Захист майбутнього вже серед нас. SentinelOne Singularity XDR антивірус зі штучним інтелектом

Рік від року число кібератак тільки зростає. Суспільство поступово вчиться жити з поняттям "кіберзагроза" як із реалією, хоча й небажаною. Наявні антивіруси вже не справляються з ситуацією — розробки зломщиків часом куди витонченіші, ніж можна собі уявити. Щоб хоч якось убезпечити власну діяльність, організації часто переходять на новітні просунуті системи безпеки. Вони в змозі не просто захистити кінцеві точки, тобто комп'ютери, сервери, планшети та смартфони, але й здійснити збір інформації, проаналізувавши журнали безпеки, системні файли, а також отримавши дані від активних антивірусів.

Для роботи над інформацією, яка надходить, великі компанії формують цілий підрозділ — Security Operation Center (SOC). Його фахівці аналізують усі дані, розслідуючи виявлені інциденти, попереджаючи та блокуючи кібератаки.

У недавньому минулому розробники систем безпеки представили потенційним клієнтам принципово нове рішення, із яким виявлення та розслідування інцидентів багаторазово спрощується, зручніше й швидше стає отримання загальної картини того, що ж все-таки відбувається, і блокування атак. Подібний варіант, який об'єднує основні функції попередників і доповнює їх, отримав назву XDR (eXtended Detection and Response).

Щоб розібратися в питанні роботи рішення XDR ми звернулися в компанію Софтлист, лідера в області безпеки на території України та країн СНД. У цьому спільному огляді фахівці нам допоможуть відповісти на такі питання:

• Принцип роботи XDR
• Плюси і мінуси eXtended Detection and Response
• Відмінності XDR і SIEM
• Найкраще XDR на сьогоднішній день в світі

Принципи роботи

Строго кажучи, XDR — це доопрацьований EDR. Таке рішення (зокрема це можна сказати про ActiveEDR) допомагає організувати моніторинг і своєчасно відреагувати на проблему в кінцевих точках в автоматичному режимі. На жаль, сучасні мережі — це маса локацій, які часом використовуються зловмисниками для досягнення мети: від смартфонів і інших портативних пристроїв до контейнерів, а також додатків, що працюють із застосуванням хмарних технологій.

Часто про XDR йдеться як про технології "багатошарового" визначення та своєчасної відповіді — подібні дії стають можливими при використанні будь-яких джерел, часом виходять за межі кінцевих точок. Це дозволяє забезпечити прийняття рішень при аналізі інформації, що надходить від СЗІ, і приймати рішення при залученні пошти, мережевих пристроїв і так далі.

Які плюси XDR?

XDR в змозі замінити точкові системи, допомагаючи тим самим організаціям вирішити масу проблем у сфері кібербезпеки. Загальний пул необроблених даних містить масу інформації з екосистеми ІБ — при цьому XDR дає можливість виявити загрози та відреагувати на неї швидше і глибше, ніж при використанні EDR — дані поставляються з куди більш масштабного переліку джерел.

Здійснюваний моніторинг є куди більш глибоким, інциденти, які до сегодя не могли бути ліквідовані, виявляються на принципово іншому рівні інформованості. Це дозволяє фахівцям, що працюють в сфері ІБ, вплинути на масштаб атаки, істотно його скоротивши. Для прикладу візьмемо типову програму-вимагач. Вона просувається по мережі, виявляється в поштовій скриньці і вже після робить атаку. Рішення проблеми при розгляді будь-якого кроку окремо може бути ускладнене і не стане панацеєю. XDR допомагає об'єднати стік організації, даючи можливість дозволити доступ, блокувати, відкликати його і т.д. При цьому реалізуються настройки, зазначені користувачем або застосовується логіка власне системи.

XDR і SIEM — відмінності є

Незважаючи на те що XDR і SIEM мають спільні завдання, тобто збір інформації з низки джерел, на цьому їхня схожість закінчується. Відрізняючись тим самим від XDR, SIEM не може визначити значимість тенденції та не дає можливості відреагувати на атаки автоматично. Щоб опинитися дійсно потрібним, SIEM потребує значного числа розслідувань і аналітики — все це повинно проводитися вручну.

При цьому, якщо компанія все-таки вклалася в SIEM, використання eXtended Detection and Response зробить ці витрати марними, оскільки такі інструменти можуть бути завантажені безпосередньо в банки даних XDR, пропонуючи "сирі" дані для подальшої обробки з використанням ШІ, а також машинного навчання.

Деталі

Основа ефективної роботи XDR — це інтеграція. Тобто рішення має бути включено в систему безпеки, мати можливість використання всіх інструментів з API. Вкрай важливою є глибина функціоналу з подієвої кореляції, відповідям на атаки між СЗІ та їх запобігання.

Движок можуть використовувати й аналітики — завдяки йому просто створювати спільні правила, які допомагають виявити атаку та своєчасно відреагувати на неї. А ось інші, не до кінця опрацьовані рішення, можуть виявитися просто набором застарілих інструментів, де новим буде лише назва. XDR є єдиною платформою, яка дає можливість швидко зрозуміти, що саме відбувається в компанії, тобто безпосередньо про ту сферу, яка цікавить ІБ.

Звичайно, важлива автоматизація, яка підтримує з використанням ШІ алгоритми машинного навчання. Необхідно зрозуміти, чи присутній у постачальника солідний досвід створення актуальних моделей ШІ або він, навпаки, відомий використанням морально застарілих технологій і сьогодні, виходячи з вимог часу, хоче просто змінити напрям діяльності.

Наскільки простими виявляться вивчення, налаштування, підтримка й оновлення XDR? Однією з головних переваг у цьому випадку стає істотне скорочення часових витрат фахівців завдяки автоматичному виявленню та реагуванню. Але необхідно бути впевненим, що напрямок роботи співробітників не просто переходить від виявлення атак до освоєння непростого рішення та спроб ним керувати — тут важливо домогтися куди більшого.

Яке рішення XDR є найбільш ефективним?

Деякий час назад компанія Gartner представила звіт про найбільш популярні рішення в сфері безпеки в 2021 році. Лідером у цьому звіті є компанія SentinelOne, яка також пропонує користувачам Extended Detection and Response. Ще один важливий факт — рішення від SentinelOne протягом двох років проходили тестування MITRE Engenuity ATT & CK Evaluation, де продемонстрували прекрасні результати. Була забезпечена абсолютна видимість усіх атак, здійснених за час тестування, — наразі таких результатів не показував жоден із топових розробників в області безпеки.

Які особливості SentinelOne Singularity XDR і чи можна вважати рішення оптимальним зараз?

SentinelOne Singularity XDR дозволяє розширити можливості виявлення загроз і реагування на них, з огляду на кілька рівнів безпеки. Робочим групам забезпечується централізована наскрізна видимість організацій, ефективна аналітика, можливість автоматичного реагування. Із застосуванням рішення клієнти отримують уніфікований варіант забезпечення безпеки для захисту всього стоку технологій. Завдяки цьому аналітики можуть виявляти та блокувати атаки ще до того, як вони вплинуть на бізнес.

Ключовими можливостями рішення є:

• нова можливістьдля підприємства безперешкодного отримання даних (як структурованих, так і неструктурованих) в режимі онлайн незалежно з якого технологічного продукту або платформи вони надходять. При цьому дані розбиваються на сховища, усуваються критично сліпі зони. Завдяки рішенню служби безпеки бачать дані, які збираються різними рішеннями з усіх платформ. SentinelOne Singularity XDR дає можливість, здійснюючи аналітику, використовувати інформацію про події, збираючи їх із декількох рішень. Клієнтам надається централізована можливість контролю й аналітики. Багато проблем вирішуються, забезпечується повна автономність підприємства та можливість автономного запобігання загрозам;
• технологія Storyline забезпечує автоматизований машинний текст у режимі реального часу, також можлива кореляція по всьому стоку безпеки підприємства. Розрізнені дані перетворюються, що дозволяє аналітикам зрозуміти історію в цілому. Всі події автоматично об'єднуються сюжетною лінією при використанні ідентифікатора, який є універсальним. Це дає фахівцям в області безпеки побачити весь контекст того, що відбувалося протягом декількох секунд. Тобто не витрачаються дні та навіть тижні на те, щоб пов'язати події вручну. SentinelOne в змозі відстежити всі дії в системі, виявити методи і тактики, які є індикаторами загроз. Він може виявити і приховану поведінку, ефективно виявити атаки навіть без флеш-пам'яті, бокового руху та запуску руткітів. SentinelOne Singularity XDR зіставляє весь комплекс дій автоматично, забезпечуючи цілісне розуміння на рівні компанії та дозволяючи фахівцям зіставити події, виходячи з їхніх різних векторів, спрощуючи тим самим сортування;
• SentinelOne Singularity XDR в змозі об'єднати всі дослідження й аналіз загроз, завдяки чому виявляються та збагачуються сторонні канали та власні джерела, що доповнюють інциденти кінцевих точок автоматично. Це дає можливість фахівцям отримати додаткові оцінки ризиків згідно з індикаторами компрометації (уразливості, домени, геші). Загрози можуть автоматично поповнюватися з сотень тисяч джерел, що прискорює розслідування погроз, а також надає можливість їх сортування. Можна також використовувати бібліотеки запитів, створені розробником, постійно оцінює нові методи виявлення загроз;
• рішення дає можливість реагувати на загрози та вживати заходів щодо їх усунення буквально одним клацанням миші — без створення сценаріїв. Для цього можна використовувати як одне, так і декілька робочих пристроїв. Аналітик зможе швидко відреагувати на ситуацію, зробивши такі дії як організація мережевого карантину, автоматичне розгортання агента на робочої станції шахрая та ін. Також можна використовувати ідеї Storyline при створенні індивідуальних налаштувань автоматичного виявлення, придатних для відповідного середовища, з використанням Storyline Active-Response (STAR). Це дозволяє компаніям забезпечити низку налаштувань відповідно до індивідуальних потреб. Використовуючи налаштування STAR, можна перекваліфікувати запити в правила автопошуку, що запускають відповіді і попередження, — у цьому випадку правила можуть виявити збіги. STAR забезпечує гнучкість налаштувань попереджень і відповідей, характерних для середовища;
• оскільки в SOC можуть бути задіяні й інші інструменти, а також технології безпеки, SentinelOne пропонує цілий портфель інтеграцій зі сторонніми системами, наприклад, такими як SOAR і SIEM з використанням Singularity Marketplace;
• додатки SentinelOne Singularity присутні на бессерверной масштабируемой хмарної платформі Function-as-a-Service. Вони об'єднуються з елементами ІТ управління з підтримкою API — для цього достатньо зробити кілька клацань мишкою. Singularity Marketplace стає частиною платформи, а значить після настройки інтеграції ефект стає відразу помітним — усуваються бар'єри для написання складних кодів, спрощується автоматизація та стосунки між постачальниками. Фахівці зможуть вибрати оптимальний варіант дій для виявлення й усунення сучасних загроз. При цьому управління здійснюється єдиною відповіддю, що об'єднує інструменти безпеки в різних областях.

А що в результаті?

Завдяки рішенням XDR робота SOC виводиться на новий рівень. Фахівці отримують лише значущі оповіщення, які пройшли сортування залежно від критичності. Аналіз відбувається завдяки багатоетапному аналізу відомостей, які збираються по всій компанії з використанням ШІ. Таким чином, уся ручна праця залишається в минулому — відомості про загрози збираються з використанням роботів, аналіз проводиться на недоступному до цього рівні. Доступ до масштабного контенту дозволяє розпізнати проблеми в подіях, які спершу можуть здатися цілком нешкідливими. Контекст надає можливість зіставлення фактів і отримання детальної інформації для аналізу. В результаті знижуються витрати часу на те, щоб виявити, стримати загрозу та відреагувати на неї, тобто масштаб наслідків зводиться до мінімуму.

Якщо простими словами, XDR — це майбутнє безпеки і в найближчі пару років стане найтоповішим рішення для будь-якої компанії, яка замінить безліч рішень ІБ і вже зараз зможе заощадити ваші гроші.