Hodnotenia ATT&CK® Evaluations: rozšírená detekcia a reakcia založená na prehľade

blog XDR nahladovy obrazok

Čo znamená rozšírená detekcia a reakcia (XDR) pre ESET a ako úsilie o jej dosiahnutie dáva hodnoteniam ATT&CK® Evaluations spoločnosti MITRE Engenuity nový rozmer?

Jedným z hlavných cieľov hodnotení ATT&CK® Evaluations spoločnosti MITRE Engenuity je pomôcť organizáciám lepšie pochopiť úroveň prehľadu, ktorú ponúkajú riešenia na detekciu a reakciu na útoky na koncové zariadenia a následnú reakciu (EDR), aby mohli firmy v reálnom čase skúmať sofistikované hrozby číhajúce v sieti. Prehľad je kľúčovým ukazovateľom pri posudzovaní riešenia EDR, ktoré organizácia zvažuje nasadiť, alebo keď sa prvýkrát učí používať takéto riešenie.

VÝSLEDKY HODNOTENIA ATT&CK EVALUATION SPOLOČNOSTI ESET ZA ROK 2022

Prehľad, samozrejme, nie je jediným ukazovateľom. Ďalšie metriky posudzované v hodnoteniach ATT&CK Evaluations sa do značnej miery zameriavajú na kontext, ktorý sprevádza detekciu konkrétnych škodlivých techník. Ich význam sa v každej organizácii líši v závislosti od úrovne jej vyspelosti, rôznych predpisov, ktoré musí dodržiavať, a množstva ďalších potrieb špecifických pre jednotlivé odvetvia, spoločnosti a lokality. Existujú však aj ďalšie ukazovatele, ako sú požiadavky na výkon a zdroje, množstvo upozornení, integrácia s iným bezpečnostným softvérom a jednoduchosť používania, ktoré nie sú v hodnoteniach zohľadnené.

Táto bohatá paleta ukazovateľov čiastočne odráža úspech EDR ako spoľahlivého nástroja pre bezpečnostných pracovníkov. Dokonca aj organizácie bez osobitných bezpečnostných tímov prejavili záujem o tento typ ochrany. Trh však tlačí na to, aby sa riešenia EDR ešte viac zlepšili. Bezpečnostní pracovníci nezriedka používajú riešenie EDR na vyhľadávanie hrozieb súčasne s riešením SIEM (správa bezpečnostných informácií a udalostí) na prezeranie veľkých súborov údajov, keďže vďaka ich dopĺňajúcim sa funkciám môžu lepšie chrániť svoje siete – stratégia spočíva v tom, že to, čo chýba jednému nástroju, môže nahradiť druhý.

Niekto by si mohol myslieť, že ak by sa podarilo zlúčiť EDR s platformou bezpečnostnej analýzy, bezpečnostní pracovníci by mali v rukách dokonalý nástroj. Analytici spoločnosti Forrester však vidia situáciu inak. EDR sa musí vyvinúť do rozšírenej detekcie a reakcie (XDR) tým, že na zaistenie analýzy a reakcie sa naučí prijímať údaje z dátových informačných kanálov mimo koncových zariadení. Rozvíjajúce sa riešenia XDR sa potom môžu pustiť s platformami bezpečnostnej analýzy do pretekov, v ktorých je kolízia priam nevyhnutná. 

Na druhej strane, aby si platformy bezpečnostnej analýzy udržali konkurencieschopnosť, musia byť vybavené funkciami EDR, ako sú kvalitnejšie upozornenia a možnosti reakcie na hrozby, a efektívnejšie využívať zdroje. Vyvinuté riešenie, ktoré vykazuje lepšie celkové zabezpečenie, sa pravdepodobne stane čoraz obľúbenejším nástrojom bezpečnostných pracovníkov. Stavíme na to, že XDR má šancu zvíťaziť vďaka silnejšiemu základu postavenému na riešeniach EDR, ktoré síce ponúkajú účinnejšie detekcie s bohatým kontextom, ale sú čiastočne obmedzené z hľadiska celkového prehľadu.

Čo znamená XDR pre ESET?

ESET zaujíma rovnaký postoj ako Forrester, a teda vníma XDR ako novú generáciu EDR, ktorá presahuje rámec koncových zariadení a zhromažďuje údaje aj zo sieťových zariadení, e‑mailových serverov, cloudových služieb a ďalších zdrojov, čím umožňuje bezpečnostným pracovníkom odhaliť viac hrozieb a reagovať na ne. Na dosiahnutie tejto zvýšenej úrovne zhromažďovania údajov a schopnosti reagovať môže XDR využívať dve stratégie integrácie: hybridnú a natívnu.

Hybridná stratégia sa zameriava na integráciu s nástrojmi tretích strán. Natívna stratégia sa zameriava na integráciu s nástrojmi od toho istého dodávateľa. V súčasnej dobe žiadny dodávateľ neponúka kompletné riešenie XDR, čo z neho robí ideál, ktorý sa zatiaľ nepodarilo dosiahnuť.

Spoločnosť ESET je odhodlaná vytvoriť kompletné riešenie XDR opakovaným vylepšovaním nástroja ESET Inspect (predtým ESET Enterprise Inspector) a neustálym pridávaním integrácií s ekosystémom bezpečnostných nástrojov spoločnosti ESET, ako aj s nástrojmi tretích strán. Riešenie EDR od spoločnosti ESET bolo ešte ako ESET Enterprise Inspector určené pre bezpečnostné tímy vo firmách. Teraz sa ako ESET Inspect vyvinulo do komponentu platformy ESET PROTECT umožňujúceho XDR, ktorý je vhodný pre veľké podniky aj menšie bezpečnostné tímy.  

Skôr než sa dostaneme k platforme ESET PROTECT, pozrime sa trochu bližšie na ESET Inspect.

ESET Inspect: v honbe za riešením XDR

ESET Inspect – to nie je len nový názov, ale aj nová verzia s lepším prehľadom a možnosťami nápravy. ESET Inspect naďalej ponúka známe funkcie z predchádzajúcich verzií, ako je odkazovanie na databázu znalostí MITRE ATT&CK vo svojom súbore pravidiel, rozhranie REST API na integráciu s funkciami orchestrácie zabezpečenia, automatizácie a odozvy (SOAR), riešeniami SIEM, systémami žiadostí o podporu a inými podobnými nástrojmi či možnosť spustenia vzdialenej relácie PowerShell na počítačoch so systémom Windows pre presnú reakciu a nápravu.

V najnovšej verzii produktu (verzia 1.7) je teraz podporovaných niekoľko hlavných distribúcií Linuxu. Rozširuje sa tak už existujúca podpora pre Windows a macOS, čo predstavuje dôležitý míľnik na ceste ku kompletnému riešeniu XDR. ESET Inspect funguje na počítačoch Linux v súčinnosti s riešeniami ESET Endpoint Antivirus for Linux a ESET Server Security for Linux (od verzie 9.0), pričom sú podporované tieto distribúcie:

ESET Inspect zahŕňa aj rozšírený súbor pravidiel, ktorý v súčasnosti obsahuje takmer 1 000 pravidiel. Pravidlá sa používajú na analýzu udalostí, ktoré sa odohrávajú na koncových zariadeniach, údajov firewallu a siete, akcií v používateľských účtoch a ďalších údajov z hľadiska potenciálne škodlivého správania, ktoré majú bezpečnostní inžinieri preskúmať.

Výskumníci spoločnosti ESET rozšírili výber pravidiel o automatické reakcie, napríklad možnosť izolovať počítač alebo zablokovať spustiteľný súbor. Použitie automatickej reakcie v konkrétnych pravidlách je zobrazené v stĺpci „Aktívne akcie pravidiel“ v prehľade „Pravidlá detekcie“:

Neustále dopĺňanie súboru pravidiel ESET Inspect a jeho integrácia s ostatnými bezpečnostnými produktmi ESET je dobrým príkladom vytvárania natívneho riešenia XDR. V prípade spoločnosti ESET jadro tejto integrácie spočíva v konzole na správu ESET PROTECT pre IT správcov, ktorá slúži na nasadenie a konfiguráciu bezpečnostných produktov ESET. Platforma ESET PROTECT spája v jednej konzole riešenia na ochranu koncových zariadení a serverov, šifrovanie, cloudové riešenia a riešenia na detekciu a následnú reakciu, aby firmám poskytla škálovateľnú schopnosť prevencie, detekcie a reakcie.

Lepšie prepojenie nástroja ESET Inspect s konzolou ESET PROTECT tak pomáha vytvoriť integrovanejšie prostredie pre bezpečnostných pracovníkov využívajúcich bezpečnostný ekosystém ESET. Ako už bolo uvedené, jedným z kľúčových cieľov riešenia XDR je získavať údaje o hrozbách nielen z koncových zariadení. To znamená, že vďaka neustálemu rozširovaniu nástroja ESET Inspect o ďalšie podporované platformy a zdroje údajov, ktoré už sú integrované s konzolou ESET PROTECT, je toto riešenie na dobrej ceste dosiahnuť uvedený cieľ.

Premena platformy ESET PROTECT Enterprise na riešenie XDR

Riešenie XDR spoločnosti ESET je postavené na platforme ESET PROTECT Enterprise, ktorá okrem nástroja ESET Inspect zahŕňa aj ochranu koncových zariadení a serverovcloudovú detekciu hrozieb a šifrovanie, čím poskytuje komplexné zabezpečenie.

XDR potrebuje prijímať viac údajov, čo však znamená potrebu väčšej kapacity úložiska databázy, ktorá môže mať veľký vplyv na výkon, ak sa s ňou nezaobchádza adekvátne. Investovanie do väčšieho množstva hardvéru na podporu lokálnych databázových riešení je vždy možné, aj keď tomuto prístupu chýba určitá flexibilita. Preto je z hľadiska databáz dôležité dopredu sa zamyslieť nad potrebami riešenia ESET PROTECT a potrebami nástroja ESET Inspect.

Pri cloudovom nasadení je však škálovanie na uspokojenie požiadaviek na ukladanie údajov oveľa flexibilnejšie, pretože nie je potrebné kupovať nový hardvér. Náklady spočívajú skôr v prenájme väčšieho úložného priestoru a prípadne výkonnejších počítačov – takáto zmena sa dá vykonať rýchlo. Flexibilita a škálovateľnosť, ktoré ponúka cloud, sú presne tie vlastnosti, ktoré sa vyžadujú od riešenia XDR, ako zdôrazňuje Forrester.

Predtým bolo možné riešenia ESET PROTECT a ESET Inspect nasadiť len lokálne, čo si mohlo vyžadovať značné investície do hardvéru, náklady na údržbu servera a zamestnancov na mieste. Zatiaľ čo lokálne nasadenie je naďalej jednou z možností najmä pre organizácie, ktoré chcú mať svoje údaje radšej poruke, obe tieto riešenia sú dostupné aj v cloude (nová funkcia nástroja ESET Inspect od verzie 1.7), čím reagujú na požiadavku cloudovej podpory v rámci XDR.

Riadená detekcia a reakcia

Niekedy, najmä v prípade menších organizácií alebo firiem, ktorých hlavným zameraním nie je bezpečnosť, môže byť príliš náročné využívať riešenie XDR naplno bez pomoci. Podobne sú aj na správu riešenia ESET PROTECT Enterprise potrební buď bezpečnostní pracovníci na plný úväzok, alebo poskytovateľ riadenej detekcie a reakcie (MDR), ktorí prevezmú čiastočnú, ak aj nie celú zodpovednosť za každodennú prácu v súvislosti so zabezpečením.

Výrobcovia a vývojári komplexných produktov si už nejaký čas uvedomujú potrebu zvýšiť hodnotu svojich produktov ponukou služieb. Dôvodom je, že zákazníci mali niekedy problém uvedomiť si skutočnú hodnotu svojho zakúpeného produktu, keď nemali odborné znalosti potrebné na jeho správne používanie – často ho nesprávne nakonfigurovali alebo nevyužívali všetky jeho funkcie. Ešte dôležitejšie je, že ponuka služieb odráža typ vzťahu, ktorý poskytovatelia chcú mať so zákazníkmi. Pre spoločnosť ESET to znamená nadviazať so zákazníkmi partnerstvo v oblasti bezpečnosti.

Vylepšená služba MDR spoločnosti ESET pomáha bezpečnostným tímom nastaviť produkty ESET s najlepšou možnou konfiguráciou a optimalizáciou pre ich siete. Služba zahŕňa aj pravidelné kontroly stavu s cieľom riešiť akékoľvek zlé bezpečnostné postupy alebo chybné konfigurácie, ktoré sa mohli časom objaviť. Organizácie môžu požiadať o pomoc bezpečnostných inžinierov spoločnosti ESET pri vyhľadávaní hrozieb na požiadanie alebo proaktívnom vyhľadávaní hrozieb pomocou nástroja ESET Inspect.

Organizácie, ktoré majú záujem, môžu preskúmať svoje možnosti na webovej stránke služby MDR spoločnosti ESET.

Záver

V úvode článku sme rozoberali prehľad a všetky ostatné metriky, ktoré by mali organizácie zohľadniť pri vyberaní riešenia na detekciu a reakciu. Ak chcete získať stručné informácie o úrovni podrobnosti prehľadu, ktorú môže ESET Inspect poskytnúť pri vyhľadávaní hrozieb, prečítajte si blogový príspevok Lov na Sandworm a Wizard Spider: ako ESET obstál v hodnoteniach ATT&CK® Evaluations.

Navrhnúť riešenie na detekciu a reakciu, v rámci ktorého by boli tieto ukazovatele vyvážené, nie je vôbec jednoduché. Krátky prehľad o XDR, ktorý sme tu poskytli, odhalil, aké komplikované môžu byť problémy súvisiace s vývojom natívnych a hybridných integrácií pre riešenia EDR a s rozširovaním dostupných údajov prostredníctvom cloudových nasadení, a to všetko pri snahe zachovať kvalitné detekcie s bohatým kontextom a vysoký výkon systému.

Aj keď určite existujú vyspelé organizácie, ktoré sú pripravené tieto problémy prekonať, tvrdou realitou vo väčšine firiem je, že môžu mať iba jedného alebo dvoch IT správcov… a tí spravujú bezpečnosť na čiastočný úväzok popri mnohých iných povinnostiach. Preto sa môže hodnotenie ATT&CK Evaluations, ktoré sa zameriava na sofistikované skupiny hrozieb, alebo dokonca diskusia o XDR javiť ako niečo okrajové.

Hodnotenia aj snaha o XDR však hovoria o celej škále bezpečnostných postupov –od základných konfigurácií a politík až po pokročilé dolaďovanie a optimalizáciu, ktoré by mali byť zavedené na ochranu aj pred najbežnejšími hrozbami. Dopyt po XDR v rámci cloudu navyše otvára dvere lepšiemu zabezpečeniu aj pre organizácie bez osobitných bezpečnostných tímov. Takéto organizácie môžu pri zapojení sa do tejto diskusie zistiť, že ich bezpečnostné postupy nespĺňajú štandardy v odvetví. Prinajmenšom týmto spôsobom – rozhodnutím dohnať zameškané v oblasti zabezpečenia – môžu hodnotenia ATT&CK Evaluations a diskusia o XDR poskytnúť použiteľné poznatky aj menej vyspelým organizáciám.