Чем изощреннее становятся киберпреступники и чем сложнее их угрозы, тем больше решений предлагают ИБ-вендоры для защиты инфраструктуры. Количество информационных систем тоже увеличивается, и это добавляет головной боли специалистам, отвечающим за информационную безопасность этих систем. В тех случаях, когда речь идет о системообразующих организациях, имеющих федеральное значение, становятся актуальными и требования регуляторов.

Рынок ИБ-решений реагирует на продолжающееся усложнение условий. В последний год получили распространение XDR (Extended Detection and Response) – платформенные решения, позволяющие обеспечить комплексный подход к защите от нападений, включающий детальный анализ, расследование инцидентов и оперативное реагирование на них.

Что такое XDR

Однозначного определения XDR не существует. Некоторые вендоры считают XDR концепцией или подходом к обеспечению кибербезопасности, другие – платформой, которая объединяет ИБ-продукты (чаще всего от одного производителя). Наконец, существует третья точка зрения, утверждающая: XDR – отдельный продукт.

Ближе всего к истине – второе определение. Дело в том, что назначение XDR – обеспечение связи между всеми средствами информационной безопасности, которые защищают элементы информационной инфраструктуры. Это позволяет быстро определить характер атаки и ее источник, определить ее последовательность и, при этом, исключить «ложные срабатывания» системы безопасности. Без XDR на это подчас требуется значительное время и огромный объем аналитической работы.

Еще одна задача XDR – определение начальной и конечной точек атаки, понимание первопричин, что именно интересует злоумышленников и зачем они пытаются проникнуть в защищенный периметр организации.

Наконец, XDR применяется для проактивного поиска угроз и реагирования на них и это в рамках всей защищаемой инфраструктуры. Подключаемое количество источников или ИБ-продуктов в XDR зависит от конкретного вендора и имеющихся у него, в первую очередь, инструментов в портфолио. И в первую очередь – это EDR решение, которое является ключевым элементов решения класса XDR.

Почему XDR – не EDR

Мы уже рассказывали о классе решений EDR на примере подобного продукта «Лаборатории Касперского». Поэтому здесь коротко повторим самое важное. Продукты EDR (Endpoint Detection and Response) предназначены, как и следует из их названия, для обнаружения угроз и реагирования на них на уровне инфраструктуры конечных точек: персональные устройства, сервера, виртуальные машины. 

Такое внимание к конечным точкам не случайно, чаще всего именно через них осуществляется вторжение. Именно его и призваны определить EDR. Кроме того, конечные точки являются единственным источником такого объема данных для проведения качественного расследования сложных инцидентов. В задачу EDR-решений входит сбор и анализ данных с конечных точек, обнаружение угроз, проактивный поиск угроз (threat hunting), и, расследования и реагирование на инциденты.

Но все это – только основа для XDR, которое призвано защищать потенциальные точки входа злоумышленников, в том числе, и за пределами конечных точек. В современных реалиях это означает, что при помощи XDR организация будет собирать ИБ-данные с разных источников, консолидировать и коррелировать их, анализировать, проводить расследования инцидентов и организовывать отражение нападений.

И EDR для XDR пусть и важнейший, но не единственный инструмент. EDR вместе с другими решениями (а в их числе – почтовые и веб-шлюзы, защита сетевого трафика, или даже специфические средства безопасности для IoT-устройств, различных датчиков или, к примеру, банкоматов) – только один из сенсоров, снабжающих платформу необходимой информацией.

В основном, как мы отмечали выше, XDR взаимодействует с ИБ-продуктами от одного производителя (нативный тип XDR), но при этом, стоит отметить, не исключает возможности интеграции с решениями сторонних производителей, при этом базовый набор ИБ-продуктов всегда остается от одного вендора (гибридный тип XDR). 

Kaspersky Anti Targeted Attack

Собственные XDR-решения сегодня выпускают многие ИБ-вендоры. И было бы странно, если бы такой продукт не выпустила «Лаборатория Касперского». Называется оно Kaspersky Anti Targeted Attack и представляет собой нативный тип XDR.

Предназначено оно, конечно, в первую очередь средним и крупным организациям, которые развивают собственные службы информационной безопасности и центры, которые занимаются оперативным управлением ИБ. Такие заказчики есть в самых разных областях. Это – и госорганы, и крупнейшие корпорации, и промышленность, и финансы, и телеком.

Kaspersky Anti Targeted Attack (КАТА) решает три важнейшие ИБ-задачи. Во-первых, платформа ведет в автоматическом режиме сбор и хранение данных, позволяя проводить ретроспективный анализ инцидентов. Кроме того, эти данные организации могут понадобиться регуляторам. 

Вторая задача, решаемая КАТА, – организация мониторинга инфраструктуры: телеметрия рабочих мест и трафика, эмуляция угроз, обогащение актуальными данными об угрозах и сопоставление обнаружений с базой знаний тактик и техник матрицы MITRE ATT&CK. Наконец, еще одна роль КАТА – непосредственная защита от нападений злоумышленников, для которой платформа может применить весь ИБ-арсенал, имеющийся в распоряжении предприятия.  

Логика Kaspersky Anti Targeted Attack вполне соответствует концепции XDR, закрепившейся на рынке. Решение объединяет возможности нескольких продуктов вендора. Помимо Kaspersky EDR оно интегрируется с Kaspersky Security для бизнеса, Kaspersky Security для почтовых серверов и Kaspersky Security для интернет-шлюзов. Это позволяет КАТА противостоять сложным угрозам, целевым атакам и АРТ (продолжительным, долгосрочным угрозам), снижая, одновременно, нагрузку на ИБ-специалистов, автоматизируя отражение угроз на конечных точках и на уровне сети.

Контроль безопасности в Kaspersky Anti Targeted Attack – централизованный. Управляется платформа из единой консоли, в ней же визуализируются все данные, что позволяет проводить глубинный анализ сетевого трафика, немотивированную активность и другие аномалии. Персонал же, вместо обнаружения и отслеживания атак «вручную» может тем временем смоделировать нападение в песочнице и провести расследование инцидента. 

При этом в распоряжении специалистов окажутся еще и актуальные данные о киберугрозах: KATA получает их автоматически из Kaspersky Security Network, а также обогащает процесс расследования с помощью Kaspersky Threat Intelligence.  

И последнее. XDR – решение, предназначенное в первую очередь для очень крупных организаций.  Для них, помимо решения самих ИБ-задач, важно и соответствие требованиям регуляторов в области информационной безопасности (достаточно вспомнить про такую систему, как ГосСОПКА, Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации). 

И здесь KATA имеет явное преимущество: решение сертифицировано ФСТЭК и ФСБ и может использоваться на объектах критической информационной инфраструктуры. 

В заключении, хотелось упомянуть о том, что «Лаборатория Касперского» в конце 2021 года анонсировала выход новой линейки Kaspersky Symphony, верхним тиром которой будет гибридный тип XDR – Kaspersky Symphony XDR, который обещает закрыть больше источников и в том числе взаимодействовать с решениями сторонних поставщиков, обеспечивая экосистемный подход к защите.