PT XDR позволит сократить время реагирования на атаку до считаных секунд
Positive Technologies представила альфа-версию PT XDR (PT Extended Detection and Response) — нового решения в своей линейке, предназначенного для обнаружения киберугроз и реагирования на них. Технология позволит службам ИБ в случае кибератак принимать меры и останавливать их в десятки раз быстрее и с меньшими затратами — за счет автоматизации процессов реагирования. Таким образом, компания, в портфеле которой сейчас более десяти продуктов для обеспечения кибербезопасности бизнеса, выходит на новый для себя рынок XDR 1. Коммерческая версия PT XDR станет доступна компаниям для покупки в апреле 2022 года.
Сегодня у организаций есть весь необходимый набор технологий для мониторинга и защиты от киберугроз. С одной стороны, это позволяет закрыть основные векторы атак. С другой — порождает проблему нехватки ресурсов и времени на реагирование. В ходе реагирования и расследования специалистам служб ИБ приходится работать с большим количеством продуктов одновременно и анализировать множество разрозненных данных из различных систем. Из-за этого подразделения ИБ регулярно теряют самый ценный ресурс — время, а риск взлома важных для бизнеса систем при этом возрастает.
Решения класса XDR нейтрализуют такого рода проблемы. Они объединяют события и контекст из множества систем ИБ для выявления реальных атак и автоматизируют процессы реагирования. Gartner называет XDR одним из трендов информационной безопасности — по мнению международного аналитического агентства, эти решения сейчас находятся на стадии технологического прорыва.
Как это было продемонстрировано на Positive Launch Day 2021, PT XDR агрегирует данные из различных систем ИБ, установленных в корпоративной инфраструктуре. Решение верифицирует, является ли атака реальной или нет, снижает количество ложноположительных срабатываний и за счет объединенного контекста представляет связанную последовательность действий до источника заражения или компрометации. Далее PT XDR автоматически останавливает атаку или предоставляет возможность оператору выбрать эффективные действия по реагированию после расследования — от сетевой изоляции узла до блокировки локального пользователя на узле, остановки цепочки процессов или удаления вредоносного файла, в зависимости от случая. При необходимости решение проводит «лечение» или восстанавливает работоспособность систем после атаки. Так, за счет эффективно выстроенных обнаружения и реагирования на киберугрозы повышается эффективность работы SOC 2.
Главная особенность PT XDR заключается в нативной интеграции нескольких продуктов Positive Technologies и используемых в них технологий. Подход к расширенному обнаружению и реагированию на киберугрозы (XDR) в масштабе всей корпоративной инфраструктуры подразумевает получение данных от SIEM-системы, песочницы, EDR, средства защиты веб-приложений, системы управления уязвимостями (VM, vulnerability management), решения по анализу сетевого трафика и других. Чем качественнее и эффективнее продукты будут взаимодействовать между собой — тем более высокую скорость реагирования на атаки злоумышленников можно будет обеспечить и, соответственно, тем больше будет шансов у специалистов по кибербезопасности остановить атакующего на ранней стадии. Также при моновендорном подходе меньше ресурсов затрачивается на настройку комплексного решения, потому что продукты Positive Technologies априори адаптированы под работу друг с другом.
MaxPatrol SIEM обогащает PT XDR данными обо всех инцидентах ИБ, которые фиксирует в IT-инфраструктуре. Помимо этого, PT XDR обращается к его базе знаний по поведенческому анализу и детектам для того, чтобы корректно профилировать действия программного обеспечения и пользователей в системе и в сети. В свою очередь, задача по анализу вредоносного ПО реализуется посредством интеграции с песочницей — PT XDR передает файлы на анализ в PT Sandbox, а в случае обнаружения «плохого» экземпляра блокирует его на всех узлах. Сведения о вредоносной активности на сетевых узлах PT XDR также может получать от EDR-решения Positive Technologies, которое также было представлено на Positive Launch Day 2021.
«Использование PT XDR вместе с другими решениями Positive Technologies, уже доказавшими свою эффективность, позволяет увеличить скорость обнаружения и противодействия киберугрозам в десятки раз. Знания об актуальных киберугрозах, новейших техниках и тактиках злоумышленников, которые мы получаем от нашего исследовательского центра и PT Expert Security Center, регулярно пополняют наши продукты. PT XDR аккумулирует существующую экспертизу и позволяет применить ее на конечных узлах. Благодаря этому, время реагирования удалось сократить до считаных секунд. Таким способом мы сужаем для хакеров окно возможностей для закрепления в инфраструктуре и развития атаки до критически важных IT-систем», — комментирует Дмитрий Нагибин, руководитель департамента разработки средств защиты станций и серверов Positive Technologies.
Запуск PT XDR является логичным шагом при реализации результативного подхода к кибербезопасности, который определяет стратегию развития Positive Technologies на ближайшие годы.
Результативная кибербезопасность подразумевает обеспечение такого уровня ИБ, который гарантирует, что недопустимые для бизнеса события невозможны.
«PT XDR — это решение, которое было нужно нам для достижения более глобальной цели — создания метапродуктов, которые гарантированно делают невозможным реализацию хакером недопустимых для бизнеса событий. Достичь такого результата, не имея средств контроля на конечных узлах, практически нереально. С учетом динамики разработки метапродуктов, в частности MaxPatrol O2, нам необходимо иметь возможность собирать и поднимать наверх с конечных точек нужный для работы метапродуктов контекст, требования к которому также динамично меняются, — рассказывает Максим Филиппов, директор по развитию бизнеса Positive Technologies. — Поэтому мы стали делать свое решение этого класса. Но даже без MaxPatrol O2 разработанное решение покрывает два сформированных технологических сегмента: EDR (Endpoint Detection and Response) — технология обнаружения и устранения угроз на конечных точках и XDR (Extended Detection and Response) — расширенная система обнаружения и устранения угроз, которая может собирать информацию из EDR, SIEM, песочниц, NDR, UEBA, WAF, VM».