В поисках правильного решения для поддержки, развития и расширения возможностей вашего SOC, вот что необходимо знать при оценке XDR и SOAR.

В течение почти двух десятилетий системы управления событиями безопасности (SIEM) были единственным решением, которое могло помочь командам безопасности централизованно осуществлять обнаружение, расследование и реагирование. К сожалению, с течением времени SIEM столкнулись с большим количеством проблем. Если раньше SIEM было достаточно, то теперь они просто перестали быть эффективными для предотвращения, обнаружения и реагирования на угрозы в условиях растущей поверхности атак. Кроме того, инструменты SIEM имеют репутацию довольно дорогостоящих в приобретении, сложных в развертывании и обременительных в эксплуатации и обслуживании. Не забудьте учесть затраты работодателя, время и деньги на обучение сотрудников работе с системами SIEM, поскольку обучение работе с SIEM - это дело не из легких.

Многие организации, имеющие SIEM, дополняют ее решением Security Orchestration, Automation, and Response (SOAR) для объединения оповещений с конечных точек, электронной почты, облака и других систем. Решение SOAR позволяет автоматизировать, организовывать и использовать другие аналитические инструменты для централизации важной информации о потенциальной угрозе. Однако SOAR также требует больших затрат и сложностей. Для внедрения SOAR и поддержки его партнерских интеграций и руководств по работе требуется высокоразвитый операционный центр безопасности (SOC).

Точечные решения, такие как SIEM и SOAR, исчерпали свои возможности в современной среде кибербезопасности и уже не так эффективны для предотвращения, обнаружения и реагирования на угрозы в условиях растущей поверхности атаки. В результате организации обращаются к расширенному обнаружению и реагированию (XDR) для объединения обнаружения угроз и реагирования на них в масштабах предприятия. Более того, 60% организаций планируют внедрить или расширить использование XDR в течение следующих 12 месяцев.

Но каковы различия между этими решениями? И какое из них подходит для вашей организации?

????Что такое SIEM?

Системы SIEM собирают, хранят, коррелируют данные и составляют отчеты по данным журналов для реагирования на инциденты, криминалистики и соблюдения нормативных требований. Хотя аббревиатура SIEM была впервые введена компанией Gartner в 2005 году, функциональные основы SIEM существуют еще дольше. Еще в 1990-х годах перспективные организации поняли, что им необходимо объединить свои журналы безопасности в единую систему, чтобы облегчить анализ и обеспечить соответствие нормативным требованиям.

Инструменты SIEM объединяют данные журналов, чтобы предоставить командам SecOps консолидированный источник телеметрии. Они также сохраняют данные для целей криминалистики и соответствия нормативным требованиям, запрашивают данные по всем системам для обнаружения и расследования угроз, а также предлагают информационные панели и отчеты, чтобы помочь сотрудникам службы безопасности контролировать среды по требованию и соблюдать требования аудита.

????Что такое SOAR?

Автоматизация безопасности - это автоматическая обработка задач, связанных с операциями безопасности, включая как административные обязанности, так и обнаружение и реагирование на инциденты. Автоматизация безопасности позволяет командам безопасности масштабироваться с растущими рабочими нагрузками. Оркестровка безопасности - это метод соединения инструментов безопасности и интеграции различных систем безопасности, являющийся связующим звеном, которое упорядочивает процессы безопасности и обеспечивает автоматизацию. Сегодня 66% аналитиков считают, что половина их задач может быть автоматизирована. По этой причине некоторые организации обращаются к платформам SOAR.

Часто добавляемые в качестве расширения к SIEM-системам, SOAR могут предоставлять руководства для автоматизации часто используемых рабочих процессов аналитиков и могут помочь внедрить "промежуточное ПО безопасности", которое позволяет различным инструментам безопасности общаться. Инструменты SOAR улучшают процессы SOC, обогащая данные, улучшая сортировку предупреждений и автоматизируя повторяющиеся задачи.

????Что такое расширенное обнаружение и реагирование (XDR)?

Индустрия безопасности переживает переход к новому классу решений, известному как XDR. Поскольку XDR объединяет данные о безопасности со всего предприятия, некоторые могут предположить, что это просто развитая версия SIEM. Но на самом деле XDR выходит далеко за рамки характеристик традиционной SIEM, предлагая ощутимые преимущества в виде более эффективной защиты, ускорения рабочих процессов, более эффективного управления инцидентами и улучшения видимости.

Буква "X" в слове XDR означает интеграцию и расширение защиты на всю экосистему ИТ - таким образом "расширяя" эту защиту дальше, чем когда-либо прежде. Предшественник XDR, Endpoint Detection and Response (EDR), был нацелен на мониторинг и защиту организаций от угроз на конечных точках. Поскольку данные выходят за пределы периметра, XDR был необходим для расширения диапазона защиты на сеть, серверы и облако, а также на конечные точки. Термин XDR был впервые введен в 2018 году и относится к новому поколению решений безопасности, которые аналитическая компания Gartner описывает как "средства обнаружения угроз и реагирования на инциденты, которые нативно интегрируют несколько продуктов безопасности в целостную систему обеспечения безопасности".

XDR обеспечивает расширенное обнаружение, быстрое реагирование и интуитивно понятную автоматизацию, которая отвечает потребностям большинства клиентов без непредсказуемых цен SIEM или дополнительных затрат на стороннее решение SOAR. Консолидируя несколько инструментов безопасности в единую платформу обнаружения и реагирования на угрозы, XDR позволяет сократить время, усилия и дополнительные сложности, связанные с управлением несколькими отдельными решениями.

????SOAR против SIEM и XDR

Решения SOAR автоматизируют основные процессы SOC для создания более эффективных реагирований, требующих меньше ресурсов и времени. Полученная эффективность помогает организациям сократить среднее время реагирования (MTTR). Быстрое реагирование сокращает время пребывания и позволяет быстро локализовать злоумышленника, ограничивая последствия атаки. SOAR является очень ценным дополнением к SIEM.

В отличие от него, XDR предлагает расширенное обнаружение, быстрое реагирование и интуитивную автоматизацию, которые удовлетворяют потребности большинства клиентов без дополнительных затрат на решение SOAR. XDR автоматически коррелирует, определяет приоритеты и проверяет оповещения, позволяя командам безопасности эффективно работать над наиболее актуальными угрозами. Оно также предлагает встроенные рабочие процессы расследований безопасности и автоматизированные сценарии, которые помогают упростить расследования и ускорить ответные действия. XDR - это более простое и интуитивно понятное решение, позволяющее снизить бремя ручной работы и сэкономить драгоценное время аналитиков, чтобы они могли работать и сосредоточиться на чем-то более важном.

SIEM отлично подходят для сбора и анализа больших объемов событий журналов и других данных. Организации, сделавшие значительные инвестиции в SIEM, могут по-прежнему использовать ее для обеспечения соответствия нормативным требованиям и аудита - особенно в таких отраслях, как финансы, промышленность и здравоохранение, которые сталкиваются с серьезными регулятивными проверками. Однако технология SIEM была впервые представлена в середине 2000-х годов, когда картина угроз выглядела совсем иначе. Если раньше SIEM было достаточно, то теперь они уже не так эффективны для предотвращения, обнаружения и реагирования на угрозы в условиях растущей поверхности атаки.

Пользователи SIEM сталкиваются с рядом проблем, включая непредсказуемые затраты, слишком много шума и ограниченные возможности обнаружения и реагирования. Для эксплуатации SIEM требуются высокоспециализированные сотрудники, которые не только создают SIEM, но и генерируют аналитику обнаружения. Для компаний, которые хотят усовершенствовать свои программы безопасности и повысить способность к реагированию и ответу на атаки, XDFR является более экономически эффективным и специализированным решением.

XDR действует как взаимосвязанная система, в которой информация об угрозах используется во всех уголках инфраструктуры - без введения общего риска или увеличения затрат. XDR может обеспечить более эффективное обнаружение и реагирование на целевые атаки и включает встроенную поддержку поведенческой аналитики, реагирования на инциденты, анализа угроз и автоматизации.

????Три вопроса, которые следует рассмотреть при поиске поставщика услуг XDR

По сути, XDR помогает командам безопасности действовать быстрее и реагировать более точно. Но не все решения XDR одинаковы. Прежде чем вы решите использовать XDR для автоматизации, необходимо рассмотреть несколько важных вопросов при поиске поставщика XDR:

1. Разгружает ли решение повторяющиеся задачи и автоматизирует ли оптимизированные процессы?

Автоматизация воспроизводит наиболее повторяющиеся части задач аналитиков безопасности, чтобы вернуть им ценное время, максимально расширить их навыки и обеспечить более широкий охват предприятия. Автоматизация упорядочивает рутинные задачи, чтобы команды SOC могли сосредоточиться на своих наиболее важных обязанностях - расследовании угроз и реагировании на них максимально эффективно и результативно. Ищите платформу XDR с постоянно расширяющейся библиотекой предварительно созданных сценариев действий для автоматизации ручных задач, таких как:

????Создание и запрос тикетов через другие системы тикетов.

????Создание пользовательских уведомлений по электронной почте и мгновенных сообщений.

????Управление оповещениями.

????Создание расследований.

????Реагирование на инциденты в рамках нескольких систем контроля безопасности.

2. Можете ли вы быстро реагировать на самые серьезные угрозы?

Хорошее решение XDR автоматически сопоставляет, проверяет и приоритизирует наиболее важные оповещения, позволяя командам безопасности эффективно работать над наиболее актуальными угрозами. XDR обогащает данные соответствующим контекстом, помогая аналитикам действовать быстро и решительно. Правильное решение поможет вам обнаруживать и автоматически реагировать на поведение угрожающих субъектов в вашей среде, чтобы снизить операционный риск и поддержать любые пробелы в знаниях.

3. Получаете ли вы максимальную отдачу от существующих инвестиций в технологии безопасности?

Важно искать открытую платформу XDR с широким набором интеграций. В отличие от собственных платформ XDR, которые полагаются на одного поставщика, открытые платформы XDR широко интегрируются с другими поставщиками. Это дает преимущество выбора лучших в своем классе инструментов и использования телеметрии по всей поверхности атаки. Внешние подрядчики к сторонним технологиям, включая системы тикетов, электронную почту, инструменты для конечных точек и многое другое, позволяют вам получить больше от существующего стека технологий. Вместо того чтобы заменять и переделывать, ищите решение XDR, которое максимизирует окупаемость инвестиций.

????Вывод

Правильно построенное решение XDR будет уникально обеспечивать широкое и глубокое обнаружение угроз и сочетать машинное обучение и человеческий интеллект для автоматического обнаружения и реагирования на угрозы на ранних этапах цепи поражения. 56% организаций утверждают, что автоматизация, искусственный интеллект (AI) и машинное обучение (ML) - все это встроено в XDR - помогли значительно повысить их киберустойчивость. Хорошо построенная система XDR также должна включать в себя AI и ML как ключевые компоненты, лежащие в основе функций автоматизации.

Пока не поздно, и лучше перестраховаться, чем потом жалеть, узнайте больше о XDR и автоматизации, которую она может обеспечить, чтобы изменить ситуацию для вашей организации и команды безопасности. И вы выйдете победителем.????

Оригинал статьи - здесь.
Поддержите автора хлопками на Medium.

Перевод статьи был выполнен проектом перевод энтузиаста:

• ???? @Ent_TranslateIB - Телеграмм канал с тематикой информационной безопасности

• ???? @Ent_Translate - Инстаграм проекта