Θα ξεκινήσουμε με ένα «κβαντικό άλμα» στις αρχές της δεκαετίας του 2010, όταν άρχισαν να αναπτύσσονται μέθοδοι για την εκτέλεση κακόβουλου κώδικα χωρίς να απαιτείται εγκατάσταση κάποιου λογισμικού. Αυτές οι επιθέσεις επέτρεψαν την παράκαμψη παραδοσιακών μέτρων ασφαλείας, δημιουργώντας την ανάγκη για ανάπτυξη ενός νέου τύπου λογισμικού, που θα καλύπτει κενά ασφαλείας που αφήνουν συμβατικές λύσεις τύπου antivirus. Κατά συνέπεια, γίνεται αντιληπτή η ανάγκη για ανάπτυξη πιο έξυπνων και συνδυαστικών εργαλείων τα οποία παρουσιάζονται για πρώτη φορά ως Endpoint Detection and Response (EDR) και αργότερα εξελίσσονται σε Extended Detection and Response (XDR) και, ως actual υπηρεσία, σε Managed Detection and Response (MDR).
Του Γιώργου Καρατάσιου
Senior SOC Analyst, Cyber A MSS
Algosystems S.A. www.algosystems.gr
Endpoint Detection and Response (EDR)
Τα παραδοσιακά antivirus βασίζονται στην εκτέλεση κάποιας δράσης και εντοπίζουν πιθανές απειλές ασφαλείας αντιστοιχίζοντας γνωστά signatures και μοτίβα επίθεσης. Το EDR, από την άλλη, έχει προγνωστικό χαρακτήρα και εστιάζει στον εντοπισμό προηγμένων επίμονων απειλών και κακόβουλου λογισμικού που δεν έχει ξαναφανεί και έχει σχεδιαστεί για να αποφεύγει τις παραδοσιακές άμυνες ασφαλείας. Οι περισσότερες λύσεις EDR αξιοποιούν συνδυαστικά εργαλεία threat intelligence, δυνατότητες machine learning και προηγμένης ανάλυσης αρχείων για να βοηθούν στον εντοπισμό απειλών.
Οι λύσεις EDR καταγράφουν και αποθηκεύουν queries, συμπεριφορές και συμβάντα ασφαλείας, επιτρέποντας στις ομάδες κυβερνοασφάλειας να εντοπίζουν και να αναλύουν ύποπτες δραστηριότητες. Σε περίπτωση παραβίασης ή εντοπισμού πιθανής απειλής, το EDR απομονώνει το κακόβουλο λογισμικό και κατανοεί τη συμπεριφορά του, εκτελώντας το σε ένα sandboxed περιβάλλον. Τέλος, βοηθάει στη διεξαγωγή εκτεταμένης ανάλυσης για τα βασικά αίτια και βοηθάει στην ταχύτερη απόκριση του περιστατικού.
Extended Detection and Response (XDR)
Το XDR είναι μια πιο εξελιγμένη, ολιστική, cross-platform προσέγγιση για την ανίχνευση και την απόκριση ευπαθειών στα endpoints. Ενώ το EDR συλλέγει και συσχετίζει δραστηριότητες σε πολλά endpoints, το XDR διευρύνει το εύρος της ανίχνευσης πέρα από αυτά αναλύοντας δεδομένα σε endpoints, networks, servers, cloud workloads, SIEM κλπ., με αποτέλεσμα να παρέχει μια ενιαία οπτική σε πολλά εργαλεία. Οι ενσωματώσεις εργαλείων και οι προσυντονισμένοι μηχανισμοί ανίχνευσης σε πολλά διαφορετικά προϊόντα και πλατφόρμες συμβάλλουν στη βελτίωση της παραγωγικότητας, της ανίχνευσης απειλών και των forensics.
Το XDR διερευνά χιλιάδες αρχεία καταγραφής πληροφοριών αξιοποιώντας τη δύναμη της τεχνητής νοημοσύνης, του machine learning και του αυτοματισμού. Ο στόχος του XDR είναι να παρέχει ακριβείς, εμπλουτισμένες ειδοποιήσεις στις ομάδες ασφαλείας.
Managed Detection and Response (MDR)
Το MDR δεν είναι τεχνολογία, αλλά μια μορφή διαχειριζόμενης υπηρεσίας, που παρέχεται συνήθως από έναν Managed Security Service Provider (MSSP). Το MDR παρέχει μεγάλη αξία σε οργανισμούς που είτε έχουν περιορισμένους πόρους είτε δεν διαθέτουν την τεχνογνωσία για να παρακολουθούν συνεχώς πιθανά attack surfaces. Οι υπηρεσίες MDR δεν καθορίζονται από την τεχνολογία που προσφέρουν, αλλά από συγκεκριμένους στόχους και αποτελέσματα ασφαλείας. Οι πάροχοι MDR διαθέτουν συνήθως μια σειρά εργαλείων, όπως endpoint detection, SIEM, network traffic analysis, User and Entity Behavior Analytics (UEBA), asset discovery, vulnerability management, intrusion detection and cloud security.
Οι υπηρεσίες MDR διασφαλίζουν ότι υπάρχει άμεση πρόσβαση σε ειδικούς στον τομέα της κυβερνοασφάλειας όλο το εικοσιτετράωρο. Ελλείψει MDR, οι περισσότερες ομάδες IT βασίζονται αναγκαστικά σε ειδοποιήσεις μέσω email και προσπαθούν να καθαρίσουν τα συστήματα που πιθανά έχουν επηρεαστεί χρησιμοποιώντας εργαλεία παλαιού τύπου.
Τι σημαίνει το XDR για το Security Operations Centers (SOC)
Τα SOC σήμερα καλούνται να βρουν μια ισορροπία μεταξύ των ανθρώπινων πόρων και της τεχνολογίας. Είναι αδύνατο πλέον να βασίζονται αποκλειστικά στο ανθρώπινο δυναμικό τους, όπως και ένας σύγχρονος οργανισμός δεν δύναται να βασιστεί μόνο σε παραδοσιακά εργαλεία καθώς αυτά δεν είναι σε θέση να παρέχουν ορατότητα σε εξελιγμένες επιθέσεις και σε όλες τις διαφορετικές πτυχές του.
Επιπλέον, παρουσιάζεται αντικειμενική δυσκολία να φιλτραριστούν οι θορυβώδεις ειδοποιήσεις των εργαλείων ασφαλείας. Ως εκ τούτου, οι αναλυτές αναγκάζονται διερευνήσουν χειροκίνητα όλες τις ειδοποιήσεις (συμπεριλαμβανομένων πιθανών false positives).
Το XDR βοηθάει στον εκσυγχρονισμό και την αυτοματοποίηση των διαδικασιών ασφαλείας ενός οργανισμού. Οι αλγόριθμοι που πυροδοτούν το XDR είναι σχεδιασμένοι να εξελίσσονται και να συμβαδίζουν με το μεταβαλλόμενο τοπίο απειλών, μπορούν να επιτρέψουν τον εντοπισμό πολύπλοκων επιθέσεων στα πρώτα μόλις στάδιά τους και επιτρέπει την αυτοματοποίηση των αποκρίσεων για ταχύτερο μέσο χρόνο διερεύνησης και αποκατάστασης των συμβάντων.
Τέλος, το XDR μπορεί να συμπληρώσει και να προσθέσει στα SIEM ορισμένες δυνατότητες που τους λείπουν:
- Αλληλεπίδραση με εργαλεία ασφαλείας, όχι μόνο για την άντληση δεδομένων σχετικά με περιστατικά ασφαλείας, αλλά και για την ενεργοποίηση αμυντικών μηχανισμών για την αντιμετώπισή τους.
- Δυνατότητα αλληλεπίδρασης με δεδομένα που αφορούν permission ή configuration data σε συστήματα cloud και αναλυτικότερα δεδομένα από endpoint protection.
- Παροχή ενοποιημένης προβολής δεδομένων από πολλαπλές πλατφόρμες ασφαλείας, όχι μόνο από τα συγκεντρωτικά δεδομένα που επεξεργάζεται το SIEM.
Πηγή: https://logrhythm.com/solutions/security/siem/
Η σημασία του MDR και του SOC-as-a-Service (SOCaaS)
Με τις απειλές στον κυβερνοχώρο να εξελίσσονται καθημερινά και την απομακρυσμένη εργασία να αυξάνεται, υπηρεσίες όπως το MDR και το SOCaaS έχουν γίνει πλέον αναγκαίες.
Τα τυπικά εργαλεία ασφαλείας είναι ικανοποιητικά για να σταματήσουν απλές παραβιάσεις και επιθέσεις αλλά δεν αρκούν για να εξασφαλίσουν την ακεραιότητα μιας ολόκληρης υποδομής. Οι λύσεις SOCaaS και MDR προσφέρουν πιο διεξοδικές μεθόδους προστασίας για έναν οργανισμό, οι οποίες αντί να επικεντρώνονται αποκλειστικά στην αντιμετώπιση, εντοπίζουν τις απειλές προτού τους δοθεί η ευκαιρία να προκαλέσουν ζημιά.
Οι λύσεις του SOCaaS και του MDR δίνουν σε κάθε οργανισμό την δυνατότητα υψηλού επιπέδου προστασίας, χωρίς να απαιτούν τον χρόνο και την οικονομική επένδυση της δημιουργίας SOC για την ανίχνευση και απόκριση των σύγχρονων απειλών οργανικά.
Με απλά λόγια, εμπιστευτείτε μας και… κοιμηθείτε πιο ήσυχοι το βράδυ!
On behalf of Algosystems Cyber A SOC Team…