Обнаружение угроз и реагирование на них — это основа любой современной программы безопасности, но то, что, возможно, осталось незамеченным, — это увеличение инвестиций за последние 2 года с защиты на обнаружение, что подчеркивает их растущую важность. Еще до пандемии COVID-19 группы безопасности, особенно те, которые занимаются рабочими процессами обеспечения безопасности, уже сталкивались с постоянно растущей сложностью в нескольких измерениях.
- Технологии — растущая сложность угроз. Современные модели атак меняются, используя автоматизацию в сочетании с людьми, чтобы проникать глубоко в организации, избегая большинства методов обнаружения.
- Процесс — постоянно меняющаяся среда. Технологические платформы меняются с появлением облачных сред и современных методов разработки приложений, которые подчеркивают важность сокращения времени окупаемости.
- Люди — разрозненные индивидуальные ИТ-проекты и инструменты. Более широкое проникновение ИТ-услуг во весь бизнес приводит к появлению более разнообразных инициатив, которые часто реализуются параллельно растущим числом команд, каждая из которых потенциально использует настраиваемые инструменты. .
Важность конечных точек для обнаружения угроз и реагирования на них
Организации могут повысить оперативность бизнеса, когда угрозы лучше понимаются и контролируются. Если есть один источник данных, который можно считать основным для лучшей видимости угроз, это должны быть данные конечной точки. Конечные точки играют несколько ролей с разным уровнем важности — они представляют собой интерфейс между поведением конечного пользователя и активностью системы, они являются ценным плацдармом для злоумышленников, стремящихся к настойчивости во время атаки, и могут быть местом фактической цели самой атаки. . Принимая во внимание конечные точки, ориентированные на конечных пользователей, и их роль в кампании атаки, конечные точки являются источником подробной телеметрии из активности процессов, а также данных предупреждений от самих инструментов безопасности конечных точек. Естественно, из-за пандемии и сокращения рабочей силы конечные точки становятся еще более важными как источник телеметрии, поскольку организации обращаются к корпоративным конечным точкам как к источнику дополнительной информации для любой телеметрии, которую они потеряли из-за перехода на удаленную работу.
Большой рост средств обнаружения и реагирования на конечных точках (EDR)
За последние 5 лет платформы защиты конечных точек (EPP) уступили место системам обнаружения и реагирования конечных точек (EDR). Фундаментальным катализатором этого сдвига стала неспособность EPP адекватно обнаруживать нарушения до того, как вредоносное ПО будет развернуто на конечной точке, что требует аналитики поведения конечной точки для обнаружения скрытой вредоносной активности. Острота этого разрыва была подчеркнута нарушениями SolarWinds и Hafnium и еще более усугублена:
- Увеличение количества атак на конечные точки. Несмотря на то, что за последние годы типы атак на конечные точки существенно не изменились, объем атак увеличился в геометрической прогрессии благодаря автоматизации.
- Новые поверхности угроз. Количество поверхностей атак на конечные точки увеличилось с распространением мобильных устройств и устройств Интернета вещей. Атаки теперь настраиваются, что делает каждую конечную точку потенциальной угрозой.
- Существующая слабость. Действующие компании не спешили выпускать обновления угроз для существующих развертываний, особенно в отношении угроз нулевого дня, что привело к переходу к поставщикам EDR следующего поколения.
Самое большое нововведение в области конечных точек, которое предлагают поставщики EDR, касается методов обнаружения на основе поведения. Улучшенные возможности поиска угроз от стартапов и алгоритмы машинного обучения меняют рынок безопасности конечных точек. Появляющиеся сервисы могут использовать легкие программные агенты для определения характера атаки в дикой природе и определения подходящего ответа. Кроме того, машинное обучение обеспечивает улучшенные возможности обнаружения и реагирования, в отличие от основанных на правилах подходов устаревших программ электронной защиты.В настоящее время программы-вымогатели представляют собой самый большой риск для всех организаций и продвинутых злоумышленников. Целевая организация может обойти любые защитные решения, что делает обнаружение и отслеживание критически важными для быстрого реагирования на инциденты.
Расширенное обнаружение и реагирование (XDR)
Следующим этапом обеспечения безопасности конечных точек становится расширенное обнаружение и реагирование (XDR), целью которого является автоматизация этапов обнаружения и реагирования на корпоративные нарушения. XDR обещает консолидировать разрастание инструментов в операциях по обеспечению безопасности за счет агрегирования журналов из корпоративных ИТ-сред и автоматизации реагирования системы безопасности на оповещения. Короче говоря, XDR — это технологический подход, обеспечивающий предварительно встроенную интеграцию нескольких источников телеметрии безопасности с возможностями аналитики и реагирования. Его цель состоит в том, чтобы улучшить обнаружение угроз и цели реагирования при обнаружении сложных угроз, увеличении числа задач автоматизации и сокращении среднего времени реагирования (MTTR) на угрозы. Организации рассматривают XDR как потенциальный способ помочь им обнаруживать, идентифицировать и понимать сложные атаки по всей цепочке уничтожения. Проще говоря, команды SOC нуждаются в более эффективном обнаружении угроз и более эффективном реагировании, особенно в отношении неизвестных угроз.
Навыки сотрудников службы безопасности ограничивают соответствие продукта рынку
Как правило, требуется больше телеметрии, но корреляция и анализ — это тяжелая работа. Большинство организаций видят ценность в объединении данных об угрозах из нескольких векторов угроз, чтобы обеспечить контекст и ускорить обнаружение и реагирование; однако большинству не хватает опыта и инструментов для сопоставления данных, что часто приводит к реактивному устранению точечных угроз без понимания масштабных кампаний атак.
Самым большим препятствием для внедрения как EDR, так и XDR остаются навыки, необходимые для их эксплуатации. Несмотря на расширенные наборы функций и возможности автоматизации, XDR по-прежнему требует ручного контроля для устранения предупреждений и ложных срабатываний, что может сократить фактически доступный рынок для новых стартапов.
Когда организации ограничены отсутствием соответствующего опыта, XDR требует от организаций значительных инвестиций в передовые специалисты в области безопасности, чтобы обеспечивать круглосуточное обнаружение угроз, расследование и реагирование на них. Несмотря на то, что XDR может быть множителем силы для организаций, не имеющих SOC или укомплектованных только небольшой группой безопасности, эффективное обнаружение и реагирование требуют человеческого понимания и специальных знаний, которые отсутствуют во многих организацияхk.
XDR оставила дверь открытой, сосредоточившись на другом пути к XTD
Учитывая распространенность подходов XDR, ориентированных на продукт, мотивация поставщиков XDR будет чрезмерно сосредоточена в первую очередь на повышении эффективности угроз с помощью расширенного обнаружения угроз (XTD), чтобы закрепить свой существующий портфель средств безопасности в среде клиента. Более глубокие отношения — это более тесные отношения, и поставщики XDR сосредоточатся на предварительной интеграции для сбора телеметрических данных в едином окне в качестве защиты от лучшего в своем классе подхода. Чтобы сократить разрыв в навыках, услуги управляемого обнаружения и реагирования (MDR), которые обеспечивают мониторинг и сортировку предупреждений, становятся популярными и все чаще предлагаются самими поставщиками решений EDR/XDR, а не через партнеров. В то время как это укрепляет тягу к их стеку технологий обнаружения, это становится сдерживающим фактором для создания инновационных продуктов, которые будут направлять их прибыльные услуги, ориентированные на экспертов, поддерживающие реагирование и восстановление. Это оставляет пустое место для новых стартапов, которые могут создать действительно автоматизированный конечный продукт на базе искусственного интеллекта. Честно говоря, на практике автоматизация может дать сбой: модели машинного обучения обучаются на исторических данных и используют корреляции для принятия решений о новых инцидентах. По этой причине они не являются надежными против будущих атак и могут как создавать ложные срабатывания, так и пропускать атаки нулевого дня. Возможно, потребуется другое мышление: такое, которое выходит за рамки текущего поведенческого анализа коммерческого вредоносного ПО и включает в себя возможности более глубокого криминалистического расследования сложных атак, спонсируемых государством. Это определяет подход и архитектуру машинного обучения, необходимые для создания артефактов среды конечных точек и закрепления контекстуальных доказательств, которые в конечном итоге обеспечат истинное автоматическое реагирование и исправление. В этом аспекте несправедливое преимущество получают страны с чрезмерным опытом сложных атак на государственном уровне и сильной программой военной киберзащиты. Помимо Израиля и США, венчурные инвесторы также начнут отслеживать новыестартапы EDR нового поколения из Тайваня и Южной Кореи.
Первичное исследование на основе интервью с основателями стартапов и инвесторами. Вторичное исследование на основе общедоступной информации о стартапах и аналитических отчетов от 451 Research, ESG, Gartner, IDC, Pitchbook & Ponemon Institute. Рассматриваемые стартапы: CyCraft (Тайвань), Crowdstrike (США), Cyberreason (Израиль), SentinelOne (Израиль), FireEye (США).
