Blog

Blogs

Cynet XDR - wyższy poziom cyberochrony

Każdego dnia specjaliści ds. bezpieczeństwa są zasypywani tysiącami alertów generowanych przez rosnącą liczbę rozwiązań stosowanych w obszarze bezpieczeństwa. Badanie i łączenie poszczególnych alertów może zająć nawet kilka dni. Po wykryciu zagrożeń czas potrzebny do zrozumienia zakresu ataku i zastosowania działań naprawczych mierzony jest w miesiącach. Według raportu IBM Cost of a Data Breach Report 2019 średni czas na zidentyfikowanie złośliwego ataku wynosi 230 dni, a średni czas na powstrzymanie ataku to 84 dni. Jednocześnie obserwuje się, że liczba incydentów cybernetycznych nadal rośnie, pomimo zwiększonych inwestycji w zakresie cyberbezpieczeństwa.

Wyższy poziom zapobiegania, wykrywania i reagowania na cyberzagrożenia

 

Obecnie na rynku pojawiła się nowa klasa narzędzi z zakresu bezpieczeństwa, które obiecują znaczącą poprawę skuteczności i wydajności wykrywania zagrożeń oraz reagowania na nie. Firma Gartner zdefiniowała nową kategorię rozwiązań, które agregują i korelują dane telemetryczne z wielu punków wykrywania, a następnie syntetyzują i automatyzują działania związane z reakcjami - Extended Detection and Response (XDR).

 

Wyzwanie związane z ochroną przed zagrożeniami: więcej rozwiązań punktowych nie trafia w punkt

 

Firmy zazwyczaj wdrażają wiele technologii zapobiegania i wykrywania w celu ochrony punktów końcowych, sieci, użytkowników i danych. Chociaż narzędzia te generalnie wykonują dobrą robotę, zapobiegając i wykrywając zdecydowaną większość cyberataków, jednak nadal pomijają takie przypadki jak podstępne ataki naruszające „szczeliny” rozwiązań punktowych. Widoczność w środowisku i zrozumienie kontekstu danych dotyczących bezpieczeństwa i alertów to pierwszy krok na drodze do rozwiązania problemu złożoności.

 

Ochrona punktów końcowych to za mało

 

Wiele organizacji skorzystało z rozwiązań Endpoint Detection and Response (EDR), Endpoint Protection Platform (EPP) i nowej generacji antywirusów (NGAV) w celu zwiększenia ochrony wykraczającej poza powszechnie używane platformy antywirusowe (AV).

Rozwiązania EDR / EPP / NGAV okazały się bardzo przydatne w zapobieganiu i wykrywaniu wielu form ataków wymierzonych w punkty końcowe. Jednak cyberprzestępcy szukają sposobów na ominięcie tych "przeszkód" skoncentrowanych na punktach końcowych za pomocą coraz bardziej wysublimowanych ataków. Potwierdzone przypadki naruszeń nadal rosną pomimo ogromnych inwestycji w rozwiązania i zasoby cyberbezpieczeństwa.

 

Potrzeba ujednoliconego wykrywania

 

Największym wyzwaniem w obszarze cyberbezpieczeństwa jest obecnie jak najszybsze wykrywanie zagrożeń, które omijają zabezpieczenia pierwszej linii. Coś, co może wydawać się nieszkodliwe w przypadku jednego rozwiązania zabezpieczającego, nagle staje się powodem do niepokoju, gdy zostanie skonfrontowane z informacjami z innych rozwiązań z zakresu bezpieczeństwa. Skonsolidowanie technologii zapobiegania i wykrywania w jednym rozwiązaniu może koordynować sygnały zagrożenia, aby stworzyć dokładniejszy obraz całej mapy ataków.

 

Reagowanie

 

Kolejnym ważnym krokiem w kierunku uproszczenia bezpieczeństwa jest zautomatyzowanie działań reagowania na rzeczywiste zagrożenia zidentyfikowane poprzez lepszą widoczność i kontekst. Zespoły ds. bezpieczeństwa spędzają dziś dużo czasu na badaniu fałszywych alarmów. Potwierdzone zagrożenia wymagają dostępu do wielu elementów sterujących za pośrednictwem wielu konsol i schematu prezentacji w celu zbadania pełnego zakresu ataku. Usuwanie zagrożeń wymaga również zaplanowania i koordynowania działań naprawczych w wielu systemach bezpieczeństwa. Zespoły ds. bezpieczeństwa bywają często przytłoczone obsługą i utrzymywaniem zbyt wielu rozwiązań punktowych.

 

XDR: nowe podejście do wykrywania i reagowania na zagrożenia

 

XDR pomaga zespołom ds. bezpieczeństwa, konsolidując alerty w zdarzenia i jednocześnie automatyzując inwestygację i reagowanie. Podstawowe elementy platformy XDR to widoczność zagrożeń, orientacja na incydenty i automatyzacja reagowania.

 

Szeroka widoczność i ochrona przed zagrożeniami

 

Szeroka widoczność głównych komponentów prewencji i wykrywania, które zapewniają najbardziej istotne dane telemetryczne o zagrożeniach stanowi podstawę XDR. Połączenie sygnałów z tych komponentów daje kontekst wymagany do wykrywania podstępnych, niezauważonych ataków, zapewniając jednocześnie znacznie większą dokładność wykrywania i eliminując fałszywe alarmy.

Ponieważ zawarte w nim komponenty są częścią jednej platformy, informacje o alertach można łatwo znormalizować i połączyć. Jest to z pewnością wyzwaniem w sytuacji, kiedy próbuje się koordynować rozwiązania wielu dostawców. Zdefiniowanie, które komponenty prewencji i wykrywania powinny być zawarte w platformie XDR jest niezwykle ważne. Chociaż pojawiają się sugestie, aby włączyć bardzo szeroką gamę narzędzi do wykrywania i bezpieczeństwa, należy skoncentrować się na elementach obejmujących główne wektory ataków. Narzędzia XDR powinny zawierać sygnały z następujących kluczowych komponentów:

 

  • NGAV (Next Generation AntiVirus) 
  • EPP / EDR (Endpoint Protection Platform/Endpoint Detection and Response)
  • EUBA (Entity and User Behavioural Analytics) 
  • NTA (Network Traffic Analysis) 

 

Połączenie sygnałów z tych kategorii rozwiązań zapewnia szeroką widoczność niezbędną do wykrycia większości ataków w całym łańcuchu cyber-przestępstw. Oczywiście inne dane mogą uzupełniać ten zestaw podstawowy jednak wykazano, że składniki te gwarantują najlepszy efekt. Rekomenduje się również, aby jak najwięcej komponentów było natywnych dla platformy. Oznacza to, że wszystkie sygnały są odpowiednio znormalizowane i ważone, a wszystkimi funkcjami i regułami można zarządzać z jednego interfejsu. Eliminuje to również czas i wysiłek wymagany do integracji i ciągłego utrzymywania narzędzi od wielu dostawców.

 

Orientacja na incydenty

 

Centralizacja sygnałów z wielu narzędzi do wykrywania umożliwia platformom XDR łączenie alertów i danych w incydenty. Platformy XDR mogą inteligentnie łączyć pozornie łagodne sygnały z wielu źródeł, aby wykrywać zagrożenia, które nie zostały zidentyfikowane przez żadne pojedyncze źródło. Platforma może również określić, czy alerty powinny być łączone i eskalowane w całościowe incydenty, czy też odrzucane jako fałszywie pozytywne.

Tworzenie holistycznych incydentów zapewnia o wiele szerszy kontekst do reagowania na poszczególne alerty. Incydenty obejmują wszystkie istotne alerty i informacje związane z atakiem w celu przyspieszenia dochodzenia, podejmowania decyzji i reagowania. Przedstawianie zagrożeń w ujednoliconym widoku incydentu jest znacznie bardziej wydajne niż przełączanie się między wieloma systemami w celu zebrania tej samej informacji, o ile jest to w ogóle możliwe.

 

Automatyzacja reakcji

 

Po sformułowaniu incydentu bezpieczeństwa wraz ze wszystkimi powiązanymi szczegółami i kontekstem platformy XDR zapewniają również możliwość reagowania w celu szybkiego i automatycznego zapobiegania lub minimalizowania szkód. Działania zaradcze koncentrują się na zbadaniu, automatycznym zbieraniu informacji związanych z incydentem, określeniu pierwotnej przyczyny i przeanalizowaniu skutków zagrożenia.

Większość narzędzi XDR zapewnia w pewnym zakresie automatyzację działań naprawczych, takich jak usuwanie złośliwych plików, poddawanie zainfekowanych punktów końcowych kwarantannie lub likwidowanie wątpliwych procesów. Bardziej zaawansowane platformy XDR rozszerzają postępowanie naprawcze w całym środowisku i automatyzują bardziej złożone procesy, które łączą różne działania naprawcze w jeden przepływ uruchamiany automatycznie po wyzwoleniu wstępnie zdefiniowanego alertu.

Wiele dużych organizacji korzysta z technologii Security Orchestration, Automation and Response (SOAR) w celu zbierania zagrożeń. Platformy XDR z wbudowanymi natywnie wieloma zabezpieczeniami mają potencjał, aby zapewnić funkcje podobne do SOAR bez konieczności ponoszenia „ciężaru” wymaganego dla pełnego rozwiązania SOAR.

 

Zalety XDR

 

Precyzja

 

XDR zapewnia kompleksowość i ujednolica wiele punktów kontrolnych, aby lepiej wspierać proces zapobiegania, wykrywania i reagowania na zagrożenia. W efekcie poprawie ulega skuteczność wykrywania, maleje złożoność i koszty ogólne wymagane do kompleksowej ochrony przed zagrożeniami.

Platformy XDR zapewniają szerszy wgląd w nadchodzące zagrożenia, natywnie łącząc mechanizmy zapobiegania i wykrywania z istotnych wektorów ataków. Ten holistyczny pogląd umożliwia platformom XDR automatyczne selekcjonowanie prawdziwych alertów, a także odkrywanie subtelnych niuansów dotyczących zagrożeń, które w innym przypadku mogłoby pozostać niezauważone. Widoczność i "inteligencja" oferowana przez XDR zapewniają niespotykaną dotąd dokładność wykrywania zagrożeń.

 

Wydajność

 

Zespoły ds. bezpieczeństwa spędzają znacznie mniej czasu na pogoni za fałszywymi alarmami na platformach XDR. Wiele rzeczywistych zagrożeń jest usuwanych automatycznie, bez konieczności ręcznej interwencji. Potwierdzone incydenty są albo automatycznie badane i naprawiane, albo towarzyszą im bogate dane i kontekst pozwalający skrócić reagowanie i ręczne dochodzenie. W tym przypadku wyeliminowany zostaje czas wymagany do integracji, utrzymania i obsługi systemów różnych dostawców.

 

Redukcja kosztów

 

Konsolidacja wielu produktów zabezpieczających w jedną platformę XDR zapewnia znaczne oszczędności zarówno pod względem kosztów bezpośredniego dostawcy, jak i wsparcia wewnętrznego. Z kolei mniejsze firmy, które nie posiadają pełnego zestawu narzędzi automatycznie zyskują wgląd w szeroki zakres zagrożeń dzięki zakupowi pojedynczego rozwiązania XDR. Redukcja dużej liczby alertów do mniejszej liczby znaczących incydentów wraz z automatyzacją działań reagowania skraca czas, jaki zespoły ds. bezpieczeństwa spędzałyby na tych zadaniach.

 

Cynet XDR

 

Jest to holistyczna platforma, która ujednolica wiele punktów kontrolnych w celu koordynowania zapobiegania, wykrywania i reagowania na zagrożenia. Takie podejście poprawia dokładność wykrywania, jednocześnie radykalnie zmniejszając złożoność i obciążenie wymagane do kompleksowej ochrony przed zagrożeniami.

 

Cynet wyznacza standardy dla platform XDR

 

Łącząc sygnały z punktów końcowych, sieci i kontroli użytkownika Cynet XDR oferuje pełną widoczność w środowisku IT. Moc wykrywania uzyskana przez natywne łączenie sygnałów i danych z wielu źródeł nie byłaby możliwa do osiągnięcia za pomocą silosów czy rozwiązań punktowych. Warto podkreślić, że nawet najbardziej zakamuflowane ataki są w pełni wyeksponowane dzięki Cynet XDR.

 

Pełne zapobieganie i wykrywanie

 

Cynet XDR zapewnia wiele zintegrowanych technologii prewencyjnych do blokowania standardowych i zaawansowanych ataków w środowisku IT. Zastosowana technologia ma na celu zachęcenie cyberprzestępców, którzy przeniknęli do sieci do ujawnienia się zanim powstanie realna szkoda.

 

Orientacja na incydenty

 

Centralizacja sygnałów z wielu źródeł wykrywania umożliwia Cynet XDR grupowanie powiązanych alertów i danych w incydenty. Incydenty obejmują wszystkie powiązane alerty i wskaźniki kompromitacji (IOC) związane z atakiem w celu przyspieszenia dochodzenia, podejmowania decyzji i reagowania. Przedstawianie zagrożeń w ujednoliconym widoku incydentów oznacza mniejsze obciążenie. Co więcej, użytkownicy nie muszą przełączać się między wieloma systemami, aby zbierać informacje o zagrożeniach.

 

Automatyzacja odpowiedzi

 

Cynet XDR zapewnia w pełni zautomatyzowane narzędzia odpowiedzi dla różnych środowisk dochodzenie i środki zaradcze. Dochodzenia są w pełni zautomatyzowane - najpierw ustalana jest podstawowa przyczyna, a następnie dokonywana jest analiza pełnego zakresu i skutków zagrożenia. Korzystając z gotowych i niestandardowych narzędzi naprawczych Cynet XDR przyspiesza i optymalizuje przepływy pracy związane z reagowaniem na incydenty, wyposażając zespoły ds. bezpieczeństwa w pełny pakiet środków zaradczych bez konieczności zmiany konsoli Cynet.

 

 

More Blog Entries

Jak sztuczna inteligencja zmienia firmy?

Obecnie ilość gromadzonych i przetwarzanych informacji jest większa niż kiedykolwiek wcześniej. Fakt ten w pewien sposób rewolucjonizuje sposób działania organizacji. Firmy wykorzystują zaawansowaną analitykę, aby uzyskać przewagę konkurencyjną na swoich rynkach, nieustannie zmieniając modele biznesowe w miarę rozwoju technologii w tym obszarze. Przyjrzyjmy się, w jaki sposób oprogramowanie oparte na sztucznej inteligencji i machine learningu zmienia analitykę biznesową i czego możemy się spodziewać po AI w kontekście przyszłości.