XDR. Комплексная стратегия для защиты от кибератак

Главная Решения Информационная безопасность Решения для защиты бизнеса от «Лаборатории Касперского» XDR. Комплексная стратегия для защиты от кибератак

XDR (Extended Detection and Response) — это класс решений для обеспечения комплексной безопасности рабочих мест, сети, облачных приложений и прочих элементов корпоративной инфраструктуры. Продукты класса XDR отражают глобальную тенденцию по объединению всех решений информационной безопасности в одну экосистему.

Решения XDR позволяют увидеть всю структуру атаки, проанализировать ее интенсивность, расследовать отдельные инциденты и реагировать не тактически, а стратегически — в рамках всей инфраструктуры компании.

Решение XDR может быть гибридным, то есть включать в себя продукты от разных вендоров. В этом случае ядро системы интегрируется со всеми решениями по информационной безопасности в системе, а собранные данные коррелируются между собой, предоставляя актуальную картину происходящих в инфраструктуре событий.

ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ

Для каких компаний будут интересны решения класса XDR?

XDR-решения будут интересны для средних и крупных компаний, а также для государственных организаций, которые могут стать жертвами целевых атак.

Это решение дает организациям возможность значительно повысить операционную эффективность своей ИБ-системы без ручной и трудозатратной интеграции, при этом максимально автоматизировав и упростив процесс реагирования на инциденты, а также оптимизировав ИБ-ресурсы.

Решения класса XDR могут повысить эффективность сотрудников службы информационной безопасности с помощью преобразования большого потока предупреждений в ограниченное число инцидентов, которые затем можно расследовать. Они предусматривают возможности оркестрации и автоматизации повторяющихся задач.

Большую роль в этом играют предоставление экспертам большей видимости и лучшего понимания угроз, объединение оповещений в инциденты, возможность более глубокого анализа первопричин и централизованное реагирование в рамках всей инфраструктуры.

Чем отличается XDR от решений другого класса

Консалтинговая компания Forrester определяет XDR как эволюцию технологии EDR (Endpoint Detection and Response). В чем-то такая позиция соответствует истине. EDR — это ключевой элемент XDR, так как именно конечные точки представляют собой основной источник информации для расследования киберинцидентов. Поэтому для эффективной работы XDR требуется надежное решение EDR, однако только его недостаточно.

Преступники при целевых атаках используют сочетание разных методов и тактик. Поэтому необходимо контролировать все инциденты, в том числе те, которые происходят за пределами конечных точек. Поэтому XDR включает в себя дополнительные инструменты защиты: системы обнаружения и предотвращения вторжений, решения по анализу сетевого трафика, системы мониторинга ИБ-событий, продукты для защиты электронной почты и другие.

Ключевое преимущество решений XDR — эффективная работа как единой платформы и экосистемы информационной безопасности. В будущем в решениях этого класса будут активно использоваться технологии искусственного интеллекта и машинного обучения.

SIEM (Security Information and Event Management) — это система, которая предоставляет сбор, обработку, хранение и анализ событий из различных источников данных в инфраструктуре в режиме реального времени. После анализа полученных данных система выдает уведомления об угрозах при обнаружении инцидентов ИБ. Благодаря хранению собранных данных и возможности проследить весь путь события ИБ эксперты способны проводить полноценные расследования инцидентов. SIEM позволяет генерировать отчеты, которые активно используются ИБ-командами в ежедневных задачах, а также для составления экономического обоснования приобретения новых ИБ-решений.

XDR в свою очередь сфокусирован на обнаружении, анализе и реагировании на конечных точках, сетях, серверах, облачных структурах, почте и др. Таким образом, решения класса XDR выполняют более широкий спектр задач, чем SIEM-системы: более глубокий поиск и обнаружение угроз и дальнейшее реагирование на них.

Для SIEM-систем решения по защите рабочих мест (EPP/EDR) выступают лишь как один из источников данных. Для XDR же технология EDR широко используется в процессе сдерживания угроз и действий по реагированию на инциденты. Сильный XDR с SIEM в составе представляет собой универсальное комплексное решение, способное отражать атаки разной степени сложности: от массовых до таргетированных.

SOAR (Security Orchestration, Automation and Response) — это система, которая осуществляет оркестрацию и автоматизацию процессов управления разнородными ИБ- и ИТ-системами от разных производителей, обеспечивает реагирование на инциденты посредством заранее подготовленных сценариев.

SOAR подходит для крупных и очень крупных организаций с высоким уровнем зрелости ИБ-процессов. Данное решение охватывает большую часть элементов инфраструктуры, но ориентировано на реактивные действия в ответ на угрозы, работает в основном с типовыми сценариями реагирования и не имеет собственных детектирующих механизмов, то есть не обеспечивает проактивную защиту.

В свою очередь XDR объединяет несколько продуктов по безопасности, помимо SOAR, в одну экосистему обнаружения инцидентов и реагирования на них. За счет этого задачи по сбору данных, выявлению, приоритизации, расследованию и нейтрализации сложных угроз решаются централизованно с максимальной автоматизацией. XDR лучше подходит для средних и крупных организаций, которые испытывают нехватку специалистов в области информационной безопасности и при этом хотят повысить прозрачность и защищенность событий в своей инфраструктуре.

Как выбрать XDR?

При выборе решений этого класса нужно опираться на запросы бизнеса, а также обращать внимание на присутствующие в решении элементы защиты. В зависимости от вендора они могут отличаться. На что стоит обратить внимание при выборе решения XDR:

EDR в составе XDR. EDR — ключевой элемент XDR, поэтому при выборе последнего нужно внимательно смотреть на возможности включенного в его состав средства защиты конечных точек.
Уровень автоматизации. Решение должно включать в себя автоматические механизмы по обнаружению, анализу и реагированию на инциденты.
Наличие Threat Intelligence.
Взаимодействие с матрицей тактик и техник злоумышленников MITRE ATT&CK.
Возможности хранения данных.
Глубину взаимодействия с другими решениями.
Простота использования. Одно из главных преимуществ XDR-решения — повышение эффективности работы ИБ-специалистов. Поэтому решение должно быть удобным в управлении.
Интеграция с решениями других вендоров. Изначально XDR — моновендорное решение. Но если в компании используются ИБ-технологии от различных вендоров, важно, чтобы XDR имел возможность интеграции с ними.

Kaspersky Symphony XDR

Kaspersky Symphony XDR — одно из самых передовых XDR-решений на белорусском рынке. Оно защищает многочисленные точки входа от потенциальных киберугроз, а также развивает навыки рядовых сотрудников в области ИБ, легко встраивается в существующую систему безопасности и соответствует регуляторным требованиям. В одном решении заказчики получают «оркестр» технологий, где инструменты действуют как единое целое, создавая дополнительную ценность для бизнеса в долгосрочной перспективе.

Решение объединяет в рамках одной лицензии технологии EPP и EDR, почтовый и интернетшлюзы, песочницу, инструменты анализа сетевого трафика, платформу повышения осведомленности сотрудников, аналитические данные о киберугрозах, систему мониторинга SIEM.

С Kaspersky Symphony XDR специалисты по безопасности получают в одном решении все инструменты, которые позволят выявлять кибератаки на всех этапах их развития, проводить анализ первопричин и проактивный поиск угроз, а также оперативно и централизованно реагировать на сложные инциденты. Это поможет значительно сократить количество времени и сил, которые сотрудники службы ИБ обычно тратят на защиту от угроз повышенной сложности.

Нововведения в версии 2.0

Получить консультацию

ФИО *

Представьтесь, пожалуйста
Компания *
Должность *
Телефон *

Укажите свой номер телефона
email *

Введите ваш email
По какому вопросу вы хотите получить консультацию

Напишите свой вопрос
Я даю согласие на обработку моих персональных данных, а также подтверждаю, что я ознакомлен и согласен с условиями политики обработки персональных данных
Этот сайт защищен reCAPTCHA, и применяются Политика конфиденциальности и Условия использования Google