Az XDR technológia, azaz az Extended Detection and Response, egy átfogó megközelítést jelent az adatbiztonságban, amely többféle biztonsági terméket integrál egyetlen rendszerbe a fenyegetések hatékonyabb észlelésére, elemzésére és kezelésére.
Az XDR már egy ideje igazán forró témának számít az újdonságokra nyitott piacokon, de itthon még nem igazán tudják a vállalatok, hogy mit is gondoljanak róla. „Sokszor úgy tűnik, hogy legalább annyi kérdés felmerül vele kapcsolatban, mint amennyit megválaszol”, ismerte el a 2022 februári ITB Clubon tartott nyitóelőadásán Csinos Tamás, a CLICO country managere.
A kérdések egy jó része onnan ered, hogy többféle, eltérő irányból jövő és eltérő erősségekkel rendelkező megoldáshalmazt neveznek gyártóik XDR-nek. Melyek is ezek a gyakori megközelítések?
– Kiindulhat a gyártó egy meglévő naplóelemző (SIEM-) rendszerből, amelyet kiegészít viselkedéselemzéssel és automatizációval.
– Lehet az alap hálózati forgalomelemzés, amelyet biztonsági elemzési és reagálási képességekkel (NDR, network detection and response), végponti telemetriával és a begyűjtött adatok központi elemzésével (korrelációjával) egészítenek ki.
– A modern végponti megoldások is jelenthetnek kiindulópontot. Ezek az EDR- (endpoint detection and response) rendszerek nemcsak a szignatúrák, hanem a viselkedés alapján is keresik a kártevőket, és reagálni is tudnak a veszélyekre. Itt hálózatvédelemre és komolyabb adatelemzési képességekre van szükség az XDR-funkcionalitás megvalósításához.
– Végül elképzelhető a fenti háromnak gyakorlatilag bármilyen kombinációja is.
Középpontban az adatelemzés
„Szerintünk messze nem az a lényeg, hogy melyik gyártó melyik irányból érkezik, mi volt nála a kiindulási alap. Az építőelemek és az összesített funkcionalitás gyakorlatilag minden megoldásnál hasonlóak, vagyis biztonsági szempontból kell korrelálni, kielemezni és könnyen értelmezhető módon a felhasználó elé tárni az adatokat. A megoldás értékét pedig végső soron nem a végpontvédelmi vagy hálózati fókusz fogja jelenteni, hanem az adatelemzési képességek fejlettsége és minősége” – állítja határozottan Csinos Tamás.
Felmerül a kérdés, hogy miért nem láthatják el ezt a feladatot a jól ismert naplóelemző (SIEM-) rendszerek, hiszek azokat is arra találták ki, hogy elemezzék a különféle forrásokból származó adatokat. A problémát a biztonsági fenyegetettségek evolúciója okozza. Egy nagy méretű infrastruktúrában annyi adatot kell gyűjteni a különböző pontokról, hogy a SIEM-rendszer legalább akkora elemző infrastruktúrát igényel, mint amilyet meg akarnak védeni vele. „Ezt nem szeretik említeni a gyártók, de aki mást mond, az nem bontja ki az igazság virágának minden szirmát” – fogalmazott a CLICO country managere.
Szerencsére a technológiai fejlődés, amely egyrészről megnehezítette a SIEM-rendszerek kiépítését, a másik oldalról megoldást is kínált. A felhőszolgáltatások fejlődése lehetővé tette, hogy az elemzéshez szükséges adatmennyiséget ne helyi infrastruktúrán, hanem a felhőben gyűjtsék és elemezzék, csak a végeredményt küldjék majd vissza a helyi infrastruktúrára – ezért is van az, hogy gyakorlatilag az összes XDR-megoldás felhő alapokon működik.
Adatelemzés mint szolgáltatás
Magyarországon még csak most ismerkednek a vállalatok az XDR-megoldásokkal, és koránt sincs akkora érdeklődés irántuk, mint tőlünk nyugatabbra. Csinos Tamás és az ITB Club vendégei szerint ennek több oka is van. Az egyik, hogy a jelek szerint a vállalkozások nem érzik szükségét a fejlett IT-biztonsági megoldásoknak, nem érzik elég nagynak ahhoz a kockázatot, hogy ilyen rendszerekbe fektessenek be.
Nemcsak a fenyegetettség mértékét nem tudják pontosan meghatározni a cégek, hanem azt sem, hogy milyen veszítenivalójuk van. A vállalkozások nincsenek tisztában az általuk birtokolt adatok tényleges értékével, illetve hogy milyen üzleti fennakadást okozna azok elvesztése. Amíg viszont ezt nem számszerűsítik, a védelmére sem szívesen költenek nagyobb összeget. Többek számára visszatartó erő az is, hogy az XDR-rendszerek alapvetően felhőben futó megoldások.
Számos különféle irányból jövő és különféle megközelítést alkalmazó XDR megoldás érhető el a piacon, nem könnyű közöttük a választás. Csinos Tamás szerint a döntésnél mindenképpen figyelembe kell venni a munkavégzés jellegét: inkább home office vagy szigorúan szabályozott irodai környezet; használnak-e már valamilyen naplóelemző megoldást; vagy milyen végpontok vannak többségben (felhő, irodai gépek, laptopok, mobilok, IoT-eszközök). „Mindezek mögé viszont még oda kell tenni a kockázatelemzést, az üzleti folyamatokat, és csak utána érdemes elgondolkodni, melyik megközelítés lesz a jó. Érdemes szakértő partner segítségét igénybe venni, de egy partner is inkább csak a megközelítést segít kiválasztani, nem a terméket” – mondta végül Csinos Tamás.
Megoldást jelenthetne a kisebb vagy közepes méretű vállalkozások számára, ha az XDR-megoldások menedzselt szolgáltatásként is elérhetőek lennének. Magyarországon azonban egyelőre hiányoznak azok a kisebb MSP-k (managed security providerek), amelyek a kkv-k számára is vonzó biztonsági eszközüzemeltetési szolgáltatásokat kínálnának.
Márpedig kisebb és nagyobb vállalkozások is jó hasznát tudnák venni az XDR megoldásoknak. A rendszer részeként a végpontokra és a hálózatra telepített ágensek valós időben detektálják az anomáliákat, és ezeket továbbítják a központi adattárba, ahol a gépi tanulást alkalmazó elemzőeszköz összeveti a többi forrásból származó információval, és ez alapján dönti el, hogy valóban incidens történt-e, vagy fals pozitív a riasztás.
Az XDR-ben is adatfüggő az MI
„A minél pontosabb működés miatt nagyon nem mindegy, hogy milyen adatokkal történik az adatelemző rendszer MI-komponensének tanítása” – figyelmeztetett Csinos Tamás. „Ha a szenzorokat már egy fertőzött hálózatra telepítik, akkor azok az ott garázdálkodó kártevő tevékenységét is az alapműködés részeként regisztrálják, nem pedig anomáliaként, és így később is észrevétlen marad” – említett egy lehetséges problémát.
A biztonsági incidens felderítése után több opció is rendelkezésre áll a rendszer beállításaitól és az incidens típusától függően. Lehetőség van automatikus beavatkozásra: a kártevő eltávolítására, karanténba zárására, a fertőzött rendszer elkülönítésére, lekapcsolására. A másik opció, hogy a rendszer a biztonsági szakértőket riasztja, akik kézbe veszik az incidens kivizsgálását és eldöntik, mit kell tenni. Az XDR természetesen nem váltja ki az emberi szakértelmet, de rendkívül sok felesleges, monoton munkától szabadítja meg az IT-biztonsági szakembereket.
A blogbejegyzés az IT Business 2022. május 7-i cikkének átdolgozott változata