Защита будущего уже среди нас. SentinelOne Singularity XDR антивирус с искусственным интеллектом

Год от года число кибератак только возрастает. Общество постепенно учится жить с понятием "киберугроза" как с реалией, хотя и нежеланной. Имеющиеся в наличии антивирусы уже не справляются с ситуацией – разработки взломщиков порой куда изощреннее, чем можно себе представить. Чтобы хоть как-то обезопасить собственную деятельность, организации часто переходят на новейшие продвинутые системы безопасности. Они в состоянии не просто защитить конечные точки, то есть компьютеры, серверы, планшеты и смартфоны, но и осуществить сбор информации, проанализировав журналы безопасности, системные файлы, а также получив данные от активных антивирусов.

Для работы над поступающей информации крупные компании формируют целое подразделение — Security Operation Center (SOC). Его специалисты подвергают анализу все данные, расследуя выявленные инциденты, предупреждая и блокируя кибератаки.

В недавнем прошлом разработчики систем безопасности представили потенциальным клиентам принципиально новое решение, с которым выявление и расследование инцидентов многократно упрощается, удобнее и быстрее становится получение общей картины того, что же все-таки происходит, и блокировка атак. Подобный вариант, объединяющий основные функции предшественников и дополняющий их, получил название XDR (eXtended Detection and Response).

Чтобы разобраться в вопросе работы решения XDR мы обратились в компанию Софтлист, лидера в области безопасности на территории Украины и стран СНГ. В этом совместном обзоре специалисты нам помогут ответить на такие вопросы:

• Принцип работы XDR
• Плюсы и минусы eXtended Detection and Response
• Отличия XDR и SIEM
• Лучшее XDR на сегодняшний день в мире

Принципы работы

Строго говоря, XDR – это доработанный EDR. Данное решение (в частность это можно сказать об ActiveEDR) помогает организовать мониторинг и своевременно отреагировать на проблему в конечных точках в автоматическом режиме. Увы, современные сети – это масса локаций, которые порой используются злоумышленниками для достижения цели: от смартфонов и других портативных устройств до контейнеров, а также приложений, работающих с применением облачных технологий.

Часто о XDR говорится как о технологии "многослойного" определения и своевременного ответа – подобные действия становятся возможными при использовании любых источников, порой выходящих за границы конечных точек. Это позволяет обеспечить принятие решений при анализе информации, поступающей от СЗИ, и принимать решения при задействовании почты, сетевых устройств и так далее.

Какие плюсы XDR?

XDR в состоянии заменить точечные системы, помогая тем самым организациям решить массу проблем в сфере кибербезопасности. Общий пул необработанных данных содержит массу информации по экосистеме ИБ – при этом XDR дает возможность выявить угрозы и отреагировать на нее быстрее и глубже, чем при использовании EDR – данные поставляются из куда более масштабного перечня источников.

Осуществляемый мониторинг является куда более глубоким, инциденты, которые до сегодя не могли быть ликвидированы, выявляются на принципиально другом уровне информированности. Это позволяет специалистам, работающим в сфере ИБ, повлиять на масштаб атаки, существенно его сократив. Для примера возьмем типовую программу-вымогатель. Она продвигается по сети, оказывается в почтовом ящике и уже после предпринимает атаку. Решение проблемы при рассмотрении любого шага в отдельности может быть осложнено и не станет панацеей. XDR помогает объединить стек организации, давая возможность разрешить доступ, блокировать, отзывать его и т.д. При этом реализуются настройки, указанные пользователем или применяется логика собственно системы.

XDR и SIEM – отличия есть

Несмотря на то что XDR и SIEM имеют общие задачи, то есть сбор информации из ряда источников, на этом их схожесть заканчивается. Отличаясь тем самым от XDR, SIEM не может определить значимость тенденции и не дает возможности отреагировать на атаки автоматически. Чтобы оказаться действительно нужным, SIEM нуждается в значительном числе расследований и аналитики – все это должно производиться вручную.

При этом, если компания все-таки вложилась в SIEM, использование eXtended Detection and Response не сделает эти траты напрасными, поскольку такие инструменты могут быть загружены непосредственно в банки данных XDR, предлагая "сырые" данные для последующей обработки с использованием ИИ, а также машинного обучения.

Детали

Основа эффективной работы XDR – это интеграция. То есть решение должно быть включено в систему безопасности, иметь возможность использования всех инструментов с API. Крайне важной является глубина функционала по событийной корреляции, ответам на атаки меж СЗИ и их предотвращению.

Движок могут использовать и аналитики – благодаря ему просто создавать общие правила, помогающие обнаружить атаку и своевременно отреагировать на нее. А вот иные, не до конца проработанные решения, могут оказаться просто набором устаревших инструментов, где новым будет лишь название. XDR является единой платформой, которая дает возможность быстро понять, что именно происходит в компании, то есть непосредственно о той сфере, которая интересует ИБ.

Конечно, важна автоматизация, которая поддерживается с использованием ИИ алгоритмы машинного обучения. Необходимо понять – присутствует ли у поставщика солидный опыт создания актуальных моделей ИИ или он, наоборот, известен использованием морально устаревших технологий и сегодня, исходя из требований времени, хочет попросту поменять направление деятельности.

Насколько простыми окажутся изучение, настройка, поддержка и обновление XDR? Одним из главных преимуществ в этом случае становится существенное сокращение временных затрат специалистов благодаря автоматическому выявлению и реагированию. Но необходимо быть уверенным, что направление работы сотрудников не просто переходит от выявления атак к освоению непростого решения и попыток им управлять – здесь важно добиться куда большего.

Какое решение XDR является наиболее эффективным?

Некоторое время назад компания Gartner представила отчет о наиболее популярных решениях в сфере безопасности в 2021 году. Лидером в этом отчете является компания SentinelOne, также предлагающая пользователям Extended Detection and Response. Еще один не маловажный факт — решения от SentinelOne в течение двух лет проходили тестирование MITRE Engenuity ATT&CK Evaluation, где продемонстрировали прекрасные результаты. Была обеспечена абсолютная видимость всех атак, осуществленных за время тестирования – таких результатов не показывал ни один из топовых разработчиков в области безопасности на сегодняшний день.

Каковы особенности SentinelOne Singularity XDR и можно ли считать решение оптимальным на сегодняшний день?

SentinelOne Singularity XDR позволяет расширить возможности выявления угроз и реагирования на них, учитывая несколько уровней безопасности. Рабочим группам обеспечивается централизованная сквозная видимость организаций, эффективная аналитика, возможность автоматического реагирования. С применением решения клиенты получают унифицированный вариант обеспечения безопасности для защиты всего стека технологий. Благодаря этому аналитики могут выявлять и блокировать атаки еще до того, как они окажут влияние на бизнес.

Ключевыми возможностями решения являются:

• открывающаяся для предприятия возможность беспрепятственного получения данных (как структурированных, так и неструктурированных) в режиме онлайн вне зависимости с какого технологического продукта или платформы они поступают. При этом данные разбиваются на хранилища, устраняются критически слепые зоны. Благодаря решению службы безопасности видят данные, которые собираются различными решениями со всех платформ. SentinelOne Singularity XDR дает возможность, осуществляя аналитику, использовать информацию о событиях, собирая их из нескольких решений. Клиентам предоставляется централизованная возможность контроля и аналитики. Многие проблемы решаются, обеспечивается полная автономность предприятия и возможность автономного предотвращения угроз;
• технология Storyline обеспечивает автоматизированный машинный текст в режиме реального времени, также возможна корреляция по всему стеку безопасности предприятия. Разрозненные данные преобразуются, что позволяет аналитикам понять историю в целом. Все события автоматически объединяются сюжетной линией при использовании идентификатора, который является универсальным. Это дает специалистам в области безопасности увидеть весь контекст того, что происходило в течение нескольких секунд. То есть не тратятся дни и даже недели на то, чтобы связать события вручную. SentinelOne в состоянии отследить все действия в системе, обнаружить методы и тактики, которые являются индикаторами угроз. Он может выявить и скрытое поведение, эффективно выявить атаки даже без флеш-памяти, бокового движения и запуска руткитов. SentinelOne Singularity XDR сопоставляет весь комплекс действий автоматически, обеспечивая целостное понимание на уровне компании и позволяя специалистам сопоставить события, исходя их различных векторов, упрощая тем самым сортировку;
• SentinelOne Singularity XDR в состоянии объединить все исследования и анализ угроз, благодаря чему обнаруживаются и обогащаются сторонние каналы и собственные источники, дополняющие инциденты конечных точек автоматически. Это дает возможность специалистам получить дополнительные оценки рисков согласно индикаторам компроментации (уязвимости, домены, хэши). Угрозы могут автоматически пополняться из сотен тысяч источников, что ускоряет расследование угроз, а также предоставляет возможность их сортировки. Можно также использовать библиотеки запросов, созданные разработчиком, постоянно оценивающим новые методы обнаружения угроз;
• решение дает возможность реагировать на угрозы и предпринимать действия по их устранению буквально одним щелчком мыши – без создания сценариев. Для этого можно использовать как одно, так и несколько рабочих устройств. Аналитик в состоянии быстро отреагировать на ситуацию, предприняв такие действия как организация сетевого карантина, автоматическое развертывание агента на рабочей станции мошенника и пр. Также можно использовать идеи Storyline при создании индивидуальных настроек автоматического обнаружения, подходящих для соответствующей среды, с использованием Storyline Active-Response (STAR). Это позволяет компаниям обеспечить ряд настроек в соответствии с индивидуальными потребностями. Используя настройки STAR можно переквалифицировать запросы в правила автопоиска, запускающие ответы и предупреждения – в этом случае правила могут обнаружить совпадения. STAR обеспечивает гибкость настроек предупреждений и ответов, характерных для среды;
• так как в SOC могут быть задействованы и другие инструменты, а также технологии безопасности, SentinelOne предлагается целый портфель интеграций со сторонними системами, к примеру, такими как SOAR и SIEM с использованием Singularity Marketplace;
• приложения SentinelOne Singularity присутствуют на бессерверной масштабируемой облачной платформе Function-as-a-Service. Они объединяются с элементами ИТ управления с поддержкой API – для этого достаточно сделать несколько щелчков мышкой. Singularity Marketplace становится частью платформы, а значит после настройки интеграции эффект становится сразу заметным – устраняются барьеры для написания сложных кодов, упрощается автоматизация и отношения между поставщиками. Специалисты смогут выбрать оптимальный вариант действий для выявления и устранения современных угроз. При этом управление осуществляется единым ответом, объединяющим инструменты безопасности в различных областях.

А что в итоге?

Благодаря решениям XDR работа SOC выводится на новый уровень. Специалисты получают лишь значимые оповещения, которые прошли сортировку в зависимости от критичности. Анализ происходит благодаря многоэтапному анализу сведений, которые собираются по всей компании с использованием ИИ. Таким образом, весь ручной труд остается в прошлом – сведения об угрозах собираются с использованием роботов, анализ проводится на недоступном прежде уровне. Доступ к масштабному контенту позволяет распознать проблемы в событиях, которые сперва могут показаться вполне безобидными. Контекст предоставляет возможность сопоставления фактов и получения детальной информации для анализа. В итоге снижаются временные затраты на то, чтобы обнаружить, сдержать угрозу и отреагировать на нее, то есть масштаб последствий сводится к минимуму.

Если простыми словами — XDR это будущее безопасности и в ближайшие пару лет станет самым топовым решение для любой компании, которое заменит множество решений ИБ и уже сейчас сможет сэкономить ваши деньги.