Альтернатива SOC? Роль XDR в современных центрах мониторинга и реагирования на инциденты

Альтернатива SOC? Роль XDR в современных центрах мониторинга и реагирования на инциденты

Задача автоматизации рутинных процессов обнаружения и реагирования на угрозы с целью минимизации затрачиваемого на них времени обозначена перед всеми современными командами и центрами информационной безопасности. Данная задача — своего рода вызов для индустрии ИТ и ИБ, ответ на которую компании-производители ищут не первый десяток лет, выпуская на рынок решения для автоматизации задач сбора и обработки событий (SIEM), автоматизации и управления исполнением рутинных процессов реагирования (SOAR).

Очередным технологическим предложением, находящим всё большее распространение и включаемым в портфель вендоров кибербезопасности, являются платформы расширенного детектирования и реагирования (Extended Detection and Response — XDR). В первом приближении концепция XDR в части сведения воедино и обработки в реальном времени событий безопасности с различных векторов может показаться крайне близкой по духу и функциональности SIEM-решениям, зарекомендовавшим себя технологическим ядром центров мониторинга.

С появлением на рынке новых продуктов закономерно встаёт вопрос востребованности и обоснованности инвестиций в них. Какую же добавленную ценность может привнести концепция XDR при решении современных задач Security Operations и насколько стоит вопрос замещения уже сложившегося инструментария?

Современные инфраструктуры генерируют нескончаемый поток событий и алертов безопасности в SIEM, так или иначе приводящий к переизбытку информацией команды аналитиков SOC. Недостаток контекста угрозы и детализации по алертам, формируемым независимо при помощи отдельных инструментов, усложняет задачу восстановления целостности картины инцидента за счёт необходимости дополнительных проверок и эскалаций и влечёт ухудшение показателей времени устранения угрозы.

Вывод на рынок концепции XDR как альтернативного подхода к повышению автоматизации и степени наглядности за счёт кросс-продуктовых сценариев и получения общего контекста для разных векторов атак (конечные точки, сетевой трафик и почта, облака, identity, etc.) рассматривается как явление эволюционное, особенно учитывая рост вширь продуктовых портфелей производителей систем безопасности. Стоит отметить, что разнородность продуктовых линеек последних вкупе с сильными и слабыми сторонами производителей ПО приводит к тому, что найти две одинаковые реализации XDR-концепции будет не так просто.

Возможность включения XDR-платформы для закрытия части функций SOC потенциально обоснована следующими тезисами и драйверами:

Уникальность практической экспертизы вендора

Готовый, «из коробки», набор корреляционной логики, работающей в парадигме минимизации уровня ложноположительных срабатываний, учитывает даже «слабые» сигналы с источников в процессе выявления угроз. Принимая во внимание всю комплексность и уникальность процессов производства современных решений ИБ, очевидно, что описать внутреннюю поведенческую логику и продуктовую «обвязку» точнее производителя этих решений невозможно.

Потенциально при наличии соответствующей технической возможности «сырые» события с сенсоров (к примеру, endpoint-агентов) можно отправлять в SIEM напрямую, однако насколько тяжёлой представляется для команды ноша в виде дополнительного объёма телеметрии, её нормализации и реализации на ней соответствующей детектирующей логики? Да и зависимость схем лицензирования SIEM-систем от потока событий никто не отменял.

Крайне удачной выглядит концепция предварительного обогащения телеметрии дополнительной информацией, углубляющей контекст, снижающей количество событий, отправляемых в SIEM, и уменьшающей требования к SIEM инсталляции. Данное обогащение может быть произведено как на уровне порождения события (АРМ, сеть, почтовый трафик, веб-трафик, облачные приложения), так и по пути следования к месту сборки в SIEM с использованием данных Threat Intelligence.

Повышенная степень автоматизации

Автоматизация тесно связана с интеграционными возможностями, а в XDR интегрированность уже как свойство встроено в архитектуру самой платформы.

При острейшей нехватке человеческого ресурса и экспертизы предоставление удобного механизма расследования, оркестрации и готовых сценариев реагирования на сложные угрозы является в своём роде спасательным кругом и элементом повышения общей эффективности команды. Классический SIEM, как правило, не имеет «из коробки» развесистой логики и планов реагирования, или же требуется дополнительная реализация реагирования в смежных системах класса SOAR. Работа с последними уже требует более серьёзной аналитической зрелости и тюнинга, а следовательно, серьёзных трудозатрат.

В XDR точка потенциального реагирования на условной временной шкале инцидента максимально приближена к точке выявления угрозы, при этом требуя минимальных усилий по настройке. Корреляция событий с нескольких источников и низкий уровень ложноположительных срабатываний позволяет более уверенно осуществлять реакцию на угрозу.

Доступность порога вхождения в технологию

XDR и SIEM/SOAR имеют отличающиеся друг от друга циклы интеграции: эффективная реализация SIEM/SOAR априори предполагает проектный и долгосрочный характер (может занимать годы), сильно зависит от планирования и отличается высокими требованиями к команде. Для отдельных организаций начать с реализации «коробочного» XDR-решения — значит оперативно выйти на уровень эффективности исполнения стоящих задач и сбалансировать показатель ROI.

Инструменты глубокого расследования

Даже обладая событиями, собранными со всех источников эшелонированной системы защиты, извлечь из них контекст, на основании которого аналитик мог бы оперативно принять обоснованное решение о выборе той или иной опции по реагированию, — непростая задача. Важным фактором здесь является требуемая высокая степень компетенции как минимум в двух обширных областях:

1. Применяемые решения ИБ. Данная область требует от эксперта чёткого понимания тонкостей в работе используемых решений, а также, возможно, навыков в пусконаладке и их администрирования.
2. Системное окружение, где выявлен инцидент, реагирование на который необходимо произвести. В эту область входит знание особенностей среды, понимание той инфраструктуры, мониторинг и защиту которой осуществляет аналитик, знание основных тактик, техник и процедур злоумышленников, а также методов реагирования на них.

Детектирующая логика SIEM-систем довольно часто строится на отдельных событиях или на связке нескольких корреляционных событий, что потенциально может дать представление о взаимосвязях событий в ходе атаки, однако для действительно сложных кейсов задача восстановления хронологии атаки непроста. В таких случаях, как правило, потенциальный масштаб атаки аналитик вынужден определить самостоятельно, формируя и проверяя собственные гипотезы, осуществляя поиск событий в «окрестностях» алерта (поиск подозрительных событий на хосте, включая работу легитимных утилит и др.) и добавляя новые подозрительные события в алерт вручную.

Предлагая к реализации концепцию XDR, вендоры безопасности поставляют не только технические средства защиты, но также и контекстные модели взаимосвязи разрозненных событий, проработанные сценарии реагирования на них и дополнительный аналитический инструментарий. В частности, в роли последнего может выступать хронологически выверенный визуальный граф связей.

Если же речь идёт о сопровождении процесса поиска угроз, то в этом случае платформа XDR предоставит доступ к данным киберразведки (Threat Intelligence) своего или независимого производителя.

О ВАЖНОСТИ ИНТЕГРИРОВАННОЙ ИСТОРИИ

Вместе с описанными выше возможностями, на текущий момент гибкость SIEM-технологии в части реализуемых сценариев (use cases) и функций (лог-менеджмент, поведенческая аналитика и др.), подключения множества разнородных и сторонних источников, закрытия compliance-вопроса вкупе с уже состоявшимися инвестициями в проект (а внедрение SIEM — это всё же проектная активность) ещё остаются факторами, сдерживающими процесс полноценной замены SIEM как некой универсальной и централизованной платформы безопасности альтернативой в виде XDR.

Факт принадлежности продуктов-компонентов одному-единственному вендору средств защиты, присущих классическому представлению об XDR, также может навести заказчика на мысль о потенциальном закрытии лишь ограниченного спектра сценариев (для которых у производителя есть продукт и соответствующая экспертность).

Крайне важно отметить, что производитель, в продуктовый портфель которого входят оба технологических решения, способен реализовать явное преимущество при построении так называемой открытой XDR-платформы (Open XDR), в которой компоненту SIEM отведена рольне только как точки сбора и обработки событий и инцидентов, но и как источника обогащённой телеметрии для того же XDR, реализовывая тем самым замкнутую цикличную систему по выявлению инцидентов без оглядки на производителя конечного устройства источника событий.

Всё это с уверенностью позволяет сказать, что оба класса технологий могут взаимно и органично обогащать друг друга за счёт свойственных им специфичных сценариев, адресуя всё больший фокус на автоматизацию и глубину процесса расследования и реакции на сложные и целевые угрозы, в то же время минимизируя объём требуемых ресурсов.