Με τις file–less επιθέσεις, τις εκστρατείες phishing, το malware και κυρίως το ransomware να χτυπούν αδιακρίτως και χωρίς σταματημό επιχειρήσεις και δημόσιους οργανισμούς, οι υπεύθυνοι πληροφορικής και κυβερνοασφαλείας στρέφονται σε νέες λύσεις για να αντιμετωπίσουν τέτοιες προηγμένες απειλές και το XDR (Extended Detection & Response) αποτελεί μία πολύ σοβαρή εναλλακτική.
Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr
Πολλά έχουν ειπωθεί για το XDR, ειδικά από ηγέτες στον χώρο της κυβερνοασφάλειας και από αναλυτές, όμως το concept εξελίσσεται διαρκώς, φέρνοντας συνεχώς νέες δυνατότητες και χαρακτηριστικά που έχουν στόχο να κάνουν εταιρείες και οργανισμούς ανθεκτικότερους απέναντι στις προηγμένες απειλές. Ας πάρουμε όμως τα πράγματα από την αρχή.
Οι εταιρείες αξιολόγησης Forrester και Gartner περιγράφουν το σετ τεχνολογιών κυβερνοασφάλειας XDR ως «eXtended Detection and Response» καθώς εκτείνεται πέρα από τις τερματικές συσκευές και τους διακομιστές (π.χ. στο δίκτυο, στο cloud κ.ά.) και αξιοποιεί δεδομένα από διάφορες πηγές όπως το τείχος προστασίας (firewall), το ηλεκτρονικό ταχυδρομείο (email), το cloud, τις φορητές συσκευές κ.ά. Άλλοι λένε ότι σημαίνει «Cross–product Detection and Response» καθώς συνδυάζει και αξιοποιεί δεδομένα ασφαλείας από πολλαπλές πηγές και πολλαπλά επίπεδα ασφαλείας ενώ άλλοι υποστηρίζουν ότι το «X» στο XDR αντιπροσωπεύει μία μαθηματική μεταβλητή που αντιπροσωπεύει οποιεσδήποτε πηγές δεδομένων αξιοποιούνται ως μέρος της λύσης. Οποιονδήποτε ορισμό και αν χρησιμοποιήσετε για το XDR, όλοι τους σχετίζονται με την ικανότητα πρόσβασης και αξιοποίησης μίας σειράς από πηγές δεδομένων που παρέχουν σε ένα οργανισμό καλύτερα αντανακλαστικά.
Το XDR σχεδιάστηκε για να παρέχει σε επιχειρήσεις και οργανισμούς μία ολιστική εικόνα του περιβάλλοντος πληροφορικής και επιπέδου κυβερνοασφάλειας που εφαρμόζουν, έχοντας παράλληλα τη δυνατότητα να προχωρήσουν άμεσα σε έρευνα σε βάθος όταν απαιτείται περαιτέρω διερεύνηση ενός συμβάντος ή περιστατικού.
Σύμφωνα με την Gartner, «τα βασικά στοιχεία που πρέπει να διαθέτει ένα προϊόν XDR είναι η βελτίωση της παραγωγικότητας των λειτουργιών ασφαλείας και η ενίσχυση του επιπέδου ανίχνευσης και ανταπόκρισης. Αυτό επιτυγχάνεται συμπεριλαμβάνοντας περισσότερα στοιχεία ασφαλείας σε ένα ενοποιημένο σύνολο που προσφέρει πολλαπλές ροές τηλεμετρίας δίνοντας επιλογές για πολλαπλές επιλογές ανίχνευσης και επιτρέποντας πολλαπλές μεθόδους ανταπόκρισης ταυτόχρονα».
Πλατφόρμα, προϊόν ή υπηρεσία; Ναι, σε όλα
Μια λύση XDR μπορεί να αποτελεί μία πλατφόρμα, ένα προϊόν ή μία υπηρεσία. Ουσιαστικά μπορεί να χρησιμοποιείται ως ένα εργαλείο ή μία σουίτα εργαλείων που μπορεί να διαχειρίζεται από την ομάδα πληροφορικής ή μπορεί να προσφέρεται ως μία διαχειριζόμενη υπηρεσία την οποία έχει αναλάβει μία ομάδα ειδικών (Managed Service). Επιπλέον, μπορεί λειτουργήσει και σε «υβριδική μορφή» όπου ορισμένες λειτουργίες θα τις διαχειρίζεται η ομάδα πληροφορικής και άλλες μία εξωτερική ομάδα από ειδικούς. Επειδή λοιπόν το XDR μπορεί να έχει διάφορες μορφές, για λόγους απλοποίησης μπορούμε να πούμε ότι είναι μία προσέγγιση στην κυβερνοασφάλεια που ενοποιεί πληροφορίες και δεδομένα από πολλαπλά προϊόντα ασφαλείας για να αυτοματοποιήσει και να επιταχύνει τον εντοπισμό και την ανταπόκριση σε απειλές με τρόπο που οι μεμονωμένες λύσεις είναι αδύνατο να πραγματοποιήσουν. Αν γνωρίζετε τα προϊόντα της Sophos, τότε η συγχρονισμένη ασφάλεια ή «Synchronized Security» θα σας είναι οικεία. Πρόκειται για έναν από τους λόγους που κάνουν τα προϊόντα της Sophos ξεχωριστά. Η συγχρονισμένη ασφάλεια είναι ένα σύνολο χαρακτηριστικών που κάνει τα προϊόντα προστασίας τερματικών συσκευών, δικτυακής ασφάλειας, WiFi, ηλεκτρονικού ταχυδρομείου και κρυπτογράφησης να μοιράζονται δεδομένα και πληροφορίες σε πραγματικό χρόνο για να ανταποκρίνονται αυτόματα σε περιστατικά ασφαλείας. Το βασικό χαρακτηριστικό της συγχρονισμένης ασφάλειας είναι το «Security Heartbeat», το οποίο επιτρέπει στο γνωστό Sophos Firewall και τις τερματικές συσκευές που προστατεύονται από το Intercept X να «μιλούν μεταξύ τους» για να αποτρέπεται η εξάπλωση των απειλών εντός του εταιρικού δικτύου.
Σήμερα, το XDR της Sophos θα μπορούσαμε να πούμε ότι αποτελεί κατά κάποιο τρόπο την εξέλιξη της συγχρονισμένης ασφάλειας. Κάποιοι θεωρούν το XDR ως το επόμενο εξελικτικό βήμα για τα προϊόντα SIEM (εργαλεία πληροφοριών ασφάλειας και διαχείρισης συμβάντων) και SOAR (ενορχήστρωση ασφάλειας, αυτοματισμού και ανταπόκρισης). Επειδή λοιπόν το XDR έχει αρκετές λειτουργικές ομοιότητες με τα συστήματα SIEM και SOAR δεν διστάζουν να το χαρακτηρίσουν ως τον «πνευματικό διάδοχο» τους. Στην πραγματικότητα, η ανάλυση των αρχείων καταγραφής συμβάντων από πολλαπλές πηγές (SIEM) είναι μία πολύ σύνθετη διαδικασία όπως επίσης ο συνδυασμός μηχανής και ανθρώπινης διαίσθησης για την δημιουργία λογικών ροών που μπορούν να εκκινήσουν ενέργειες για την αυτοματοποίηση διαδικασιών άμυνας (SOAR). Επίσης, είναι πολύ μεγάλη η επένδυση που απαιτούν σε εργαλεία, ανθρώπους και διαδικασίες για να επιτύχουν την ίδια λειτουργικότητα με ένα καλό προϊόν XDR, οπότε είναι εύκολο να διαπιστώσετε ότι δεν χρειάζεται να κοιτάξετε παραπέρα από το Sophos XDR για την αποτροπή εξελιγμένων επιθέσεων.
XDR και EDR
Σε τι διαφέρει το XDR από το EDR (Endpoint Detection and Response) όμως; Μία λύση XDR θα πρέπει να περιλαμβάνει τις κρίσιμες επιχειρησιακές δυνατότητες ερωταπάντησης του EDR. Επομένως θα πρέπει να είναι σε θέση να λαμβάνει απευθείας δεδομένα σε πραγματικό χρόνο από μία τερματική συσκευή ή έναν διακομιστή καθώς και να έχει πρόσβαση σε δεδομένα στο cloud για την περίπτωση που μία συσκευή είναι εκτός σύνδεσης (offline).
Βασιζόμενο στα παραπάνω, το XDR προσθέτει ακόμα περισσότερα data και το απαραίτητο πλαίσιο (context) με αποτέλεσμα να προσφέρει αυξημένη ορατότητα (visibility) και ταυτόχρονα περισσότερη και καλύτερη πληροφόρηση στο χρήστη κατά τη διάρκεια μίας έρευνας για ταχύτερο και ακριβέστερο εντοπισμό απειλών και ταχύτερη ανταπόκριση σε περιστατικά. Οι πρόσθετες πηγές δεδομένων μπορεί να περιλαμβάνουν πληροφορίες από το τείχος προστασίας, το email, το cloud ή από φορητές συσκευές. Για παράδειγμα, η προσθήκη δεδομένων από το τείχος προστασίας καθιστά απλούστερο να συσχετίσετε μία παραβιασμένη τερματική συσκευή με την ανίχνευση κίνησης κακόβουλων δεδομένων ή να διαπιστώσετε ποια εφαρμογή κάνει «αργό» το δίκτυο στο γραφείο. To XDR σας παρέχει όλα τα εργαλεία για να ξεκινήσετε μία γρήγορη σάρωση σε ολόκληρο το περιβάλλον σας για να ανιχνεύσετε και να επισημάνετε ύποπτη δραστηριότητα, ανώμαλη συμπεριφορά και άλλα ζητήματα. Μόλις εντοπιστεί το πρόβλημα, μπορείτε στη συνέχεια να «τραβήξετε» ζωντανά δεδομένα από μία συσκευή που σας ενδιαφέρει ή να αποκτήσετε απομακρυσμένη πρόσβαση σε αυτή για να εμβαθύνετε και να λάβετε μέτρα αντιμετώπισης.
Ποια είναι τα στοιχεία που καθιστούν το Sophos XDR μοναδικό στο είδος του;
Το Sophos XDR είναι μία λύση «data-driven» που συνδυάζει δεδομένα των τερματικών συσκευών & διακομιστών για 90 ημέρες με δεδομένα τηλεμετρίας 30 ημερών από διάφορα προϊόντα και πηγές στη «δεξαμενή δεδομένων» της Sophos (Sophos Data Lake). Αυτός ο συνδυασμός, παρέχει την καλύτερη πληροφόρηση τόσο για τις εν ενεργεία συσκευές όσο και για τις συσκευές που βρίσκονται εκτός σύνδεσης. Γιατί τώρα να χρειάζεστε τόσο τα δεδομένα που προέρχονται από τις συσκευές όσο και τα δεδομένα που βρίσκονται αποθηκευμένα σε μια δεξαμενή δεδομένων; Οι δύο τύποι δεδομένων αλληλοσυμπληρώνονται και αλληλοσυσχετίζονται και αυτό αποτελεί κλειδί για την αποτροπή κεκαλυμμένων επιθέσεων (stealth). Τα on-device δεδομένα παρέχουν μία ζωντανή εικόνα όλων όσων συμβαίνουν εκείνη την ώρα στις τερματικές συσκευές και στους διακομιστές σας καθώς και ένα απίστευτα λεπτομερές ιστορικό δραστηριότητας των τελευταίων 90 ημερών, σημαντικά λεπτομερέστερο από αυτό που τυπικά διατηρεί μία δεξαμενή δεδομένων. Όλες οι βασικές πληροφορίες και όλα τα συμβάντα καταγράφονται και αποθηκεύονται. Η δεξαμενή δεδομένων από την άλλη έχει τα δικά της πλεονεκτήματα, όπως η ικανότητα εντοπισμού περιστατικών συσχετίζοντας πληροφορίες σε ολόκληρη την υποδομή σας. Ο συνδυασμός δεδομένων που βρίσκονται στις συσκευές με τις πληροφορίες που είναι αποθηκευμένες στη δεξαμενή δεδομένων διασφαλίζει ότι θα έχετε την ευρύτερη εικόνα για τα δεδομένα, ώστε να μην σας ξεφύγει το παραμικρό.
Το Sophos XDR είναι η πρώτη και μοναδική λύση XDR που συγχρονίζει την εγγενή ασφάλεια τερματικών συσκευών, διακομιστών, ηλεκτρονικού ταχυδρομείου, τείχους προστασίας, cloud και φορητών συσκευών. Αυτό το ευρύ φάσμα πηγών δεδομένων πηγαίνει κατά πολύ μακρύτερα την ορατότητα από τις τερματικές συσκευές και τους διακομιστές (όπως συμβαίνει με το EDR), έχοντας μία απολύτως ολοκληρωμένη εικόνα όταν κάνετε ανίχνευση ή διερεύνηση συμβάντων. Για παράδειγμα, θα μπορούσατε να χρησιμοποιήσετε δεδομένα από το τείχος προστασίας (firewall) για να εντοπίσετε ύποπτη κίνηση δεδομένων που προέρχεται από μία μη διαχειριζόμενη τερματική συσκευή ή να διερευνήσετε μια ύποπτη επίθεση ηλεκτρονικού ψαρέματος (phishing) για να διαπιστώσετε αν υπήρξε περαιτέρω κίνηση σε κάποιο κακόβουλο domain. Και όλες οι πηγές δεδομένων είναι ήδη «ενσωματωμένες» όταν διαθέτετε Sophos XDR-enabled στοιχεία. Δεν είναι απαραίτητη η δημιουργία της δικής σας προσαρμοσμένης υποδομής. Τέλος, όταν πραγματοποιείτε «threat detection and response», το να έχετε στη διάθεση σας πολλά δεδομένα (που μπορούν να προκαλέσουν «υπερφόρτωση» και σύγχυση) είναι μόνο το ένα μέρος της εξίσωσης. Είναι απαραίτητο να έχετε στη διάθεση σας ποιοτικά δεδομένα, με λιγότερο «θόρυβο». Και αυτό είναι εφικτό επειδή το Sophos XDR έχει φτιαχτεί πάνω το Intercept X, την καλύτερη προστασία τερματικών συσκευών στον κόσμο. Το Sophos Intercept X φιλτράρει αποτελεσματικά τον θόρυβο που προκαλεί σύγχυση και κουράζει τους αναλυτές, επιτρέποντάς τους να επικεντρωθούν εκεί που πραγματικά αξίζει. Για την περαιτέρω βελτίωση της ποιότητας των δεδομένων, το Sophos XDR παρέχει ένα επιπλέον πλαίσιο που βάζει τα δεδομένα υπό τη σωστή προοπτική. Αυτό το πλαίσιο περιλαμβάνει επιπλέον πληροφορίες και δεδομένα από την SophosLabs και την ομάδα Sophos AI.
Με μία λύση XDR (ή EDR) της Sophos μπορείτε να:
- Εντοπίσετε συσκευές με ευπάθειες ή κενά ασφαλείας στο λογισμικό, να εντοπίσετε άγνωστες υπηρεσίες που εκτελούνται ή μη εξουσιοδοτημένες επεκτάσεις σε προγράμματα περιήγησης
- Προσδιορίσετε τερματικές συσκευές και διακομιστές που εξακολουθούν να έχουν λογαριασμούς guest και ενεργοποιημένο το RDP
- Διαπιστώσετε αν έχει εγκατασταθεί ή εφαρμοστεί λογισμικό σε συσκευές, π.χ. για να βεβαιωθείτε ότι έχει διανεμηθεί το λογισμικό σε όλες
- Αξιοποιήσετε την απομακρυσμένη πρόσβαση για να ψάξετε καλύτερα συσκευές για τυχόν απειλές και να αναλάβετε δράση, όπως να εγκαταστήσετε λογισμικό, να προχωρήσετε στην επεξεργασία αρχείων διαμόρφωσης ή στην επανεκκίνηση μιας συσκευής.
- Να προχωρήσετε σε κυνήγι απειλών (threat hunting).
Το σύστημα παρέχει ενισχυμένες δυνατότητες threat hunting όπως είναι:
- Δυνατότητα εντοπισμού διεργασιών που προσπαθούν να συνδεθούν σε ασυνήθιστες ή μη τυπικές θύρες
- Παροχή λεπτομερής εικόνας σχετικά με απρόσμενες εκτελέσεις PowerShell
- Δυνατότητα προσδιορισμού διεργασιών που έχουν πρόσφατα τροποποιήσει αρχεία ή κλειδιά μητρώου (registry keys)
- Απομακρυσμένη πρόσβαση σε συσκευές για την εγκατάσταση/ εφαρμογή πρόσθετων εργαλείων εγκληματολογικής έρευνας, τον τερματισμό ύποπτων διεργασιών και την εκτέλεση scripts ή προγραμμάτων
Live Discover και Live Response
Το Live Discover σας επιτρέπει να εξετάζετε τα δεδομένα σας μέσω αιτήσεων SQL (queries) σε τερματικές συσκευές και διακομιστές. Μπορείτε να επιλέξετε από μία σειρά «έτοιμων» queries , τα οποία μπορούν να προσαρμοστούν πλήρως ώστε να αντλούν με ακρίβεια τις πληροφορίες που χρειάζεστε. Τα δεδομένα αποθηκεύονται τοπικά έως και 90 ημέρες, πράγμα που σημαίνει ότι οι χρόνοι απόκρισης των queries είναι μικροί και αποτελεσματικοί. Το Live Response είναι ένα command line interface, το οποίο σας προσφέρει πρόσβαση σε απομακρυσμένες συσκευές προκειμένου να πραγματοποιήσετε περαιτέρω έρευνα ή να λάβετε κατάλληλα μέτρα. Για παράδειγμα:
- Μπορείτε να επανεκκινήσετε συσκευές με ενημερώσεις σε εκκρεμότητα
- Μπορείτε να τερματίσετε ύποπτες διεργασίες
- Προσφέρει δυνατότητα περιήγησης στο σύστημα αρχείων
- Σας δίνει τη δυνατότητα επεξεργασίας αρχείων διαμόρφωσης
- Επιτρέπει την εκτέλεση scripts και προγραμμάτων
Με την ενσωμάτωση δεδομένων από το Sophos Cloud Optix, τη γνωστή λύση διαχείρισης ασφάλειας στο Cloud, το Sophos XDR σας δίνει όλα όσα χρειάζεστε για να εντοπίζετε, να αξιολογείτε και να κάνετε ανθεκτικότερη την εργασία σας στο cloud καθώς και ασφαλέστερη την πρόσβαση των χρηστών έναντι των εσφαλμένων διαμορφώσεων και ευπαθειών ασφαλείας. Οι νέες πηγές δεδομένων Cloud Optix στο Sophos XDR σας επιτρέπουν πλέον να διερευνάτε εύκολα τις δραστηριότητες διαχείρισης κονσόλας και CLI καθώς και τα APIs των περιβαλλόντων AWS, Azure και GCP στο Cloud χρησιμοποιώντας πλήρως προσαρμόσιμα ή «έτοιμα» SQL queries.
Χρησιμοποιώντας τα ευρήματα του Cloud Optix ως δείκτες παραβίασης, μπορείτε να λάβετε μέτρα αξιοποιώντας τη δεξαμενή δεδομένων Sophos XDR για να διερευνήσετε ευπάθειες που αποκαλύφθηκαν από τους agents προστασίας φόρτου εργασίας του προϊόντος Sophos Intercept X for Server. Ορισμένα παραδείγματα είναι ο εντοπισμός υπολογιστικών πόρων με εκτεθειμένες θύρες, όπως πχ. RDP ή SSH. Σε αυτό το σενάριο, το Cloud Optix σας ειδοποιεί για αυτές τις ευπάθειες στην πρόσβαση και το Sophos XDR σας δίνει τη δυνατότητα να επικεντρώσετε γρήγορα τις έρευνές σας για να προσδιορίσετε τον αριθμό των προσπαθειών ταυτοποίησης καθώς και να προσδιορίσετε τυχόν επιτυχημένες προσπάθειες. Στη συνέχεια, μπορείτε να τερματίσετε την πρόσβαση και να αποτρέψετε την όποια παραβίαση, με το Cloud Optix μάλιστα να σας παρέχει καθοδηγούμενες οδηγίες αποκατάστασης για να μειώσετε τον μέσο χρόνο επίλυσης των προβλημάτων. Επιπλέον, το Sophos Central βοηθά τις ομάδες να έχουν μία συνολική εικόνα κατά τη διάρκεια των ερευνών, διευκολύνοντας τον γρήγορο εντοπισμό των κινδύνων και την προληπτική αποτροπή περιστατικών ασφαλείας.
Παράλληλα, έχετε στη διάθεση σας τους Δείκτες Απειλής που χρησιμοποιούν τη τεχνολογία βαθιάς εκμάθησης της Sophos για την παροχή μίας λίστας με τα πλέον ύποπτα αντικείμενα σε όλους τους διακομιστές και σε όλες τις τερματικές συσκευές ενός οργανισμού διαβαθμισμένα βάσει προτεραιότητας.
Και πλέον… MDR
Ή αλλιώς, όπως την ονομάζει η Sophos, ΜΤR (Managed Threat Response). Πρόκειται για τη δημοφιλή υπηρεσία της Sophos για το κυνήγι απειλών (threat hunting), τον εντοπισμό απειλών και την ανταπόκριση όλο το 24ωρο, 7 ημέρες την εβδομάδα, 365 ημέρες τον χρόνο. Η συγκεκριμένη διαχειριζόμενη υπηρεσία προστατεύει πλέον περισσότερες από 1 εκατομμύριο συσκευές και πάνω από 6 χιλιάδες πελάτες στον κόσμο.
Τι είναι αυτό που κάνει τόσους πολλούς οργανισμούς να επιλέγουν το Sophos Managed Threat Response;
Η εύρεση και η διατήρηση εξειδικευμένου προσωπικού αποτελεί τεράστια πρόκληση για οποιουδήποτε μεγέθους επιχείρηση. Η Sophos μέσω της υπηρεσίας MTR διαθέτει μία από τις καλύτερες στον κλάδο ομάδες εξειδικευμένων επαγγελματιών σε θέματα ασφάλειας, η οποία εργάζεται όλο το 24ωρο, 7 ημέρες την εβδομάδα για να προστατεύσει την εταιρία σας με σημαντικά μικρότερο κόστος σε σύγκριση με μία εσωτερική υποδομή παρόμοιας λειτουργικότητας. Ο «λογαριασμός» για την ανάκτηση των δεδομένων από μία επίθεση ransomware αγγίζει κατά μέσο όρο τα $1,85 εκατομμύρια, λαμβάνοντας υπόψη τον χρόνο διακοπής λειτουργίας, τις εργατοώρες που χάθηκαν, το κόστος των συσκευών, το κόστος δικτύου και τα λύτρα. Τώρα είναι πλέον εύκολο να συνεργαστείτε με έναν αξιόπιστο πάροχο MDR όπως το Sophos MTR, που λειτουργεί σαν να είναι μία εσωτερική ομάδα στην εταιρία σας, με συνεχή επικοινωνία και διαφάνεια σε όλα τα επίπεδα.