурността на цялата корпоративна среда в един унифициран интерфейс.
XDR може да осигури стандартизация на операциите по сигурността, позволявайки последователен и надежден анализ във всяка среда. Той обогатява съществуващите източници на данни и консолидира информацията за по-ефективен анализ.
Крайната цел на платформата XDR е да подобри производителността на екипите за сигурност, да даде възможност за по-бързи и всеобхватни разследвания и да намали времето за реакция при инциденти.
EPP решенията действат като първа линия на защита при атаки срещу крайни точки. EDR решенията са предназначени да се справят със заплахи, които EPP софтуерът не може да открие, като помагат за идентифицирането и смекчаването им, след като възникнат.
Например злонамерен софтуер от нулев ден или други напреднали заплахи могат да бъдат открити от EPP, но след като крайната точка бъде атакувана, тя ще започне да генерира необичайна активност. EDR може да открие тази дейност, автоматично да заключи крайната точка и да помогне на анализаторите по сигурността да проучат по-нататък.
XDR позволява откриване и реакция, които надхвърлят изолирания подход на традиционните инструменти за сигурност, като EDR. EDR е мощен, но в крайна сметка ограничен, тъй като могат да бъдат защитени само управлявани крайни точки с EDR агент. Това ограничава обхвата на заплахите и атаките, срещу които може да бъде ефективен.
EDR често се допълва от инструменти за анализ на мрежовия трафик (NTA), но тези инструменти са ограничени до мрежата и наблюдавания мрежов сегмент. Тъй като решенията на NTA генерират голям брой регистрационни файлове и предупреждения, има нужда да се анализира връзката между мрежовите предупреждения и други данни, за да се идентифицират важни събития за сигурността.
Въпреки че индустрията е постигнала голям напредък в откриването и реакцията, EDR функционалността традиционно се предоставя като точково решение на един конкретен защитен слой и предимствата са ограничени до този слой. XDR позволява откриване и реакция в интегрирана, унифицирана платформа, която може да осигури много по-добри резултати.
Крайните точки отдавна са основна цел за нападателите. Независимо дали се намират в джоба на потребителя, в облака, на IoT устройства или в сървърната стая на организация, данните трябва да бъдат защитени както вътре, така и извън традиционния периметър на сигурност.
Напредналите хакери извършват многостепенни атаки, като се движат между среди и се крият между слоевете в ИТ средата. Има нужда от глобална видимост, за да се идентифицират тези заплахи и да се реагира ефективно на тях.
XDR решенията са убедителна алтернатива на EDR и традиционните EPP. Те предоставят подобрено разузнаване на заплахи, AI/ML анализ, приложен към комбинирани данни от цялата ИТ среда. Те позволяват на организациите да извлекат повече стойност от съществуващите инвестиции в EDR, SIEM и оркестрация и автоматизация на сигурността (SOAR).
– подобрено откриване и реакция на доставчика на ежедневни инциденти със сигурността;
– повишена обща производителност на ИТ персонала;
– намалява общата цена на притежание (TCO) на пакета за сигурност.
Ловът на заплахи е практика на активно търсене в активи, мрежи и инфраструктурни компоненти за заплахи, които вероятно са избягали от защитата на сигурността. Организациите използват лов на заплахи, за да се защитят от неизвестни заплахи и уязвимости от нулев ден.
Уязвимостта от нулев ден е риск, за който организацията не знае. Хакерите активно търсят уязвимости от нулев ден, за да увеличат успеха на своите атаки. В края на краищата е трудно да се защити сляпо място.
XDR решенията предполагат, че заплахата вече съществува и активно я търсят и преследват. Решението инспектира всички събрани данни, като заявки за достъп и регистрационни файлове и събития на приложения, както и за процеси.
За да сканират огромно количество данни, XDR решенията използват усъвършенствани аналитични процеси, захранвани от алгоритми за машинно обучение. Това позволява на решението да открива модели с висок риск. Решението също така анализира цели с висока стойност, за да открие аномални събития. Този процес идва с вградена автоматизация за реакция и смекчаване.
Очаква се XDR решенията да предоставят по-задълбочено разбиране на данните, генерирани от много други технологии за сигурност, но това може да се окаже нож с две остриета. Въпреки че тези решения може да имат добри познания за технологиите за сигурност от една и съща екосистема на доставчици, те може да нямат същите възможности за анализ на данни, генерирани от системи от други доставчици.
Следователно внедряването на технологията XDR може да ви заключи в конкретна екосистема на технологии за сигурност. Ако вашата организация вече следва стратегия с един доставчик, това може да не е проблем. Това обаче може да бъде пречка, ако възприемате най-добрия подход. Компаниите трябва да обмислят дали подобрената аналитична стойност, предоставена от решението XDR, е достатъчна, за да оправдае по-тясна зависимост от конкретен доставчик на сигурност.
Има няколко съображения, които трябва да имате предвид, когато обмисляте избора на корпоративно XDR решение.
Сложност на интеграцията – XDR решенията могат да бъдат сложни за интегриране със съществуващи решения за сигурност и това може да повиши общата цена на притежание. Също така е скъпо да се поддържа тази интеграция, например да се тества и прецизира интеграцията всеки път, когато инструмент за сигурност се надгражда или да се добави интеграция с нови инструменти, добавени с течение на времето.
Време за интегриране – скоростта на внедряване е много важна в кризата с COVID-19, тъй като служителите работят от вкъщи и нападателите се опитват да получат достъп до чувствителни данни от незащитени мрежи и лични устройства. Изборът на решение за откриване и реагиране, което отнема седмици или месеци, за да се интегрира успешно с текущия ви пакет за сигурност, може да изложи вашата организация на висок риск.
Степен на автоматизация – някои XDR решения може да не са напълно автоматизирани. Или могат да извършват автоматизация само на основните функции за реакция при инциденти, без да използват изцяло AI за усъвършенствани анализи и прозрения на данните за сигурността.
Оперативна сложност – тъй като ключово предимство на XDR е подобряването на производителността, ако XDR решението на вашия SOC/MDR екип е много сложно, това ще повлияе на възвръщаемостта на инвестицията ви.
Холистично решение – XDR трябва да бъде сплотено, интегрирано решение. Някои доставчици са взели различни вече съществуващи инструменти, пакетирали са ги заедно и са ги етикетирали като „XDR“. Оценете дали вашето XDR решение е истинско интегрирано решение.
Разходи—тъй като технологията XDR е нова и изисква нов оперативен модел, се препоръчва избор на решения, които не изискват големи първоначални разходи. XDR решения с мащабируеми или базирани на абонамент модели на ценообразуване ще намалят риска при внедряване на XDR във вашата организация.
В тази статия представихме решенията EPP, EDR и XDR и обяснихме основните разлики между тези три решения. В действителност трите категории решения не са отделни или алтернативни. Традиционните EPP и EDR са основен компонент на съвременните стратегии за сигурност. XDR се смята в най- общ смисъл за бъдещето на сигурността на крайната точка, но не замества EPP/EDR. По-скоро ги използва и ги консолидира с други части на пакета за сигурност, за да осигури подобрена сигурност и оперативна ефективност.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.