Россия
5 преимуществ перехода от EDR к XDR для выполнения требований по кибербезопасности
23 Февраля 2022
В последние годы предприятия из разных отраслей, правительства становятся жертвами кибератак. Злоумышленники придумывают изощренные методы взлома с разрушительными и дорогостоящими последствиями для компаний.
Нулевое доверие невозможно полностью реализовать без мощных возможностей обнаружения и реагирования конечных точек (EDR). Согласно Разделу 7 Исполнительного указа о кибербезопасности агентства должны развернуть инструменты EDR для упреждающего обнаружения инцидентов в федеральной инфраструктуре. А также для сдерживания атак на конечных точках и для обеспечения быстрого исправления и реагирования на инциденты. EDR является необходимой возможностью в портфеле кибербезопасности и требованием для построения архитектуры с нулевым доверием, но это не панацея. «Из-за сжатых сроков полномочий многие агентства спешат внедрять EDR, не имея более широкой стратегии, в которой EDR – это лишь один из компонентов», — сказал Брайан Пальма , генеральный директор Trellix. Напомним, Trellix это компания, недавно созданная в результате слияния McAfee Enterprise и FireEye. «Федеральное правительство имеет различные конечные точки, включая традиционные, такие как серверы, ноутбуки и телефоны, и нестандартные, такие как системы вооружения и спутники. Агентства могут работать с каждой конечной точкой с помощью специальных инструментов EDR, разработанных для конкретного устройства. Однако это не обеспечивает целостной кибербезопасности с обзором конечных точек или не соответствует требованиям указа о кибербезопасности для федерального правительства».
По словам Пальмы, чтобы получить целостное представление, федеральным агентствам следует использовать платформу расширенного обнаружения и реагирования (XDR). XDR — это решение нового поколения, которое сопоставляет EDR, сеть, электронную почту, облако и другие данные по всему предприятию и из разных сред в единое отображение в центре управления безопасностью (SOC). XDR использует автоматизацию и машинное обучение, чтобы предоставить аналитикам угроз и команде SOC более точное обнаружение для экономии времени реагирования.
Пальма выделил пять преимуществ, которые федеральные технологические группы могут реализовать, внедрив платформу XDR на пути к безопасности с нулевым доверием.
- XDR принимает и извлекает данные из нескольких инструментов безопасности.
- Технологические группы получают целостное представление обо всем ландшафте угроз.
- XDR не является проприетарным (частным).
- XDR помогает агентствам выполнять требования Исполнительного Указа Cyber EO по EDR и нулевом доверии.
- Система XDR реализована как модель SaaS для лучшей поддержки технологических групп.
SOC является эпицентром борьбы с хакерами. Однако аналитики SOC сталкиваются с потоком данных из различных решений EDR, отслеживающих группы конечных точек, которые разбросаны по агентским средам. Они также работают с огромным количеством предупреждений, многие из них - ложные срабатывания. Это приводит к нагрузке из-за многочисленности оповещений. При ограниченных ресурсах технологическим командам сложно идти в ногу со временем, что может привести к значительным пробелам в кибербезопасности. Платформа XDR использует автоматизацию для сбора, консолидации и анализа данных из нескольких инструментов безопасности. Комбинируя данные телеметрии конечных точек, SOC может быстро выявлять значимые оповещения и угрозы, реагировать на них. Как дополнительное преимущество - агентствам не нужно заменять какие-либо существующие технологии для повышения безопасности конечных точек. XDR работает с технологическими инструментами, которые агентство уже использует.
XDR не только собирает и анализирует данные из нескольких инструментов безопасности, но также извлекает данные из разных сред. XDR получает данные из облака, сетей, конечных точек, электронной почты и т. д. и объединяет их в одном месте. Используя машинное обучение, XDR быстро сопоставляет информацию и применяет ситуационный контекст безопасности. Это нужно для выявления основных причин проблем и принятия мер реагирования. XDR обеспечивает целостное, единое представление, необходимое агентствам для обеспечения кибербезопасности на предприятии.
Платформа XDR должна поддерживать встроенную интеграцию с возможностью поддержки открытых архитектур для объединения инструментов безопасности от разных поставщиков. Это означает, что она может интегрировать новые технологии и новые среды по мере изменения потребностей и задач агентства. Благодаря решению с открытой архитектурой агентствам не нужно вкладывать дополнительные инвестиции. Открытая архитектура позволяет масштабировать платформу. «В сегодняшних условиях проприетарность не работает, — сказал Пальма. «XDR экономит время и ресурсы, не требуя специальных инструментов или решений поставщиков. Система открыта для приема данных из любых инструментов, которые агентство уже имеет или в которых нуждается».
Cyber EO устанавливает жесткие сроки. С переходом на архитектуру с нулевым доверием и повышенным вниманием к возможностям EDR агентства спешат внедрять решения для выполнения требований. Есть альтернативный вариант. XDR объединяет существующие и планируемые решения EDR и SOC, предоставляя группе SOC информацию об угрозах. Эти данные основаны на машинном обучении, что значительно сокращает время отклика.
Промышленность готова помочь федеральным технологическим группам, чтобы они могли сосредоточиться на миссии. XDR использует модель «программное обеспечение как услуга», в которой надежные отраслевые партнеры разрабатывают, проектируют, внедряют, обучают и обеспечивают текущее обслуживание решения. Производители помогают внедрить XDR, гарантируя, что технологические группы агентства получат выгоду от всех его возможностей.