XDR umożliwia wykrywanie, badanie i reagowanie przy użyciu szerszego zakresu źródeł danych z różnych warstw zabezpieczeń. XDR analizuje osobne obszary zabezpieczeń, identyfikując i ujawniając pełne informacje o ataku w formie pojedynczej prezentacji.
W przypadku wykrycia zagrożenia zadaniem analityka z centrum ds. zabezpieczeń jest pozbieranie i skorelowanie danych na temat zasięgu infiltracji wewnętrznej, penetracji poziomej oraz eksfiltracji. To pozwala na szybką ocenę zakresu szkód i podjęcie odpowiednich działań zaradczych.
Im więcej źródeł danych i zabezpieczeń uda się połączyć, tym trafniejsze będą analizy korelacyjne platformy XDR, co pozwoli na dokładniejsze zbadanie problemu i znalezienie skuteczniejszego rozwiązania.
Dziś na przykład dzięki narzędziu wykrywania i reagowania (EDR) analityk może uzyskać szczegółowe informacje na temat podejrzanej aktywności w zarządzanych punktach końcowych, ale potem musi skorzystać z osobnego systemu informacji o alarmach bezpieczeństwa w sieci i analizy ruchu. Jeśli chodzi o obciążenia chmury, analityk może mieć ograniczoną widoczność informacji pozwalających na identyfikację podejrzanej aktywności.
Wszystkie elementy takiego środowiska generują wiele fałszywych alarmów, które mogą być wysyłane do systemu SIEM. Analityk widzi alarmy, ale nie ma dostępu do szczegółowych informacji na temat aktywności między nimi. Bez dodatkowych analiz korelacyjnych analityk przeoczy ważne szczegóły dotyczące ataku, który pozostaną zakopane w alarmach bez kontekstu lub sposobu na połączenie faktów.
XDR łączy te wszystkie warstwy, aby zapewnić analitykowi szerszy obraz i ułatwić szybkie wyjaśnienie sytuacji, w tym jak użytkownik został zainfekowany, w którym miejscu doszło do wniknięcia zagrożenia oraz co lub kto jeszcze bierze udział w tym ataku.
Efektywna rejestracja aktywności w punktach końcowych jest niezbędna dla analizy potencjalnych dróg wniknięcia, zmian i rozprzestrzeniania się zagrożenia w punktach końcowych. Za pomocą narzędzia XDR można skanować system w poszukiwaniu wskaźników infekcji (Indicators of Compromise – IoC) i wskaźników ataku (Indicator of Attack – IoA).
Wykrycie: Wyszukiwanie i identyfikacja podejrzanych i niebezpiecznych zdarzeń w punktach końcowych
Badanie: Co się wydarzyło w punkcie końcowym? Gdzie rozpoczęło się zdarzenie? Jak rozprzestrzeniło się ono na inne punkty końcowe?
Reakcja: Izolacja zdarzenia, zatrzymanie procesów, usunięcie/odzyskanie plików
Wiele organizacji dysponujących narzędziami EDR może zacząć badanie od punktu końcowego. Choć narzędzia EDR są dobre na początek, istnieje ryzyko, że uwadze umkną informacje dotyczące początku i końca ataku. Co się działo zanim zagrożenie trafiło do punktu końcowego? Czy przyszło ono pocztą i czy inni też dostali taką wiadomość e-mail? Co się działo po tym, jak zagrożenie trafiło do punktu końcowego? Czy doszło do infiltracji poziomej na serwer lub kontener? Czy zagrożenie dotarło do niezarządzanego urządzenia?
Wziąwszy pod uwagę, że 94% włamań jest dokonywanych za pośrednictwem poczty elektronicznej[1] , możliwość identyfikacji zaatakowanych kont i wykrywania złośliwych treści w wiadomościach e-mail stanowi ważny element ogólnej firmowej strategii wykrywania zagrożeń.
Wykrycie: Wyszukiwanie i identyfikacja zagrożeń w poczcie elektronicznej, zaatakowanych kont, często atakowanych użytkowników i typowych cech ataku
Badanie: Kto przeprowadził infiltrację? Kto jeszcze otrzymał złośliwą wiadomość e-mail?
Reakcja: Kwarantanna poczty elektronicznej, blokada nadawców wiadomości e-mail, reset kont
Poczta elektroniczna, która jest najczęstszym wektorem ataków, powinna stanowić priorytet w zakresie implementacji wielowarstwowego systemu wykrywania i reagowania. Zagrożenia w poczcie e-mail często stają się groźne dopiero wtedy, gdy użytkownik kliknie znajdujący się w wiadomości załącznik lub odnośnik. Nieuruchomione zagrożenie może pozostawać niewykryte w wielu skrzynkach pocztowych. Możliwość powiązania wykrytego zdarzenia w punkcie końcowym z wiadomością e-mail, z którego pochodzi, umożliwia automatyczne przeszukanie skrzynek pocztowych w celu sprawdzenia, kto jeszcze otrzymał złośliwą wiadomość oraz czy złośliwy załącznik lub adres URL znajduje się także w skrzynkach innych użytkowników. Następnie wytypowane wiadomości e-mail można poddać kwarantannie, usuwając zagrożenie, aby zapobiec dalszemu rozprzestrzenianiu się szkodliwej treści.
Analiza sieciowa to skuteczna metoda wykrywania ataków ukierunkowanych, ponieważ ich cechą charakterystyczną jest poziome rozprzestrzenianie lub komunikacja z centrami dowodzenia. Dane z tych analiz pozwalają odsiać istotne zdarzenia od nieważnych oraz zmniejszenie liczby martwych stref, którymi mogą być IoT i urządzenia niekontrolowane.
Wykrycie: Wyszukiwanie i identyfikacja nienormalnych zachowań w miarę rozprzestrzeniania się zagrożeń
Badanie: W jaki sposób zagrożenie nawiązuje kontakt? Jak rozprzestrzenia się po organizacji?
Reakcja: Określenie zasięgu ataku
Dzienniki sieciowe stanowią bogate źródło informacji pozwalających określić zakres ataku, ale bez korelacji ich z innymi alarmami bezpieczeństwa trudno jest zdobyć kontekst pozwalający zorientować się, co jest powiązane ze zdarzeniem i ważne. Z tego powodu sieć i punkty końcowe dają bardzo szerokie możliwości. Korelacja umożliwia odkrycie, że pozornie niegroźna aktywność, np. korzystanie z konsoli PowerShell, w punkcie końcowym stanowi poważne zagrożenie, ponieważ okazuje się, że próbuje nawiązać kontakt z centrum zarządzania.
Podobnie jak w przypadku punktów końcowych, można rejestrować i analizować aktywność, aby wykryć jak doszło do przeniknięcia i rozprzestrzenienia się zagrożenia na serwerach i w obciążeniach chmury. Można monitorować środowisko pod kątem wskaźników IoC i IoA.
Wykrycie: Wyszukiwanie i identyfikacja zagrożeń nakierowanych na serwery, obciążenia chmury i kontenery
Badanie: Co się stało z obciążeniem chmury? Jak doszło do propagacji?
Reakcja: Izolacja serwera, zatrzymanie procesu
Organizacje mogą wykorzystywać narzędzia EDR dla serwerów i obciążeń chmury, ale mogą to robić nieefektywnie. Same narzędzia EDR nie są wyposażone w mechanizmy rozpoznające nowe modele chmury ani nie dostarczają potrzebnego typu danych i widoczności. Korelacja informacji ze środowisk serwerowych, podobnie jak w przypadku każdego innego wektora, pozwala ocenić podejrzaną aktywność – taką jak kontakt serwerów z adresami IP należącymi do krajów, z którymi nigdy wcześniej się nie łączyły – jako złośliwą dzięki powiązaniu jej z danymi na temat aktywności z innych warstw, na przykład punktów końcowych czy sieci.
Powiązane artykuły