Так как сегодня подобных конечных точек стало намного больше и все они подвержены риску взлома со стороны злоумышленников, нужны принципиально другие решения. В том числе и те, которые способны защищать не только смартфоны и планшеты, но и облачные приложения.

Технология XDR, которая часто называется методикой «многослойного» выявления и реагирования, отличается от EDR тем, что позволяет выходить за пределы конечных точек и реагировать на угрозы, опираясь на данные от многих средства защиты информации. При этом в процессе реагирования будут задействованы все возможные и доступные инструменты: электронная почта, роутеры, маршрутизаторы, системы управления данными и учетными записями.

XDR-система объединяет инструменты, формирующие платформу, способную выявлять нарушения безопасности ИТ-инфраструктуры и быстро реагировать на них. С помощью XDR-системы можно организовать комплексный контроль над потенциальными угрозами со стороны злоумышленников. Этот глобальный контроль обусловлен тем, что система собирает прошлые и текущие данные на следующих уровнях:

• конечные точки доступа
• сетевые устройства (сенсоры, шлюзы, WAF, FW, IPS)
• e-mail трафик
• инструменты виртуализации
• облачные сервисы
• системы разграничения доступа
• DLP-системы

Данные, которые собираются на этих уровнях, проходят через разные этапы:

• «Нормализация» информации по параметрам, заданным ранее. Поступление данных в Data Lake.
• Корреляция полученной информации и реагирование на инциденты, а затем, при необходимости, выполнение расследования.

Схема работы XDR похожа на работу SIEM — Security Information and Event Management — управление безопасностью информации и управление событиями безопасности. Но XDR может объединять одновременного множество разных событий, которые поступают из различных источников, формируя максимально полную стратегию и историю атаки.

С помощью XDR можно узнать, какое самое первое действие совершил злоумышленник — с чего конкретно началось его проникновение в сеть. И главное, сделать это можно с помощью всего одной консоли, без необходимости применения разрозненных систем администрирования и сравнения и анализа полученные из них данных.

Сбор, обработка и анализ событий в XDR базируется на автоматических действиях XDR-системы и методе машинного обучения. Поэтому с помощью этой технологии можно сильно сократить число администраторов сети, отвечающих за ее безопасность, реагирование на угрозы и их дальнейшее расследование.

XDR заменяет отдельно взятые СЗИ и позволяет унифицировать организацию решения проблем кибербезопасности. Так как используется единый пул информации, включающий все данные об экосистеме информационной безопасности, XDR-система способна обнаружить угрозы и реагировать на них быстрее чем EDR. XDR может быстрее, глубже и эффективнее собирать и анализировать информацию из гораздо большего числа источников.

С помощью XDR можно обеспечить максимально детальный мониторинг потенциальных уязвимостей, а все инциденты, которые не удалось устранить, в дальнейшем обрабатываются на максимальном уровне осведомленности. Другими словами, это позволит экспертам по ИБ уменьшить ущерб от атаки, а также свести к минимуму любое воздействие злоумышленников на ИТ-инфраструктуру компании.

Так, классическое «приложение-вымогатель» идет по сетевому каналу, попадает на e-mail, а на последнем этапе атакует конечную точку — например, ПК жертвы. Если рассматривать все эти этапы по одному, корпорация занимает крайне невыгодное положение. А XDR в такой ситуации объединит весь стек ИБ и предоставит возможность открывать/закрывать доступ, отзывать права и выполнять множество других важных процессов, которые можно заранее запрограммировать при помощи пользовательских правил.

Все вышеописанное наделяет XDR как минимум тремя важными преимуществами:

1. Высокая способность распознавать скрытые попытки проникновения в ИТ-инфраструктуру.
2. Значительное сокращение времени нахождения злоумышленника внутри сети.
3. Высокая скорость реагирования на угрозы и их быстрое пресечение.

XDR базируется на ИИ, помогающем системе свести к минимуму все ручные операции, которые должны выполнять аналитики систем безопасности. XDR — проактивное решение, способное оперативно выявить сложные угрозы и многократно улучшить эффективность работы системы ИБ, снижая ее нагрузку.

XDR — универсальное решение, актуальное для всех компаний, которым необходимо получить расширенные возможности в плане выявления, устранения угроз и расследования целенаправленных атак на ИТ-инфраструктуру. Независимо от сферы деятельности, XDR станет оптимальным и актуальным решением для предприятия, на котором необходимо обеспечить анализ:

• сетевого трафика
• электронной почты
• облачных продуктов

Большая часть кибератак приходится как раз на электронные письма. XDR позволяет фиксировать все потенциально опасные письма. Это эффективное в плане защиты данных комплексное решение для компаний, которые работают с разными устройствами — ПК, смартфонами, планшетами. Благодаря XDR можно обеспечить расширенный процесс обнаружения угроз, стандартизировать видимость и взять под контроль все конечные устройства, сети, облачные хранилища.

Согласно мнению экспертов из компании «Тайгер Оптикс» сегодня в РФ XDR относится к части рынка EPP. Обороты в отрасли, по данным аналитиков, составляют порядка 5 миллионов долларов в год.

Клиенты, которым необходима надежная защита хостов, часто неосознанно находят именно XDR-решения. В итоге XDR со всеми возможностями становится как-бы «приятным бонусом» к системе информационной безопасности компании. Главное препятствие для развития российского XDR-рынка — отсутствие квалифицированных экспертов в сфере информационной безопасности.

На рынке РФ представлено больше XDR-продуктов от зарубежных разработчиков:

• SecureX
• Fortinet
• Cortex XDR
• FortiXDR
• Microsoft Defender
• McAfee MVISION XDR
• SentinelOne Singularity XDR
• Sophos XDR
• Symantec Endpoint Security Complete
• Trend Micro Vision One

1. Централизация сбора информации с элементов системы XDR
2. Корреляция происшествий и рассылка уведомлений администраторам ИБ при обнаружении угрозы
3. Централизация системы реагирования на угрозу, которая затрагивает различные части общей ИТ-инфраструктуры

С XDR также можно добиться высокой степени безопасности ЦОДов, но для этого нужно применять дополнительные инструменты по типу облачных платформ для защиты рабочей нагрузки, а также решения для управления облачными системами безопасности.

Среди важных задач XDR следует отметить возможность временного повышения производительности мониторингового центра ИБ с параллельным увеличением точности обнаружения потенциальных угроз. Такая концепция подразумевает использование решений, которые в совокупности смогут выявить угрозу и оперативно проинформировать о ней в общей цепочке атак.

Перспективы развития XDR отлично описаны также экспертами Gartner в материале «Hype Cycle for Security Operations, 2020». Исследователи выдвинули гипотезу, что сегодня XDR находится на первом этапе цикла, в фазе технологического прорыва и скоро достигнет зрелости — займет «плато производительности», но на это потребуется не менее пяти лет. Пока же этот класс решений имеет низкий процент проникновения на рынок — всего 1% во всем мире.