Nowoczesne rozwiązania typu XDR (Extended Detection and Response) są w zamyśle odpowiedzią na nowoczesne zagrożenia cybernetyczne.
Przyjrzyjmy się w dzisiejszym artykule faktom i realnym korzyściom, czy rzeczywiście upraszczają proces analizy ryzyka.
Krótkie przypomnienie o tym, czym jest XDR
Na naszym blogu wielokrotnie pisaliśmy o systemach, które na przestrzeni ostatnich kilku lat zdominowały rynek cyberbezpieczeństwa, EDR, SIEM, SOAR, a także o naszym dzisiejszym bohaterze – systemach XDR.
Gwoli przypomnienia, XDR (Extended Detection and Response) jest rozwiązaniem, które integruje dane z różnych źródeł (stacje robocze, serwery, sieć, chmura, poczta itd.) w jednym scentralizowanym środowisku, aby umożliwić szybsze wykrywanie i aktywne reagowanie na zagrożenia.
W odróżnieniu od klasycznych EDR-ów (Endpoint Detection and Response), które ograniczają się wyłącznie do ochrony urządzeń końcowych, XDR sięga swoim zasięgiem do wszystkich elementów infrastruktury danej organizacji. Dzięki temu potrafi identyfikować pojedyncze incydenty, ale także zobaczyć pełen obraz ataku (np. phishing na poczcie, exploit w aplikacji webowej czy podejrzane aktywności w domenie).
Aspekt analizy ryzyka
Jednym z największych problemów w przeprowadzaniu analizy ryzyka jest brak kontekstu. Administrator ma tysiące logów z różnych systemów, dlatego bez narzędzia, które potrafi je odpowiednio zinterpretować nie jest w stanie tego wszystkiego przeanalizować. Tutaj pojawia się system XDR, który na podstawie odpowiednich reguł wykrywa poszczególne anomalie i proponuje scenariusze reakcji.
Wyobraźmy sobie klasyczny przykład:
Bez odpowiednich systemów (chociażby SIEM) to cztery odrębne alerty w czterech różnych konsolach. Dzięki odpowiednim regułom w XDR, to jedna powiązana ze sobą kampania, z priorytetem i gotową scenariuszem reakcji.
Żaden człowiek ręcznie nie jest w stanie efektywnie przeanalizować wszystkich alertów, chyba że dysponuje automatyzacją i priorytetyzacją.
XDR dzięki analizie behawioralnej i uczeniu maszynowemu potrafi dać możliwości oceny wpływu zagrożeń na ryzyko biznesowe. W praktyce oznacza to, że administrator nie tylko widzi, co się dzieje, ale również dlaczego powinno go to obchodzić, a to przekłada się bezpośrednio na lepszą analizę ryzyka i efektywniejsze zarządzanie incydentami.
Przykład z życia
Wyobraźmy sobie sytuacje, że w jednej z firm produkcyjnych, potencjalny klasyczny atak phishingowy zakończył się brakiem incydentu. Wszystko dzięki wdrożeniu rozwiązania XDR.
Zainfekowany e-mail trafił do skrzynki operatora linii produkcyjnej. Kliknięcie uruchomiło makro w dokumencie Word, które próbowało pobrać malware z zewnętrznego serwera.
XDR wykrył anomalię w ruchu sieciowym, a także powiązał ją z nietypowym procesem uruchomionym z poziomu MS Office i zablokował połączenie, zanim doszło do infekcji.
Cały proces trwał 21 sekund – to mówi samo za siebie.
XDR jako narzędzie do stałej oceny ryzyka cybernetycznego
Niestety realia są takie, że najczęściej analiza ryzyka to coś, co dzieje się zazwyczaj przy okazji audytów. Tymczasem XDR pozwala administratorowi na ciągłe monitorowanie i ocenę ryzyka w czasie rzeczywistym.
Systemy te mogą dynamicznie oceniać wartość zasobów (np. czy dany serwer ma dostęp do danych osobowych), śledzić zmiany w topologii sieci, wykrywać nieautoryzowane urządzenia w sieci czy wykrywać anomalie, które mogą wskazywać na nadchodzący incydent.
Z pewnością dzięki automatyzacji korelacji zdarzeń i integracji wielu źródeł, XDR pozwala zespołom IT lepiej rozumieć, co naprawdę stanowi zagrożenie i szybciej podejmować decyzje.
Chcesz dowiedzieć się, które rozwiązanie XDR najlepiej pasuje do Twojej infrastruktury? Skontaktuj się z nami!
Wróć
