Предприятиям иногда сложно выбрать надежное решение XDR среди множества предложений на рынке. Платформы XDR на сегодняшний день стремительно набирают популярность в сфере кибербезобасности.
Производителей становится больше и командам SecOps не просто определиться с продуктом для своей конкретной среды. При выборе поставщика XDR организациям необходимо ответить на следующие вопросы:
- Как будут выглядеть схемы/рабочие процессы после внедрения решения XDR, чтобы команда SecOps могла сосредоточиться на реальных инцидентах?
- Как решение XDR позволит команде SecOps обнаруживать, реагировать и устранять последствия по различным каналам атак, таким как данные, сеть, электронная почта, облако и конечные устройства?
- Как продукт XDR объединит специалистов по безопасности, реагированию на инциденты и операциям, чтобы они могли совместно работать как одна команда при киберинцидентах?
В этой статье расскажем о ключевых компонентах безопасности: видимость и анализ угроз.
Видимость - это один из важных факторов в системе кибербезопасности. Полноценное решение Trelix XDR позволяет организациям обеспечивать видимость различных потенциальных точек обнаружения: сеть, электронная почта, конечная точка, облако, данные, поведение пользователя. Чем выше уровень видимости, тем больше обнаружение.
Видимость также связана с обзором данных в разных частях организации. С точки зрения защиты информации предприятию необходима архитектура XDR, которая обеспечивает видимость критически важных данных, которые хранятся на конечных устройствах или передаются по сети. Организациям требуется полная наглядность этих данных, чтобы иметь возможность применять соответствующие меры безопасности для защиты. Когда у организации есть видимость, они могут обнаружить потенциальную утечку данных, которая могла произойти во время киберинцидента или при расследовании любого нарушения.
Из-за текущей гибридной рабочей среды предприятия теперь имеют свои критически важные активы, расположенные в разных операционных системах, а также в других формах размещения (аппаратные, виртуальные, облачные). Решение XDR от Trellix имеет четко определенные процессы/схемы/инструменты, которые обеспечивают группе SecOps видимость всех типов активов. Платформа гарантирует, что эта наглядность не ухудшится со временем из-за изменений в среде. Это позволяет точно и на раннем этапе обнаруживать предварительные атаки, поэтому специалисты по безопасности могут вовремя реагировать и устранять угрозы, чтобы предотвратить дальнейший ущерб.
Таким образом, прозрачность является одним из ключевых элементов безопасности, который организация должна использовать при выборе решения XDR.
Еще один важный компонент безопасности – аналитика угроз. В текущей среде организации полагаются на точную информацию для выявления и понимания угроз, нацеленных на их отрасль. Предприятия настраивают и фокусируют свои процессы обнаружения и реагирования, а также элементы управления безопасностью для быстрого выявления целевых угроз и отклика на них.
Организации обычно получают информацию об угрозах из следующих действий и каналов:
- Исследования аналитиков безопасности. Новые индикаторы угроз могут быть обнаружены, когда аналитик просматривает данные, собранные с скомпрометированной конечной точки. Показатели компрометации (IOC), которые могут быть обнаружены, включают вредоносные файлы, процессы или URL-адреса. При проведении статического и динамического анализа вредоносных файлов аналитик безопасности может определить дополнительные признаки, которые можно использовать для создания IOC.
- Коммерческие каналы информации об угрозах. Многие организации покупают проверенные каналы данных об угрозах. Некоторые из них могут иметь конкретную направленность, например, государственные субъекты, угрозы глубокого и даркнета или отраслевые угрозы.
- Информация об угрозах с открытым исходным кодом. Организации также часто полагаются на потоки информации об угрозах с открытым исходным кодом. Это и бесплатная информация из блогов поставщиков и общедоступные списки запрещенных или разрешенных материалов от исследователей безопасности.
- Группы по обмену угрозами. Существуют также различные группы по обмену угрозами, такие как группы ISAC (Центр обмена и анализа информации), которые обмениваются отраслевыми данными о потоках с проверенными участниками.
Что же делать дальше команде SecOps после получения информации об угрозах из нескольких источников? Типичные методы, которые организации используют для обмена информацией об угрозах между различными средствами, часто состоят из ручных затратных процессов. Аналитики безопасности тратят много времени на анализ и ручное обслуживание IOC в электронной таблице Excel или на платформе анализа угроз (MISP). Далее они делятся этими IOC с различными командами в своей компании с помощью электронной почты, сообщений в чате или других ручных и подверженных ошибкам методов.
Быстрый обмен информацией об угрозах имеет решающее значение для обеспечения обнаружения угроз и реагирования на них сразу же после их выявления. Это также гарантирует, что элементы управления безопасностью интегрированы и работают вместе, чтобы обеспечить эффективную многоуровневую защиту.
При выборе решения XDR, компании должны искать четко определенные встроенные сценарии и процедуры для приема, использования и обмена информацией об угрозах для конечных точек, данных, e-mail, облака, сети.
Платформа XDR предоставляет команде SecOps инструменты, необходимые им для создания информации об угрозах в рамках повседневной операционной деятельности, и возможность делиться данными об угрозах по всем каналам атаки.
Используя эту информацию, во время инцидента кибербезопасности решение для защиты данных сразу получит сигнал о том, что происходит активное вторжение, и необходимо инициировать ответные действия. С применением XDR, группы SecOps смогут автоматически генерировать и использовать аналитику угроз без необходимости ручных и трудоемких процессов.
Следовательно, анализ угроз - второй ключевой компонент безопасности, который организация должна рассмотреть при поиске решения XDR.
С детальной информацией о продуктах компании Trellix ознакомьтесь на нашем сайте, по ссылке.