XDR (eXtended Detection and Response) este unul dintre “buzz word-urile” cel mai frecvent intalnite in domeniul securitatii informatice. XDR este cea mai promitatoare tehnologie care va ajuta in urmatorii ani organizatiile sa raspunda mai devreme, mai rapid si mai eficient la atacurile sofisticate lansate de hackeri. Acest lucru este posibil prin maximizarea controlului asupra potentialelor puncte de intrare in retea si prin folosirea uneltelor de ultima generatie in domeniul detectiei si raspunsului la un incident de securitate (threat hunting and response).
Avand in vedere care este miza, multi vendori din industrie incearca sa intre pe acest segment de piata, unii dintre ei oferind solutii complete, in timp ce altii cresc gradul de integrare si convergenta intre produsele lor de securitate pentru a oferi o functionalitate similara cu un XDR „fully fledged”. Organizatiile trebuie sa aleaga varianta care se potriveste cel mai bine infrastructurii lor, intrucat nu exista o solutie de genul „one size fits all” cand e vorba de securitate. O solutie XDR ar trebui sa ofere:
- Componente complementare de EDR si EPP. O solutie de EDR (Endpoint Detection and Response) detecteaza si raspunde la atacurile avansatede securitate la nivel de dispozitiv de utilizator ((detectia anomaliior in timp real, corelarea evenimentelor la nivelul intregii organizatii, si altele)). EDR nu poate sa performeze in mod corespunzator fara o solutie complementara de EPP (Endpoint Protection Platform) care sa blocheze malware-ul din fisiere sau de tip fileless, sa previna exfiltrarea de informatii (DLP), sa cripteze discuri sau partitii de fisiere si sa ofere un firewall/IPS la nivel de endpoint. La alegerea unei platforme XDR trebui investigat ce tipuri de endpoint-uri sunt suportate (PCs, dispozitive mobile, masini virtuale, servere) si ce sisteme de operare sunt suportate.
- Feed-uri de threat intelligence „la zi”. Informatiile de tip threat intelligence sunt deosebit de importante pentru a combate amenintarile informatice moderne intr-un mod eficient. Sunt multe situaii in care atacatorii exploteaza in mod activ („out in the wild”) vulnerabilitati de tipul zero-day pentru care vendorii inca nu au un remediu imediat. In multe dintre aceste situatii pot trece zile intregi sau saptamani fara ca produsul afectat sa fie rezolvat, timp in care organizatia este expusa respectivului atac fara a putea raspunde in vreun fel. Depinde de vendorul platformei de XDR sa ofere protectia necesara. Prin monitorizarea atacurilor se pot identifica IoC/IoA (indicator of compromise/indicator of activity) pe baza carora se pot crea semnaturi care sa ajute la identificarea atacului. Aceste semnaturi vor fi livrate catre solutiile de securitate integrate in platforma XDR si vor ajuta la blocarea atacului.
- Integrarea cu solutii terte de securitate. Capabilitatea de a integra in platforma XDR solutii de securitate de la alti vendori inseamna o vizibilitate mai buna asupra celor ce se intampla in infrastructura organizatiei, va proteja investitia facuta in platforma si va ajuta in mod direct scopul principal al lui XDR: colectarea si corelarea datelor si a alertelor din multiplele produse de securitate folosite de organizatiei pentru a creste viteza de reactie la un incident si pentru a minimiza impactul unei brese de securitate.
- Validare din partea industriei. Esenta XDR-ului este ca o astfel de platforma consolideaza mai multe sisteme de securitate implementate de organizatie intr-o singur produs. Asa ca este important ca diferitele elemente componente sa fie testate intens de entitati ca MITRE, SE Labs si AV-TEST. La renumele platformei XDR contribuie si evaluarile date de agentii precum Gartner, Forrester si IDC.
SecureX este propunerea Cisco pentru o platforma de securitate care bifeaza cu brio toate criteriile de mai sus. Fiind o solutie cloud-native, organizatia este scutita de costurile tipice asociate cu o solutie „in house” (upgrade, patching, vulnerability assessment, upgrade hardware, etc). Cisco SecureX poate fi folosit de organizatii pentru a prioritiza corect alertele de securitate, pentru a raspunde proactiv si automat la incidentele de securitate si pentru a efectua operatiuni specifice de threat hunting. Mai mult, orice organizatie care foloseste cel putin o solutie de securitate Cisco (de exemplu Cisco Secure Firewall, Seceure Endpoint, Secure Email, Umbrella, Duo) poate folosi imediat platforma SecureX fara costuri sau licente suplimentare. Beneficiile imediate constau in cresterea vizibilitatii asupra retelei, asupra aplicatiilor si a dispozitivelor, posibilitatea de investigare a unui incident folosind o singura interfata si, mai apoi, automatizarea detectiei si a raspunsului la o problema de securitate folosind flow-uri create de organizatie. Daca utilizati deja produse Cisco Secure, incepeti sa folositi si SecureX. Nu stiti ca aveati nevoie de el, pana cand nu incepeti sa il folositi 😊iar inginerii Dendrio va pot ajuta sa profitati la maxim de aceasta platforma.
Mihai Dumitrascu, Sr Systems Engineer