Будущее ядро SOC

Онлайн-площадка AM Live провела онлайн-конференцию, посвященную обсуждению перспектив недавно появившегося нового класса систем обнаружения и реагирования на инциденты информационной безопасности, или в английской аббревиатуре - XDR (Extended Detection and Response). По мнению ведущих аналитиков, именно данный класс систем должен продемонстрировать наиболее высокие темпы роста в ближайшей перспективе (см. новость ComNews от 10 января 2022 г.).

Как напомнил технический директор InfoWatch ARMA Игорь Душа, сама концепция XDR впервые представлена в 2018 г., а первые продукты появились еще на год с лишним позже. При этом до сих пор нет даже общепринятого определения. К примеру, согласно предлагаемому Gartner, XDR должна быть моновендорной системой, однако на практике это требование, как отметил руководитель отдела системных архитекторов "Лаборатории Касперского" Дмитрий Стеценко, не всегда выполняется. И в целом, по оценке большинства участников дискуссии, функциональность решения очень сильно зависит от требований заказчика и набора систем, который у него уже установлен. По мнению директора по развитию "Тайгер Оптикс" Ильи Осадчего, влияет и то, что XDR является молодым классом решений и функциональность систем еще не устоялась. По его оценке, на это потребуется еще около двух лет. Также данный класс будет активно сегментироваться для разных классов потенциальных заказчиков и сложности стоящих перед ними задач.

С технической точки зрения, XDR-система представляет собой комплекс, объединяющий сенсоры, собирающие данные с ПК, серверов, прочих конечных точек корпоративной сети, некое аналитическое ядро (которое может использовать как преднастроенную вендором самообучаемую систему, так и настраиваемые пользователем правила корреляции событий, аналогичные используемым в традиционных SIEM-системах), а также единую консоль управления. При этом, по мнению ведущего советника по вопросам информационной безопасности IBM в России и СНГ Олега Бакшинского, для относительно небольших компаний ядром системы будет являться модуль аналитики, который позволит автоматизировать основную массу задач, связанную с реагированием на инциденты, а для крупных - консоль управления. Системный инженер Fortinet Кирилл Михайлов при этом подчеркнул, что при этом пользователь может выбрать разные варианты реагирования на инциденты.

Также представитель IBM обратил внимание на то обстоятельство, что сегмент XDR активно "пылесосит" смежные сегменты, включая даже такие, как детектирование и предотвращение атак (IDS/IPS) и управление правами доступа (IDM). И в целом, как подчеркнул Олег Бакшинский, XDR позволяет свести в единое целое любые системы обеспечения информационной безопасности и мониторинга.

Использование XDR, по мнению Дмитрия Стеценко, делает такой класс систем, как SIEM, просто ненужными. XDR, как отметил технический директор TrendMicro в СНГ, Грузии и Монголии Михаил Кондрашин, собирают и обрабатывают данные в очень больших объемах, на три порядка больше, чем средние SIEM, что позволяет добиться высокого качества аналитики. С этим, однако, не согласился эксперт группы по исследованию рынка ИБ Positive Technologies Олег Хныков. Именно SIEM могут стать ядром XDR. Тем более, как обратил внимание Олег Бакшинский, многие современные SIEM серьезным образом отличаются от традиционных, и расстановка сил там существенно изменилась за последние годы. Тем не менее для многих применений XDR являются вполне самодостаточными системами. В частности, для таких применений, как защита промышленной инфраструктуры.

Также, согласно определению Gartner, XDR является облачной системой. По единодушному мнению, именно такая модель использования предпочтительнее для большинства потенциальных заказчиков, прежде всего с точки зрения экономики. Однако для очень крупных инсталляций, где количество конечных точек измеряется сотнями тысяч, развертывание XDR может оказаться и целесообразным, хотя данный момент требует тщательных расчетов.

Применение XDR позволяет снизить ущерб от инцидентов безопасности за счет снижения времени на детектирование и реагирование. По мнению Ильи Осадчего, XDR может не хватать гибкости, но для 90% потенциальных заказчиков она и не нужна. Зато существенно снижается нагрузка на персонал, что в условиях катастрофической нехватки специалистов, которая приводит к перегрузкам и выгоранию имеющихся, заметно повышает качество работы. Тем более что количество ложных срабатываний, которые являются основным недостатком автоматизированных систем, относительно невелико. По статистике IBM, которой поделился Олег Бакшинский, их число на 88% ниже, чем у предшествующих. Зато, как подчеркнул Михаил Кондрашин, именно использование XDR позволяет серьезно купировать возможные последствия, связанные с эксплуатацией опасных уязвимостей вроде Log4j, которая стала головной болью для очень многих.