Как внедрить решение класса Extended Detection and Response и сохранить деньги, время и нервы

Extended Detection and Response (XDR) – более развитая версия Endpoint Detection and Response (EDR), одного из самых популярных в последние несколько лет классов решений. Однако, как и с любым другим классом, важно выбрать именно тот продукт, который подойдет под вашу инфраструктуру и потребности в защите.

В противном случае можно впустую потратить денежные средства, персонал, нервы и время на внедрение неправильной системы и последующее исправление ошибок. В этой статье я вам покажу и расскажу, как правильно выбрать и внедрить XDR, но чтобы понять его, нужно сначала разобраться в его младшем собрате — EDR.

Откуда есть пошла защита точек конечных?

Для примера я буду использовать решения трех популярных вендоров на российском рынке – Kaspersky, Positive Technologies и F.A.C.C.T. Все они похожи по функциональности, но исторически пришли к своему современному виду разными путями. Например, «Лаборатория Касперского» начинала с антивирусного решения и аналитики, F.A.C.C.T. – с исследования кибератак в целом, а Positive Technologies – с инфраструктурных средств защиты. Всех их при этом объединяет наличие крупных центров по анализу угроз, экспертиза которых дополняет решения этих компаний.

Уточню сразу, что хоть EDR защищает в том числе и от вирусов, это не просто антивирус «на стероидах». Если у Kaspersky Endpoint Detection and Response (KEDR) он встроен, у других вендоров это не так. При этом антивирус просто проводит сигнатурный анализ кода, поступающего на хост, а EDR собирает телеметрию, проводит анализ и помогает реагировать на угрозы.

Телеметрия сама по себе не имеет особой ценности. Да, в том же KEDR есть версия, с помощью которой ее данные обогащают события антивируса, но все вендоры, в том числе зарубежные, со временем пришли к пониманию, что одной этой телеметрии мало, и нужна мощная аналитическая платформа, которая позволяет видеть всю картину безопасности организации целиком.

Посмотрим на кейс, в котором сетевой сенсор обнаружил подозрительный трафик с хоста. Этой информации самой по себе недостаточно, чтобы, во-первых, сделать вывод о том, что имеет место атака, а во-вторых, получить подробное понимание о происходящем. Тут на помощь этому сетевому сенсору приходит телеметрия, полученная из EDR, согласно которой незадолго до возникновения подозрительного трафика была создана учетная запись с повышенными привилегиями, и запущена команда с подозрительными ключами. После этого был создан процесс, который и вызвал обнаруженный трафик. Самой по себе этой информации, как и других описанных сведений также было бы недостаточно для того, чтобы определить наличие атаки. Однако, совмещая данные телеметрии с данными сетевого сенсора, аналитическая система с помощью внутренней логики сделает вывод о том, что кибератака началась. Вышеописанный пример показывает, что для максимально эффективной защиты требуется комплексное решение, с функциональностью, которую EDR в одиночку обеспечить не может. Такие возможности есть как раз у Extended Detection and Response. Теперь, когда у нас есть понимание о том, для чего он нужен, посмотрим как его выбирать и внедрять.

Для кого предназначен XDR?

В случае с XDR речь чаще всего идет об организациях с развитой экосистемой ИБ-решений. Подобные компании уже имеют на борту определенный перечень средств защиты информации (СЗИ), от антивирусов до SIEM и Sandbox. Чтобы ускорить и упростить анализ и управление всеми этими системами, как раз и требуется XDR. Он помогает не только нейтрализовывать атаки, но и делать это в автоматическом режиме. Основная задача XDR в данном случае предоставить инструменты для реагирования. Другие системы (такие как: SIEM, Anti-APT и любых другие которые могут интегрироваться по API) могут посредством интеграции воспользоваться данными инструментами для реагирования на угрозы.

Внедрение XDR само по себе несложно, и сводится к тому, чтобы правильно подключить трафик и настроить разбор данных. Главный риск и самая распространенная ошибка – выбрать неподходящее решение, т.к. все они работают немного по-разному. В целом любое XDR-решение закроет основную потребность в защите. Но инфраструктура организации состоит из разных объектов, каждый из которых требуется защищать, поэтому систему нужно подбирать с учетом этих особенностей. Отмечу, что стоит также учитывать, какие СЗИ у вас уже внедрены, стараться не смешивать экосистемы продуктов и избегать конфликтов совместимости между ними. Например, если у вас используются решения от «Лаборатории Касперского», стоит внедрить Kaspersky Anti Targeted Attack (KATA). По аналогии, если же у вас установлены решения от Positive Technologies, вам лучше подойдет их MaxPatrol EDR. Работать с продуктами из одной экосистемы лучше как с экономической точки зрения, т.к. это позволяет сэкономить средства на обучении сотрудников работе с системами, так и с технической, по причине более нативной интеграции, дополняющей друг друга функциональности и минимальных рисков конфликтов на почве совместимости.

Лучшее познается в сравнении

Посмотрим подробнее на различия XDR-решений. Больше всего из вышеупомянутых выделяется продукт от Positive Technologies, т.к. его модуль, который собирает телеметрию с хостов, был разработан позже остальных и до сих пор реализуется как отдельный продукт. В нем присутствует возможность гибкой настройки, чего нет у аналогичных решений. Например, MaxPatrol EDR позволяет спускаться на уровень сигнатур и тонко настраивать, во-первых, сбор телеметрии, а во-вторых, реакцию на каждую сигнатуру. Это позволяет в процессе исследования нарушения обрабатывать ложноположительные срабатывания либо сложные кейсы, для которых политика, применяемая по умолчанию, не подходит.

Такое решение подойдет, например, в случаях, когда в организации используется ПО собственной разработки, либо устаревшие программы. Они могут вызывать срабатывание определенных сигнатур, связанных с сетевыми атаками, если в ходе работы они устанавливают незащищенное соединение, либо пытаются задействовать определенные участки памяти. С помощью MaxPatrol EDR мы можем добавить эти программы в исключения, либо убрать эти сигнатуры по определенной реакции.

В случае с KATA логика несколько отличается. Здесь все решается на уровне инцидентов: сначала, когда телеметрия поступает в KATA, ее набор фиксирован и его нельзя изменить. Система, на основании правил внутреннего IDS-модуля, делает вывод о наличии признаков атаки, используя эту телеметрию, либо информацию с других сенсоров, например, почтового и сетевого. Когда с помощью этой информации она делает вывод о наличии атаки, формируется инцидент, и уже на этот инцидент производится реагирование, в большинстве случаев вручную. Таким образом, здесь работа по реагированию на инциденты ведется более верхнеуровнево, без микроменеджмента.

Теперь посмотрим на Managed XDR от F.A.C.C.T. В части низкоуровневой настройки он похож на KATA. Важным преимуществом обоих продуктов является гибкая настройка вариантов исполнения. Например, существуют варианты XDR, у которых телеметрия используется не для аналитики, а для обогащения событий антивируса, в том числе есть вариант, когда вся телеметрия передается вендору.

У обеих компаний этот вариант называется Managed EDR. Он дороже, чем обычный, но позволяет снизить загрузку администратора безопасности, перекладывая труд по расследованию инцидентов на специалистов Security Operations Center (SOC) со стороны вендора. Если в штате компании-клиента нет специально выделенных специалистов, способных в круглосуточном режиме следить за срабатыванием систем безопасности, или сотрудников, которые имеют квалификацию по расследованию инцидентов, то для нее экономически выгоднее будет пересылать телеметрию вендору, где специально обученные люди занимаются расследованием инцидентов, предоставляя информацию по результатам, без ложноположительных срабатываний. Отчеты содержат только те инциденты, на которые действительно стоит обратить внимание, например, связанные с теми или иными атаками, а также рекомендации по дальнейшим действиям, вплоть до настройки экосистемы.

Посмотрим на еще одно отличие MaxPatrol EDR. Он способен строить топологию сети, например, в автоматическом режиме выявлять те или иные события (передачи незашифрованных видов, логинов, паролей). Также он записывает эту информацию в сессии, разделяя ее на определенные части, и со всей этой информацией может взаимодействовать сам EDR/XDR. В KATA, например, такого нет. При этом отмечу, что решения от Positive Technologies и Kaspersky не работают с зашифрованным трафиком. Сетевой трафик на сенсоры уже должен подаваться расшифрованным, например с помощью SSL-инспекции и протокола ICAP.

Еще один важный фактор – возможность эмулировать инфраструктуру ОС и прикладного ПО клиента в Sandbox. Существует множество примеров атак, которые были созданы под конкретную организацию, и вредоносное ПО проверяло всю информацию, вплоть до принадлежности к домену: его название, название конкретных учетных записей и версии ПО, которое установлено на хосте, прежде чем начать вредоносную активность. Поэтому вендоры ХDR-решений уделяют большое внимание модулю «песочницы», в котором доступно множество операционных систем на выбор, в том числе российские ОС, такие как CentOS (поддерживается Kaspersky) и Astra Linux (Positive Technologies).

Также эти модули поддерживают возможность загрузки собственного образа, в котором будут зашиты нужные версии ПО. Все вендоры активно борются с вредоносным ПО, которое пытается понять, находится ли оно в песочнице. Как выбрать решение с подходящим вам Sandbox’ом? Ориентируйтесь на список поддерживаемых ОС, т.к. информацию о технологиях, применяемых в этих модулях, каждый вендор раскрывает только верхнеуровнево. Также стоит обращать внимание на список форматов файлов, которые они могут анализировать.

Помимо этого, очень важно наличие возможности кастомизировать виртуальную машину под инфраструктуру заказчика, то есть под среднестатистический АРМ, и установить на них такие же версии систем, как и те, которые использует клиент. Например, в зависимости от того, какой офисный пакет используется в компании, требуется, чтобы Sandbox умел находить злоумышленников в соответствующем формате файлов.

Напоследок сравним XDR-решения с точки зрения электронной почты. Каждый XDR умеет работать с почтой, переносить в «песочницу» вложения и анализировать их, в том числе безопасно открывать ссылки из тела письма. Однако они по-разному поступают после того, как признают письмо вредоносным. Например, KATA интегрируется с антиспамом от “Лаборатории Касперского” – Kaspersky Secure Mail Gateway – и выдает ему вердикт «антиспам», но до того задерживает письмо. После вынесения вердикта она пересылает письмо адресату либо задерживает его вновь. Sandbox от Positive Technologies встраивается в поток почты и сам служит антиспам-агентом. То есть весь почтовый поток просто проходит через него, и уже он сам задерживает почту.

Решение F.A.C.C.T. XDR встраивается в поток почты и включает в себя проверку не только на предмет ВПО, но и на спам/фишинг. Действия по результатам анализа письма настраиваются и зависят от того, какой классификатор определяет письмо как опасное или нежелательное. Например, отправить в карантин, добавить в тему предупреждение. В том числе, при проверке писем доступен ретроспективный анализ. В случае, когда вредоносная нагрузка по ссылке в письме появится позже, чем письмо было отправлено, то содержимое по ссылке всё равно будет проверено, а письмо заблокировано. Что из этого выбрать – решать вам на основании того, какой способ для вас удобнее.

Вместо вывода

Чтобы правильно подобрать XDR, требуется подробно изучить о нем всю доступную информацию, включая совместимые версии ОС, поддерживаемые форматы файлов, возможности интеграции с решениями других классов, и т.д. Стоит ориентироваться на вендоров уже внедренных решений, особенности вашей инфраструктуры и ваши конкретные потребности. Если же вы хотите упростить и ускорить процесс выбора и внедрения, оставьте заявку на консультацию у нас на сайте.

Автор: Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT