На що варто звернути увагу при впровадженні рішення для виявлення складних загроз на кінцевих точках.
Багато організацій прагнуть скоротити кількість постачальників рішень безпеки, щоб знизити ризики, підвищити ефективність захисту, а також скоротити витрати і усунути необхідність в кваліфікованих фахівцях. Рішення розширеного виявлення загроз і реагування (XDR) є відмінним варіантом для досягнення цих цілей. За даними компанії Gartner, «у рішення XDR є три основних переваги:
- Оптимізація функцій захисту, виявлення і реагування.
- Підвищення загальної продуктивності фахівців з безпеки.
- Зниження сукупної вартості володіння (TCO) для створення ефективних алгоритмів виявлення і реагування».
Однак організаціям не слід вибирати рішення XDR навмання. Як вважає Gartner: «Продукти XDR мають великий потенціал, але вони також пов’язані з такими ризиками, як прив’язка до постачальника. Ринок рішень XDR ще не сформований, і можливості продуктів від різних постачальників сильно відрізняються». При оцінці рішень слід враховувати наступні аспекти.
✔ Скільки векторів атак (і які) охоплює рішення XDR?
Будь-який вектор атаки, який не охоплюється рішенням XDR, являє собою вразливість, якою можуть скористатися кіберзлочинці. Для усунення цієї вразливості може знадобитися окремий продукт. Оцініть охоплення наступних компонентів: кінцеві точки (керовані і некеровані пристрої кінцевих користувачів, а також пристрої Інтернету речей [IoT] без монітору і промислові пристрої Інтернету речей [IIoT]); доступ (дротової і бездротової); система ідентифікації; мережу (домашня, філіальна і корпоративна); хмара (загальнодоступна, приватна або «програмне забезпечення як послуга» [SaaS]); електронна пошта; а також веб-додатки.
✔ Скільки етапів ланцюжка впровадження кіберзагрози (і яких) підтримує рішення XDR?
Модель ланцюжка впровадження кіберзагрози в системі Lockheed Martin (схожа на MITRE ATT & CK Framework) має сім етапів: розвідка, розробка загроз, доставка, використання вразливості, установка, контроль і управління, а також досягнення цілей. Кібератака зазвичай повинна пройти всі ці етапи, щоб реалізувати свою задачу. Розрив ланцюжка на будь-якому з етапів призводить до успішного захисту, тому чим більше етапів охоплює система кібербезпеки, тим більше шансів зупинити атаку.
✔ Наскільки ефективні компоненти рішення XDR?
Просто додати функцію – це ще не гарантія безпеки. Ефективність систем безпеки може сильно відрізнятися в залежності від технологій, продуктів і постачальників. Саме тому є безліч авторитетних незалежних випробувальних центрів, які регулярно оцінюють ефективність систем безпеки. Подбайте, щоб продукти в складі XDR, які відправляють оповіщення, надають телеметричні дані і реагують на погрози, були протестовані провідними незалежними організаціями, такими як AV Comparatives,
SE Labs, Virus Bulletin і ICSA Labs. А також переконайтеся, що вони демонструють високу ефективність захисту – не разовий, а постійно.
✔ Наскільки зручно рішення XDR для ваших співробітників?
Кожна організація має унікальний розмір, структуру і набір навичок для реалізації функцій захисту. У свою чергу, кожне рішення XDR має різну ступінь інтеграції та автоматизації. Необхідно розуміти, рішення XDR просто корелює інформацію про безпеку (наприклад, традиційні дані про безпеку та управління подіями [SIEM]) або забезпечує повну автоматизацію роботи функцій кореляції, виявлення, розслідування і реагування.
✔ Чи є рішення XDR власною розробкою одного постачальника, відкритою системою або поєднанням цих варіантів?
Рішення XDR для конкретних постачальників зазвичай краще інтегруються, але при цьому обмежені продуктами з портфеля цього постачальника. Відкриті системи XDR – прекрасний вибір на перший погляд, але часто вони вимагають набагато більшого і безперервного доопрацювання просто для нормалізації і кореляції даних, що з часом ускладнює процеси виявлення і аналізу. Подумайте, наскільки вам комфортно працювати з обмеженим портфелем постачальника в обмін на більш високий рівень автоматизації.
За детальною інформацією про рішення XDR від Fortinet ви можете звертатися до наших спеціалістів за тел. +38 044 277 23 23 або email ITSecurity@wiseit.com.ua.