Егор Назаров: PT XDR опередил всех и открыл новые горизонты обнаружения атак и реагирования на них

Positive Technologies первой среди российских ИБ-компаний презентовала в декабре 2021 года продукт класса XDR (Extended Detection and Response). Он предназначен для обнаружения и отработки киберугроз на конечных точках, например на корпоративных серверах или рабочих станциях. Мы поговорили о задачах и возможностях системы с Егором Назаровым, руководителем по развитию направления защиты от комплексных атак в Positive Technologies, и Кириллом Черкинским, руководителем практики по защите от комплексных атак в Positive Technologies.

Какие практические задачи можно решить с помощью систем класса XDR?

Кирилл Черкинский: Спектр возможностей XDR широк. Это эффективный и удобный инструмент для SOC-команд. В XDR заложены логика и экспертиза наиболее совершенных средств защиты, которые помогают компаниям видеть картину целиком, сокращая время обнаружения угроз и реагирования на них.

В частности, основа XDR-системы — компонент EDR (Endpoint Detection and Response): он позволяет обогащать те срабатывания, которые появляются в средствах мониторинга. Именно в таком контексте, получаемом с рабочих станций и серверов, кроется много полезной информации, необходимой при реагировании на инциденты. Благодаря наличию агентов на рабочих станциях и серверах сотрудники SOC имеют большой объём данных при проведении расследования, когда надо посмотреть развитие атаки, узнать, с чего она началась, найти артефакты. Помимо этого, XDR интегрируется с другими продуктами, чтобы извлечь из них дополнительную ценность.

Вы упомянули, что XDR включает в себя логику и часть функциональных возможностей других продуктов. Какие классы систем это могут быть?

Егор Назаров: Состав продукта определяют его производители, отсюда в названии слово «расширенный» (Extended). Для максимальной защиты нужны и межсетевой экран уровня веб-приложений (WAF), и система мониторинга событий ИБ (SIEM), и продукты для анализа сетевой активности (NTA), и песочницы (Sandbox), и системы управления уязвимостями (VM), и уже упомянутое детектирование на уровне узлов, и данные об утечках информации (Threat Intelligence). Для предприятий, у которых есть сегмент АСУ ТП, к этому набору может добавляться система анализа технологического трафика. Всё зависит от компании-пользователя и от вендора, но в любом случае реагирование на конечных точках должно быть. За это в нашей системе XDR отвечает EDR-компонент.

В состав системы также могут входить функциональные возможности и от других продуктов. Давайте приведём несколько примеров.

MaxPatrol SIEM — позволяет видеть инциденты в инфраструктуре. В систему регулярно передаётся экспертиза Positive Technologies о новых видах атак и способах их выявления. Это помогает обнаруживать самые актуальные угрозы.

PT Sandbox — защищает компанию от целевых и массовых атак, в которых применяются современные вредоносные программы, часто написанные для атаки на конкретную инфраструктуру, и угроз «нулевого дня». Поддерживает гибкую удобную доработку виртуальных сред для анализа под конкретные задачи. Кроме этого, песочница обнаруживает угрозы не только в файлах, но и в трафике.

MaxPatrol VM — помогает выстроить полноценный процесс управления уязвимостями и контролировать его в штатном режиме и при экстренных проверках.

PT Network Attack Discovery — выявляет атаки на периметре и внутри, информирует о том, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике, а также помогает в расследованиях.

PT Application Firewall — обнаруживает и блокирует угрозы, в том числе из списка OWASP Top 10 и классификации WASC, а также DDoS-атаки на уровне приложений (L7) и попытки использования уязвимостей «нулевого дня».

PT Industrial Security Incident Manager — непрерывно отслеживает защищённость сети АСУ ТП и обнаруживает кибератаки на компоненты системы. Продукт может быть использован как составляющая PT XDR для промышленных предприятий.

Ещё XDR может быть интегрирован с платформой для управления знаниями об угрозах PT Cybersecurity Intelligence. Это позволяет собирать индикаторы компрометации, например домены и хеш-суммы файлов, в одном месте. В дальнейшем ожидается интеграция с другими продуктами.

Поговорим подробнее о системах для защиты конечных точек. Подобные решения зачастую относят к антивирусам. Так ли это на самом деле?

К. Ч.: Не совсем. Здесь надо разделить понятия EDR и антивируса. Функциональность у этих продуктов — разная. Антивирус, или система EPP (Endpoint Protection Platform), обеспечивает базовый уровень защиты с помощью сигнатурного анализа, использует базу индикаторов компрометации по уже известным угрозам. Система класса EDR, имеющая больше привилегий в защищаемой ОС, намного сложнее. Она собирает телеметрию и может строить многоступенчатые сценарии реагирования в зависимости от событий, происходящих на конечных точках. EDR даёт возможность использовать методы, которые будут определять ещё неизвестные угрозы, а также предоставляет информацию о случившейся атаке или об инциденте при расследовании. Контекст, собираемый системой EDR, позволяет понять, что случилось на самом деле.

Кирилл Черкинский

Руководитель практики по защите от комплексных атак, Positive Technologies

Окончил радиотехнический факультет МГТУ им. Н. Э. Баумана в 2018 году по специальности «Радиоэлектронные системы и комплексы».

Путь в сфере информационной безопасности начинал в качестве специалиста лаборатории компьютерной криминалистики «Инфосекьюрити». До прихода в Positive Technologies занимался поддержкой продаж в департаменте персональных систем компании HP.

Является сертифицированным негосударственным судебным экспертом по специальности «Исследование информационных компьютерных средств».

В Positive Technologies отвечает за продвижение и поддержку продаж PT XDR.

То есть Positive Technologies таким образом выходит на рынок продуктов для защиты конечных узлов? Или это новый виток развития XDR?

Е. Н.: Для нас это — возможность предоставить компаниям удобный инструмент, позволяющий защищаться от угроз и реагировать на них. Традиционно мы развивали решения для мониторинга и анализа защищённости ИТ-инфраструктуры. Эту экспертизу и опыт мы добавили в систему EDR.

К. Ч.: EDR — основной компонент системы XDR, потому что реагирование на конечных точках позволяет продукту существовать и развиваться. В некоторых случаях принять решение и отреагировать нужно мгновенно: например, необходимо «дёрнуть рубильник» и изолировать узел. Если нет агентского решения, то вся аналитика, позволяющая обнаружить эту атаку, бесполезна.

Насколько системы XDR сложны в эксплуатации? Это большая консоль со множеством кнопок или что-то простое, не требующее от сотрудников специальных знаний?

К. Ч.: Мы старались сделать интерфейс продукта максимально простым, потому что в наборе инструментов современного SOC и так много дашбордов и консолей. Сейчас интерфейс позволяет управлять агентами XDR и очень гибко и точечно настраивать политики обнаружения и реагирования. Задача системы XDR — сделать так, чтобы аналитик получал большую часть информации из одной консоли. Основная консоль SOC — по-прежнему SIEM, но благодаря агентам туда поступает больше информации. Помимо необработанных событий передаются результаты работы модулей обнаружения в агенте: детекты коррелятора, сканера YARA и других механизмов. Конечная цель такого подхода — разгрузить SIEM и SOC в целом, уменьшить число ложных срабатываний и сократить время, которое аналитики тратят на анализ и обработку инцидентов.

XDR также может реагировать на основе базовых кейсов. Например, он обнаруживает подозрительную активность с помощью анализатора файлов и процессов, который смотрит, что запущено, сколько дискового пространства занимается, а потом выводит статистику. Сюда же можно отнести выявление вредоносных программ по результатам автоматически запущенного YARA-сканирования узла или по вердикту из PT Sandbox, автоматическую сетевую изоляцию устройства при выявлении заражения. При этом PT XDR позволяет гибко настроить защиту: в менее доверенных зонах инфраструктуры можно использовать автоматическое реагирование на серверах и конечных точках, а в более чувствительных сегментах — собирать максимальный объём информации и оставлять решение о реагировании за оператором.

Внедрить PT XDR легко?

К. Ч.: Развернуть и настроить PT XDR может один человек, но для этого нужно иметь определённый уровень квалификации: продукт позволяет упростить жизнь аналитикам, однако без экспертного сопровождения его эффективность будет снижена. Мы старались сделать продукт универсальным и эффективным для компаний любого типа и размера. PT XDR подойдёт тем клиентам, у кого нет возможности иметь большой штат специалистов по ИБ; для этого мы создали базовые политики обнаружения и реагирования «из коробки». Ещё он будет полезен тем, у кого, наоборот, есть опыт работы с экспертными продуктами, а SOC собирает данные о киберугрозах, атаках и так далее.

PT XDR включает в себя накопленную нами за 20 лет экспертизу и может дополнительно расширяться — например, за счёт добавления индикаторов, правил, интеграционных модулей. Это позволит дополнить его собственной экспертизой службы ИБ.

Важно, что системы подобного класса требуют дополнительного «тюнинга», потому что каждая инфраструктура уникальна. Создать продукт, который удовлетворяет требованиям всех пользователей одновременно, очень трудно.

Как вы оцениваете перспективы рынка XDR в России?

Е. Н.: Сначала поговорим о том, с чем столкнулась индустрия за последнее время. После пандемии многие компании перевели многочисленные команды сотрудников на «удалёнку», при этом доступы к системам у них должны были оставаться. В результате на компьютерах и ноутбуках было установлено большое число агентов, значительной частью которых управляли зарубежные облачные решения. В этом году всё изменилось, многие международные вендоры, разрабатывающие продукты класса XDR (например, Palo Alto Networks, Qualys), ушли из России. И компании, пользующиеся этими продуктами, столкнулись как с отсутствием поддержки, так и с невозможностью управлять агентами. Во время пилотных проектов компании просят нас не только предоставить им продукт с аналогичными функциями, но и удалить агенты систем ушедших вендоров. Однако убрать их с помощью стандартных средств непросто, так как они стоят над антивирусами и другими службами. И когда таких агентов — 80 тысяч, для компании это превращается в серьёзную проблему. Кроме этого, в связи с принятием 250-го указа государственные организации обязаны перейти на отечественное ПО, что также влияет на отечественную разработку, в том числе и продуктов класса XDR.

Относительно перспектив развития мы придерживаемся прогнозов «Центра стратегических разработок», согласно которым в ближайшие пять лет отечественный рынок кибербезопасности вырастет со 185,9 млрд рублей до 469 млрд рублей (в 2,5 раза), а CAGR в 2026 году составит 20 %. Продукт — новый, а в условиях резкого увеличения числа кибератак на российские компании у него есть хорошие шансы стать востребованным отечественными заказчиками. Уже сейчас, в первый год продаж, мы видим повышенный спрос на него по количеству заявок на пилотные испытания.

Часто можно встретить сравнение XDR с SOAR-решениями. Но это же не совсем корректно? В чём заключаются различия продуктов этих классов?

К. Ч.: Нам часто задают этот вопрос, так как у XDR и SOAR-решений есть общие цели и задачи, в том числе по автоматизации процессов SOC. Разница может быть понятна уже из названия.

В SOAR-решения заложены сценарии реагирования — плейбуки, но в них нет встроенных инструментов и аналитических движков для обнаружения инцидентов. XDR же умеет не только оркестрировать процессы реагирования, но и обнаруживать атаки с помощью собственных механизмов (коррелятора на узле, YARA-сканера, правил для анализа файлов и процессов и других) и с использованием интегрированных инструментов.

Например, это могут быть песочницы для глубокого поведенческого анализа файлов в изолированной среде, где меньше шума от легитимной активности пользователя и можно разместить больше обнаруживающих механизмов, чем на пользовательском компьютере. XDR позволяет управлять логикой взаимодействия продуктов, например удалять файлы, которые песочница признала вредоносными, и передавать остальным агентам информацию о проверенных файлах и о выявленной опасности.

Таким образом, XDR может самостоятельно обнаружить угрозу и моментально отреагировать на неё на рабочей станции. Не нужно дожидаться, пока события поступят в SIEM, скоррелируются, он передаст информацию об инциденте в SOAR-систему и запустится процесс реагирования. К тому же надо помнить, что по разным причинам (например, при отсутствии подключения к корпоративной сети) события с пользовательского компьютера могут не попасть в SIEM-систему, и тогда продукт класса SOAR будет бесполезен. XDR в этом плане более автономен.

Рынок XDR — весьма молодой и конкурентный. Почему вы уверены в том, что компаниям нужны такие продукты?

Е. Н.: Мы хорошо знаем, какие проблемы с кибербезопасностью и потребности в защите есть у компаний. Решения о разработке продуктов в Positive Technologies традиционно принимаются с учётом знаний о реальных угрозах, результатов глубокого анализа наших возможностей развития технологий, на основе нашего видения того, как создать эффективную систему защиты. Мы оцениваем, как продукт будет работать в организациях различного профиля, какими функциями будут пользоваться заказчики.

В основе каждого продукта Positive Technologies, и в особенности — такого комплексного, как PT XDR, лежит экспертиза, полученная за 20 лет работы наших решений в тысячах компаний.

Поэтому, выводя на рынок PT XDR, мы были уверены, что продукт не только опередит всех, но и откроет новые горизонты обнаружения атак и реагирования на них. А ещё — принесёт заказчикам ту ценность, которой им недоставало, и выведет эффективность SOC-команд на новый уровень.

Спасибо большое за беседу! Желаю успехов!