Для организации может быть довольно сложным и запутанным выбор правильного решения XDR для своей среды, когда множество поставщиков заявляют о своем решении XDR. Похоже, что XDR в настоящее время является новым модным словечком в области кибербезопасности, и каждый поставщик хочет получить свою долю в бизнесе.

В связи с этим команде SecOps становится сложно выбрать правильное решение XDR для своей конкретной среды. При выборе подходящего поставщика XDR для своей среды организациям необходимо рассмотреть как минимум следующие вопросы:

- Как будут выглядеть процессы организации, а также схемы/рабочие процессы после внедрения решения XDR, чтобы команда SecOps могла сосредоточиться на реальных инцидентах?

- Как решение XDR позволит команде SecOps обнаруживать, реагировать и устранять последствия по различным каналам атак, таким как данные, сеть, электронная почта, облако и конечные точки?

- Как решение XDR объединит специалистов по безопасности, реагированию на инциденты и операциям, чтобы они могли совместно работать как ОДНА КОМАНДА во время киберинцидентов?

Основываясь на нашем опыте работы с различными организациями в разных отраслях, организации, которые ищут решение XDR, должны учитывать несколько ключевых столпов безопасности, когда дело доходит до выбора правильного решения XDR для их среды.

В этой статье мы рассмотрим два из этих ключевых столпов безопасности: видимость и угроза.

Видимость - это главное! Это похоже на то, что в доме установлена ​​система видеонаблюдения. Но в доме может быть много мест, где отсутствуют камеры видеонаблюдения. Как в этом случае будет происходить полномасштабное обнаружение вторжений?

Настоящее решение XDR должно позволять организации обеспечивать видимость различных потенциальных точек обнаружения: сеть, электронная почта, конечная точка, облако, данные, поведение пользователя. Это очень важно, так как НЕВИДИМОСТЬ = НЕТ ОБНАРУЖЕНИЯ.

Видимость также связана с видимостью данных в различных частях организации. С точки зрения защиты данных организации необходима архитектура XDR, которая обеспечивает видимость критически важных данных, хранящихся на различных конечных точках (данные в состоянии покоя), данных, которые в настоящее время передаются по сети (данные в движении), и данных, которые в настоящее время используются конечными точками/пользователями (используемые данные).

Организациям требуется полная видимость этих данных, чтобы иметь возможность применять соответствующие меры безопасности для защиты этих данных от попадания в чужие руки. Когда у организации есть эта видимость данных, они могут обнаружить потенциальную утечку данных, которая могла произойти во время киберинцидента или при расследовании любого нарушения.

Видимость также связана с обеспечением безопасности активов. Из-за текущей гибридной рабочей среды организации теперь имеют свои критически важные активы, расположенные в разных операционных системах, а также в разных формах (аппаратные, виртуальные, облачные).

Настоящее решение XDR должно иметь четко определенные процессы/схемы/инструменты, которые обеспечивают группе SecOps видимость всех типов активов и гарантируют, что эта видимость не ухудшится со временем из-за изменений в среде.

Такая видимость различных каналов атаки позволяет точно и на раннем этапе обнаруживать заблаговременные атаки, поэтому группа SecOps может вовремя реагировать на эти атаки и устранять их, чтобы предотвратить дальнейший ущерб.

Таким образом, речь идет о прозрачности, которая является одним из ключевых элементов безопасности, который организация должна использовать при рассмотрении решения XDR.

Следующим столпом безопасности, о котором надо рассказать, является угроза. В текущей среде угроз организации полагаются на точную информацию об угрозах для выявления и понимания угроз, нацеленных на их отрасль.

Это позволяет организации настроить и сфокусировать свои процессы обнаружения и реагирования, а также элементы управления безопасностью для быстрого обнаружения целевых угроз и реагирования на них.

Организации обычно получают информацию об угрозах из следующих действий и каналов:

- Исследования аналитиков безопасности. Новые индикаторы угроз могут быть обнаружены, когда аналитик безопасности просматривает данные, собранные с скомпрометированной конечной точки. Индикаторы компрометации (IOC), которые могут быть обнаружены, включают вредоносные файлы, процессы или URL-адреса. При проведении статического и динамического анализа вредоносных файлов аналитик безопасности может определить дополнительные признаки, которые можно использовать для создания IOC.

- Коммерческие каналы информации об угрозах. Многие организации покупают проверенные каналы информации об угрозах, некоторые из которых могут иметь конкретную направленность, например, государственные угрозы, угрозы даркнета или отраслевые угрозы.

- Информация об угрозах с открытым исходным кодом. Организации также часто полагаются на потоки информации об угрозах с открытым исходным кодом, включая бесплатную информацию из блогов поставщиков и общедоступные списки от исследователей безопасности.

- Группы по обмену угрозами. Существуют также различные группы по обмену угрозами, которые обмениваются отраслевыми данными о потоках с проверенными участниками.

Команда SecOps часто задает этот вопрос: "Теперь у меня есть информация об угрозах из нескольких источников, что мне делать дальше?" Типичные методы, которые организации используют для обмена информацией об угрозах между различными средствами безопасности, часто состоят из ручных процессов, требующих много времени и труда.

Аналитики безопасности тратят много времени на анализ и ручное обслуживание IOC в электронной таблице Excel или на платформе анализа угроз, и делятся этими IOC с различными командами в своей организации с помощью электронной почты, сообщений в чате или других ручных и подверженных ошибкам методов.

Быстрый обмен информацией об угрозах с различными элементами управления безопасностью имеет решающее значение для обеспечения того, чтобы организация могла обнаруживать угрозы и реагировать на них сразу же после их обнаружения. Это также гарантирует, что элементы управления безопасностью интегрированы и работают вместе, чтобы обеспечить эффективную многоуровневую защиту для организации.

Таким образом, когда организации рассматривают решение XDR, они должны искать четко определенные встроенные сценарии и процедуры для приема, использования и обмена информацией об угрозах в решениях по обеспечению безопасности для конечных точек, данных, электронной почты, облака, сети.

Решение XDR также должно предоставить команде SecOps инструменты, необходимые им для создания информации об угрозах в рамках повседневной операционной деятельности, и возможность делиться этой информацией об угрозах по всем каналам атаки.

Используя эту информацию об угрозах, во время инцидента кибербезопасности, например, решение для защиты данных будет точно знать, что происходит активное вторжение, и необходимо инициировать ответные действия. Используя решение XDR, группы SecOps смогут автоматически генерировать и использовать последние угрозы кибербезопасности без необходимости ручных и трудоемких процессов.

Таким образом, угроза кибербезопасности должна стать второй ключевой опорой безопасности, которую организация должна рассмотреть при поиске решения XDR.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.