Автор: Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.C.C.T.
Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
Первая часть, XD (расширенное обнаружение), дает аналитикам SOC возможность применять методы обнаружения и анализа угроз на всех уровнях защищаемой инфраструктуры, а не ограничиваться лишь конечными устройствами или трафиком. Мы получаем мгновенный доступ к большому объему метаданных: из сетевого и почтового трафика, от пользовательских устройств и серверов, от другого периферийного оборудования и ПО. Это позволяет быстро получить целостную картину при анализе алертов, определить реальный уровень критичности и инициировать следующие этапы реагирования и расследования.
Однако важно не забывать о знаниях, как совершаются атаки и кто их совершает. Современный разработчик XDR обязан иметь нативную синхронизацию с собственной киберразведкой и в то же время давать возможность интеграции с CTI-данными других вендоров, чтобы не только эффективно выстраивать детект, но и обогащать контекстом инциденты, обнаруженные XDR, в режиме единого окна.
Вторая часть, XR (расширенное реагирование), дает саму возможность самостоятельного реагирования, при этом существенно сокращая время этого процесса. Функционал EDR, помимо автоматической блокировки, позволяет аналитикам применять процедуры реагирования, расследования и восстановления на устройствах, задействованных в инциденте, прямо из единой консоли XDR.
Комбинация подходов XD и XR позволяет значительно увеличить эффективность SOC-команды, давая универсальный инструмент – швейцарский нож, который позволяет быстро нейтрализовывать инциденты до момента, когда угрозы будут реализованы.
Не секрет, что традиционные SOC исторически строились с ориентиром на работу вокруг SIEM, что оставляло свой отпечаток на их операционной деятельности. Такие критические процессы, как сбор событий, написание правил корреляций и детектирования актуальных угроз, ложились на плечи SOC. Качество и глубина детектирования напрямую зависели от экспертизы команды, которая, не стоит забывать, в первую очередь была ориентирована на мониторинг событий ИБ. Поэтому в таких командах органически возникали обособленные бэк-линии, специализирующиеся на отдельных направлениях – анализе угроз, разработке детектирующей логики и т.д. Усложнение структуры и увеличение штата за счет непрофильных SOC-специалистов приводило к увеличению себестоимости операционной деятельности.
С появлением XDR началось медленное, но существенное движение в сторону изменений в подходах к мониторингу и реагированию. Первыми на практике это ощутили SOC на базе компаний-разработчиков XDR-решений. Не случайно на зарубежном рынке первопроходцами в MDR (Managed Detection and Response) становились компании-вендоры современных средств защиты, в частности, разработчики XDR. По мере того, как XDR начинает завоевывать все большее признание специалистов по безопасности, MDR-подход начинает активно проникать в коммерческие SOC.
Но не все проходит гладко. Сложность перехода заключается в необходимости перестройки SOC, даже несмотря на готовые интеграции XDR с SIEM, – приходится выстраивать существенно новые процессы, ориентированные на активное реагирование. Переход также требует немалых затрат, а SOC-команды, как правило, и без того сталкиваются с ресурсными ограничениями.
Но несмотря на сложности, все больше коммерческих SOC начинают внедрять XDR в рабочую практику, – даже если не полное решение, то, по крайней мере, мониторинг EDR совместно с NTA, параллельно трансформируя свои процессы, ориентированные на реагирование.
В условиях, когда аналитики погружаются в рутинные оповещения и расследования, часто приводящие к ложным срабатываниям, растет не только уровень их стресса, но и вероятность упущения действительно важных угроз. Перегрузка алертами в значительной степени обусловлена разрозненными и иногда неэффективными защитными решениями, интеграция которых весьма трудозатратна и требует постоянной поддержки.
Другая важная проблема – сложность в применении на практике стратегических и тактических знаний киберразведки (CTI), что также увеличивает поток нерелевантных алертов. Многие организации по-прежнему используют SIEM как основной инструмент для детектирования, но не все команды способны эффективно разрабатывать контент, способный выявлять действительно серьезные и актуальные угрозы.
Коммерческим SOC-командам также требуется тратить колоссальные силы на настройку стандартных средств защиты под актуальный ландшафт угроз. Причем этот процесс должен быть непрерывным, чтобы соответствовать постоянно меняющимся условиям.
В результате зоопарк из защитных решений и отсутствие контекста об угрозах приводят к экономической неэффективности как команд, так и самого процесса обеспечения кибербезопасности. Организации продолжают тратить значительные средства на капитальные и операционные расходы, но деньги сами по себе не могут предотвратить критические инциденты.
В Центре кибербезопасности F.A.C.C.T. применяется XDR-центричный подход, при котором основой мониторинга и реагирования является технология XDR, а все остальные защитные решения, например SIEM, служат лишь источниками дополнительного контекста.
Сегодня в продуктах XDR уже заложена корреляция событий для снижения количества ложных срабатываний и ускорения обнаружения самых актуальных угроз. Этот детект является результатом работы большого количества специалистов, которые ежедневно занимаются расследованием киберпреступлений, компьютерной криминалистикой и исследованием угроз.
В случае, если SOC располагает новым/свежим индикатором атаки, можно вручную добавить необходимое правило или написать сигнатуру. Однако это не должно становиться основным операционным процессом SOC, использующего XDR. Такой подход позволяет сместить фокус на оперативную реакцию, расследование и нейтрализацию угроз.
В рамках синергии собственных продуктов, используемых Центром кибербезопасности F.A.C.C.T., помимо XDR, применяются и другие решения, например продукт класса ASM (Attack Surface Management), ориентированный на анализ и оценку внешней поверхности атаки защищаемой инфраструктуры.
Если ASM обнаруживает проблему, аналитики оперативно проводят ее верификацию и направляют персонализированное уведомление клиенту. Однако, если на основе данных киберразведки известно, что некоторая атакующая группа из ландшафта угроз клиента использует выявленную уязвимость для получения первоначального доступа, то критичность инцидента возрастает. В рамках анализа запускается процедура расследования: ретроспективно анализируется трафик на предмет коммуникаций, свидетельствующих о попытках эксплуатации уязвимости. В случае установленного EDR-агента на уязвимом устройстве проводится ретроспективная оценка его компрометации. В итоге, удостоверившись, что атака не состоялась, наш SOC берет это устройство на особый контроль до устранения уязвимости.
Правильно интегрированный в инфраструктуру XDR сразу предоставляет внешней команде SOC налаженные механизмы кросс-уровневой корреляции событий из различных источников. А совсем небольшой тюнинг правил на основе данных киберразведки позволит проводить поиск атакующих из персонального ландшафта угроз для каждого конкретного клиента.
Сегодня на базе XDR успешно оказываются услуги, которые реализуются тремя сервисами: круглосуточный мониторинг, проактивный поиск угроз и реагирование на инциденты.
Система безопасности хороша, когда эшелонированный подход или многоуровневые ИБ-решения работают как единое целое, тем самым повышая эффективность как компонентов защиты инфраструктуры, так и самой SOC-команды. XDR-решения развиваются, следуя этому принципу.
Переход Центра кибербезопасности F.A.C.C.T. к XDR-центричному подходу в рамках оказания классических услуг мониторинга открыл перед командой новые возможности развития сервиса, фокусирующегося на самостоятельной нейтрализации угроз внутри защищаемых инфраструктур. Реагирование и проактивный поиск позволили снять с клиентов еще больше практических и критических для обеспечения кибербезопасности задач, предоставив им возможность фокусироваться на более стратегических целях.