Что вкладывают вендоры в понятие XDR и как понимают эту концепцию заказчики? Является ли Extended Detection and Response отдельным продуктом или это лишь симбиоз EDR, сетевых сенсоров, SIEM и других средств информационной безопасности? Сколько длится «пилотирование» XDR и какими компетенциями должна обладать компания для успешного внедрения такого решения?
- Введение
- Состояние рынка XDR в России
- Особенности внедрения и использования XDR
- Прогнозы экспертов
- Итоги эфира
- Выводы
Введение
Для многих специалистов по информационной безопасности, не говоря уже об ИТ или представителях бизнеса, расширенное детектирование и реагирование (Extended Detection and Response, XDR) остаётся не всегда понятной сущностью. Что скрывается за этим термином — актуальная концепция, которая реально повышает безопасность инфраструктуры компании, или очередной маркетинговый ажиотаж, призванный продать уже знакомые решения оптом в красивой упаковке? Уместно ли в принципе говорить об XDR как об отдельном продукте с определёнными функциональными возможностями, или это скорее интеграция уже имеющихся систем?
Планируя очередной выпуск проекта AM Live, мы постарались собрать максимально представительный состав экспертов, чтобы помочь всем интересующимся темой комплексного подхода к обнаружению и реагированию в кибербезопасности получить развёрнутые ответы на вопросы о том, что такое XDR, для кого предназначены такие системы, как их внедрять и эффективно эксплуатировать.
Рисунок 1. Спикеры прямого эфира и ведущий в студии Anti-Malware.ru
Спикеры прямого эфира:
- Сергей Рысин, главный специалист по технической защите информации компании HeadHunter;
- Егор Назаров, руководитель направления развития бизнеса защиты от комплексных атак, компания Positive Technologies;
- Илья Маркелов, руководитель направления развития единой корпоративной платформы компании «Лаборатория Касперского»;
- Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA.
Ведущий и модератор дискуссии — Всеслав Соленик, директор по кибербезопасности «СберТеха».
Состояние рынка XDR в России
Что такое XDR
В начале дискуссии Всеслав Соленик попросил экспертов в студии рассказать о том, как они видят концепцию XDR, а также чем отечественные решения этого класса отличаются от зарубежных.
Илья Маркелов:
— Нативный XDR — это когда вендор интегрирует свои продукты между собой, чтобы иметь возможность создавать агрегированные «детекты» и автоматизировать процесс реагирования. Постепенно подходы меняются в сторону открытости таких решений. Сегодня XDR подразумевает гибридность, когда решения разных вендоров могут быть интегрированы.
Илья Маркелов, руководитель направления развития единой корпоративной платформы компании «Лаборатория Касперского»
Алексей Петухов:
— Уровень зрелости компаний в отношении ИБ и готовности автоматизировать реагирование подрос. Все смирились, что данных будет много и даже 20 человек не всегда смогут их вручную проработать. В контексте сегодняшнего диалога XDR — это решение, которое «из коробки» подразумевает автоматизированные сценарии управления инцидентами.
Егор Назаров:
— XDR направлен на работу с целевой комплексной атакой и использует предлагаемый вендором набор инструментов, чтобы искать именно такую атаку. Здесь наибольшее значение имеют качество сбора данных и максимальная площадь покрытия, чтобы предварительно скоррелированная информация могла быть передана далее.
Егор Назаров, руководитель направления развития бизнеса защиты от комплексных атак, Positive Technologies
Сергей Рысин:
— У западных решений XDR — более комплексный подход. Они анализируют то, что есть в сети, а не только то, что происходит на конечных точках. У них первоначально есть сетевой инструментарий. Если хакер проник на конечную точку, у него будет заблокирована не только USB-клавиатура, но и виртуальная тоже.
Эксперты отметили, что XDR нельзя рассматривать как замену другим средствам безопасности. Так, если конечная точка не является доверенным хостом, то на ней в любом случае нужен антивирус, который сфокусирован в первую очередь на предотвращении угроз. В отсутствие защиты на конечной точке XDR «утонет» в огромном потоке тривиальных атак. Однако необходимо, чтобы антивирус был совместим с агентом XDR.
Что же такое XDR — концепция или продукт? Гости студии не пришли к единому мнению. Часть спикеров прямого эфира считает, что это в первую очередь продукт. Более широкое определение, предложенное одним из экспертов, — концепция, в рамках которой можно реализовывать некоторые продукты. Есть и более радикальное мнение, согласно которому XDR — это чистая концепция, поскольку, в отличие от продуктов, никто не может зафиксировать и описать конкретные функциональные возможности, которые должны быть у XDR-систем.
Большинство зрителей прямого эфира AM Live изучали, но пока не использовали концепцию XDR. За такой вариант в ходе проведённого нами опроса проголосовали 39 % респондентов. Ещё 25 % знают общие принципы работы XDR, а 12 % уже используют их на практике. Ничего не слышали об XDR до эфира 24 % опрошенных.
Рисунок 2. Знакома ли вам концепция XDR?
Для кого предназначен XDR
Всеслав Соленик отметил, что, судя по цене, XDR-решения в первую очередь ориентированы на крупных корпоративных заказчиков, однако по уровню автоматизации они скорее нужны малому и среднему бизнесу, которому требуется готовый, работающий «из коробки» вариант защиты. Так для кого же в первую очередь предназначены XDR-системы?
Всеслав Соленик, директор по кибербезопасности «СберТеха»
Спикеры онлайн-конференции отметили, что ориентируются в первую очередь на крупных корпоративных заказчиков, поскольку именно для них актуальны проблемы связанные с многоуровневыми системами защиты и большой вариативностью ИБ-решений в инфраструктуре. У среднего и малого бизнеса — похожие проблемы, но решать их легче, за счёт меньшего масштаба. Поэтому XDR как концепция и подход нужен всем, но XDR как сложный комплексный вендорский продукт в первую очередь «заточен» под крупных заказчиков.
Как показал опрос зрителей прямого эфира, большая часть (37 %) из них уже внедрили EDR. Ещё 16 % опрошенных внедрили различные решения по мониторингу и реагированию (TDR), а 12 % уже используют NDR или NTA. Интегрировали между собой как минимум два решения 7 % участников опроса, столько же интегрировали больше трёх четвертей используемых решений по обнаружению и реагированию. Считает XDR «хайпом» и не следует ему 21 % зрителей прямого эфира.
Рисунок 3. На каком этапе внедрения концепции XDR вы находитесь?
Сервисная модель использования XDR
Насколько востребован XDR по модели SaaS? Эксперты AM Live отметили, что многие лидеры глобального рынка развивались именно от облачного сервиса, когда сенсоры, установленные в инфраструктуре заказчика, отправляют все данные на внешний сервис. Такой подход устраивает далеко не всех клиентов, поэтому некоторые отечественные решения, предлагающие локальную модель (on-premise), до сих пор конкурентоспособны в других странах.
Отечественные вендоры отмечают, что российским заказчикам также близка концепция полностью закрытого XDR, установленного на собственной инфраструктуре. Услуги MDR (Managed Detection and Response) плохо приживаются на нашем рынке, поскольку работа с достаточно крупным клиентом требует значительного количества ресурсов от исполнителя. В ряде случаев на рынке просто нет такого количества аналитиков. Выходом для исполнителя может быть высокий уровень автоматизации детектирования, чтобы до специалиста доходили только реальные инциденты без лишнего шума.
Российские компании в большинстве своём отдают предпочтение локальным вариантам XDR. Об этом свидетельствуют итоги опроса зрителей AM Live, где 65 % респондентов выбрали именно такой ответ. Локальное решение на аутсорсинге предпочли 7 % опрошенных, а сервисную SaaS-модель — лишь 4 %. Затруднились ответить 24 % участников опроса.
Рисунок 4. В каком виде XDR предпочтительнее для вашей компании?
Особенности внедрения и использования XDR
Портрет заказчика XDR
Кто сейчас в России использует XDR? Насколько большой пул заказчиков существует? Как проходят и сколько длятся пилотные внедрения отечественных XDR-решений? С обсуждения этих вопросов начался второй блок онлайн-конференции, посвящённый практическим проблемам внедрения и использования XDR.
Эксперты отметили, что состав потенциальных заказчиков неоднороден, однако значительное число интересующихся российскими XDR — это компании ищущие замену продуктам западных вендоров.
Продолжительность «пилота» зависит от совокупности задач. Если пробное внедрение ведётся по уже готовым сценариям, то оно длится примерно две недели. Если включаются специфические требования заказчика, то процесс занимает больше времени. Можно сочетать «пилотирование» XDR с пентестами — эти и другие нетиповые сценарии могут растянуть процесс на несколько месяцев. У некоторых вендоров выполняется последовательное «пилотирование» отдельных компонентов — EDR, сетевой безопасности, интеграции сторонних логов.
На каких ОС работают отечественные XDR
Каков охват отечественных XDR-решений в плане операционных систем? У части вендоров есть клиенты для Windows, macOS и Linux, у некоторых разработка «не для Windows» ещё продолжается. Впрочем, как справедливо заметил один из спикеров, количество атак на macOS значительно меньше, чем на Windows. Общий подход — охватывать необходимо всё, но фокусироваться надо на тех системах, где вероятность развития атак выше.
Ещё один аспект, о котором напомнил модератор дискуссии, — невозможность в данный момент централизованно управлять инфраструктурой macOS. XDR-агент мог бы давать возможность администрировать парк таких рабочих станций, выполнить произвольную команду, когда зафиксирован инцидент, распространяющийся по всей инфраструктуре. Конечно, у такого подхода есть и обратная сторона: в случае компрометации XDR злоумышленник получит доступ к управлению всей инфраструктурой. Одним из вариантов снижения таких рисков может стать сертификация ФСТЭК России, однако, как отметили спикеры AM Live, сертификат — это не панацея и не гарантия защиты от взлома.
Какие компетенции должен иметь заказчик для успешного внедрения XDR
Что нужно компании, чтобы XDR был успешно внедрён и эффективно работал? Какие нужны специалисты, какие компетенции и экспертиза у них должны быть? Наши эксперты отметили, что в ряде случаев XDR нужен как раз для того, чтобы снизить порог необходимой квалификации сотрудников заказчика. Идеальный XDR может быть настроен даже ИТ-специалистом. Продукт должен содержать обширную базу знаний и развитые инструменты автоматического реагирования. При этом необходимы также и средства индивидуализации, чтобы человек мог настраивать систему и учиться чему-то большему.
Кроме того, необходимая квалификация зависит от того, с каким уровнем угроз и ответственности нужно иметь дело. XDR, как и любой другой продукт, — это не серебряная пуля. Его эффективность будет зависеть от того, как с ним работать, а это, в свою очередь, зависит от уровня рисков. Базовая вендорская экспертиза «из коробки», базовые сценарии реагирования (плейбуки) действительно помогут поднять уровень защищённости компании. Однако такой уровень совсем не гарантирует безопасности в случае целенаправленных атак против организации.
Высокая стоимость, а также сложность и комплексность XDR-решений являются главным ограничивающим фактором для их внедрения в российских компаниях. За эти варианты ответа высказались 44 % и 25 % участников опроса зрителей, который мы провели во время эфира. Непонятная ценность для ИБ мешает 10 % респондентов, а отсутствие специалистов — лишь 8 %. Ждут требований регулятора 5 % опрошенных. Остальным мешает что-то другое.
Рисунок 5. Что, на ваш взгляд, является главным ограничивающим фактором для внедрения XDR?
Как выглядит использование XDR на практике
Подводя итоги второго блока онлайн-конференции, ведущий попросил экспертов рассказать, как на практике выглядят процессы использования XDR. Большинство представителей вендоров отметили, что в рамках концепции XDR офицер безопасности работает с некой консолью, где собраны данные с различных сенсоров. Специалист видит инцидент и может тут же найти связанные данные: из каких сигналов он состоит, какие автоматические средства реагирования уже отработали и т. п. На основании этих данных ИБ-специалист может скорректировать приоритет инцидента и отреагировать на него.
Прогнозы экспертов
В финальном блоке программы мы попросили экспертов поделиться прогнозами относительно того, куда движется рынок XDR, что ожидает этот класс решений в будущем.
Егор Назаров:
— Концепция останется жить в любом случае. Каждому решению, которое приходит на рынок, требуется время для освоения, чтобы заказчик мог погрузиться в него, понять его пользу. Может быть определённая волна «хайпа», маркетинга от вендоров, но продуктивности никто не отменял. Не будет такого, что всё закончится и все скажут «будущего у XDR нет».
Алексей Петухов:
— Я считаю, что в следующем году мы сможем обсудить технологии искусственного интеллекта, которые будут принимать на себя обработку большого числа событий. Вижу тренд максимальной автоматизации и цифровизации этого процесса, а также настройки XDR-систем. Благодаря этому они будут проще внедряться и закрывать больше угроз.
Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
Илья Маркелов:
— Мне кажется, что следующим фокусом XDR станет сбор данных не только изнутри инфраструктуры, но и снаружи. Эволюционно произойдёт интеграция данных о внешнем периметре организации — цифровых следов компании и их связи с имеющимися уведомлениями. Это поможет более эффективно фокусироваться на критически значимых срабатываниях.
Сергей Рысин:
— Одним из трендов будет обучение искусственного интеллекта под заказчика. Это можно сделать, обладая мощностями вендоров. В результате заказчик получит мощный ИИ, который понимает, что происходит в его сети, какие события генерируются, и может отреагировать на них, написав ответственному за ИБ развёрнутое предложение, что ему делать.
Сергей Рысин, главный специалист по технической защите информации компании HeadHunter
Итоги эфира
В конце эфира мы предоставили зрителям возможность рассказать нам о том, как изменилось их мнение относительно XDR после просмотра дискуссии. Результаты опроса показали, что 35 % нашей аудитории считает XDR интересной, но пока избыточной для себя концепцией. Почти столько же — 34 % — заинтересовались темой и готовы тестировать соответствующие решения. Убедились в правильном выборе имеющегося у них решения 23 % участников опроса, а 4 %, напротив, собрались менять нынешнего поставщика. Ещё 4 % опрошенных считают, что XDR — это лишь «хайп», а участники не смогли доказать необходимость этой концепции. Тех, кто не понял, о чём шла речь в выпуске, на этот раз среди участников опроса не оказалось.
Рисунок 6. Каково ваше мнение относительно XDR по итогам эфира?
Выводы
Среди экспертов нет единого мнения относительно того, что же такое XDR. Кто-то воспринимает этот термин как концепцию интегрированной работы разных средств информационной безопасности, кто-то — как законченный продукт с определёнными функциональными возможностями. Заказчики зачастую считают XDR просто маркетинговым ажиотажем, нацеленным на получение дополнительной прибыли вендорами. Как бы то ни было, рынок XDR существует и российским разработчикам предстоит ещё много работы для того, чтобы обеспечить клиентам тот же комплексный взгляд на безопасность, которым обладали ушедшие ныне западные системы.
Возможно, в будущем XDR превратится в действенный центр управления обнаружением и реагированием, который при помощи искусственного интеллекта будет обеспечивать заказчику индивидуализированную защиту, учитывающую особенности его инфраструктуры. Возможно, как предсказывают наши эксперты, такие решения научатся анализировать и внешние источники, чтобы обогатить данные об инцидентах. Однако на данный момент ключевой проблемой рынка представляется внятное формулирование критериев, т. е. терминологическая и технологическая определённость XDR, без которой эти системы так и останутся дорогой и непонятной широкому кругу заказчиков концепцией.
Проект AM Live даёт профессионалам рынка информационной безопасности возможность обсудить с коллегами наиболее важные и актуальные проблемы индустрии. Дискуссии в нашей студии позволяют получить полное, комплексное представление о предмете разговора, рассмотреть его с разных точек зрения — глазами вендора, заказчика, независимого эксперта. Зрители прямого эфира могут участвовать в обсуждении, задавая вопросы экспертам и оставляя комментарии. Чтобы не пропускать новые эпизоды онлайн-конференции AM Live, не забудьте подписаться на YouTube-канал проекта и включить уведомления о новых трансляциях. До встречи в эфире!
