Belépő szintű, automatizálható incidenskezelés a Rapid7-től

Ma az egyik leggyakrabban felmerül információbiztonsági slágertéma az XDR. Nem ok nélkül . Az XDR azaz a eXtended Detection and Response napjaink gyorsan fejlődő és rohamosan terjedő technológiája. Ez egy több rétegű IT biztonsági technológia, vagyis több biztonsági rétegből származó adatokat és telemetriát gyűjt és korrelál, beleértve végpontvédelmi, hálózatvédelmi megoldásokat, alkalmazásokat. Mivel az XDR megoldások több területet is lefednek, ezért egyre vonzóbbak az ügyfelek számára, akik így több, addig különálló megoldást tudnak konszolidálni egy terméken belül.

Mint a legtöbb friss technológia esetén, itt sem beszélhetünk egységes termékkategóriáról. Az egyes gyártók attól függően, hogy a piac melyik irányából érkeznek, más-más területen szereztek tapasztalatokat, és ennek megfelelően mások az XDR megoldásaik erősségei.

Az amerikai Rapid7-nek is van saját XDR megoldása, amit InsightIDR-nek hív, ez a gyártó a Gartner által is a piacvezetők közé sorolt SIEM megoldásának evolúciójával lépett be ebbe a kategóriába.

A gyártó a fejlett SIEM rendszerét egészítette ki az évek során a hálózati szenzorral, hogy legyen telemetriája, deception funkcionalitással, fejlett viselkedés analitikai modulokkal (UEBA és ABA)- ahol nemcsak a felhasználók viselkedését vizsgálva von le következtetéseket, hanem a naplókból a támadók viselkedésére utaló nyomokat keresve is.

Az üzemeltető biztonsági csapatok munkáját és magát a megoldás bevezetését is nagyban segíti, hogy az InsightIDR több tucatnyi biztonsági megoldás log formátumát alapból ismeri, és ezek egyszerűen hozzáadhatók a rendszerhez, továbbá a bekötött eszközök naplóit több száz, a Rapid7 által előre megírt korrelációs szabály vizsgálja és anomália esetén riaszt. Ezeket a szabályokat a gyártó folyamatosan finomhangolja és újakat ad hozzá, ezáltal biztosítja a lehető leghatékonyabb felismerést és reagálást a támadások esetén.

A rendszerbe bekötött alkalmazásokból érkező naplókat, a hálózati szenzor és a deception rendszer észleléseit egészítik ki a Rapid7 Insight Agentjéből érkező végponti információk is. Ezekből az adatokból nyerhető forensics információkat egy, a Mitre Attack framework terminológiáját használó fejlett felületen gyűjtik össze, és ennek használatával teszik hatékonyabbá az SOC csapatok elemzőinek az incidensek utáni analitikai munkáját. így az InsightIDR, mivel SIEM rendszerként a legkülönbözőbb források naplóit is megkapja, sokkal több információból képes dolgozni, mint más, csak egy-egy részterületre fókuszáló végpontvédelmi megoldás.

Miután az InsightIDR egy felhős környezetben futó SaaS szolgáltatás, nincsenek bonyolult architektúra tervezési feladatok, a gyártó pedig biztosítja a mindenkori szükséges számítási és tárolási kapacitásokat, így nincs infrastruktúra probléma a növekvő igények és újabb alkalmazások bevezetése esetén sem.

A Rapid7 a felhős szolgáltatásait egy egységes, Insight Platformnak hívott környezeten biztosítja, ahol az egyes ügyfelek adatai egyedi titkosítással, csak az ügyfél számára elérhető módon tárolódnak. Az előre megírt csatlakozók révén nagyon egyszerű az Insight Platformon nyújtott további szolgáltatások használatba vétele és összekötése a meglévő modulokkal. Igy például a gyártó InsightConnect SOAR megoldásával az InsightIDR egyszerűen bővíthető fejlett automatizálási képességekkel, vagy a ThreatCommand CTI technológiájával, de akár az InsightCloudSec multicloud és konténeres környezetek védelmét és felügyeletét ellátó CNAPP/CWPP/CIEM/CSPM funkcionalitással is.

A fentiek miatt megfontolandó az InsightIDR az olyan ügyfelek számára is, ahol csak kisebb biztonsági csapat van, korlátozottabb helyi erőforrásokkal, vagy esetleg tartanak a hosszas integrációs, telepítési és üzembeállítási folyamatoktól, de szeretnének fejlett SIEM és XDR szolgáltatásokkal rendelkező eszközt az incidensek kezelésére, azok kivizsgálásának gyorsítására és így a szervezet biztonsági szintjének növelésére.