XDR – Jak to należy rozumieć?
Ostatnie lata przyniosły nam ogromną rewolucję na rynku rozwiązań cyberbezpieczeństwa. Historia pokazała, że nie każdy atak może być zatrzymany. Do skutecznego zbudowania bastionu bezpieczeństwa obok prewencji powinna zostać również wdrożona odpowiednia detekcja zagrożeń. Odpowiedzią na tę kwestie stało się wprowadzenie do obiegu produktów XDR.
Jak należy rozumieć ten akronim? Jakie kryją się pod nim funkcjonalności? Czego wymagać od systemów tej klasy? Palo Alto Networks ma na to swój wyjątkowy pomysł.
Zacznijmy od rozłożenia „na czynnik pierwsze” samego akronimu – XDR. Zgodnie z nomenklaturą oznacza on eXtended Detection & Response, co w dosłownym tłumaczeniu przekłada się na „rozszerzoną detekcję i odpowiedź…”, … odpowiedź na incydenty bezpieczeństwa IT. Palo Alto Networks to dokładnie rozumie i implementuje te mechanizmy w swojej platformie Cortex XDR. Dodatkowo idzie o krok dalej. Posługując się przykładem rodem z dziedziny matematyki pierwszy człon akronimu, czyli ten nasz „X”, staje się zmienną, dla której można dokonać wielu podstawień i podobnie jak w matematyce, zgodnie z założeniami, podstawienia te muszą być zawsze prawdziwe.
Dokładnie tak jest w przypadku rozwiązania Cortex XDR od Palo Alto Networks. Pierwszym i oczywistym podstawieniem dla nas może być Endpoint. Cortex XDR jest oczywiście rozwiązaniem agentowym (ale nie tylko), które oprócz niezwykle skutecznej prewencji zbudowanej na bazie lat doświadczeń producenta i wielu wypracowanych mechanizmów (m.in. Anti-Exploit oraz Anti-Malware), implementuje możliwości detekcji zaawansowanych zagrożeń i anomalii na samych stacjach roboczych i serwerach. To właśnie tam najwięcej się dzieje oraz najtrudniej wykryć podejrzaną aktywność, stąd funkcjonalność ta jest tak istotna. Cortex XDR idealnie interpretuje dane pochodzące z agentów (a precyzyjniej komputerów i serwerów, na których jest zainstalowany), a za pomocą algorytmów uczenia maszynowego potrafi zrealizować dla nich „zaawansowaną detekcję”.
Pozostając w świecie źródeł danych, na podstawie których możliwe jest wykrycie incydentów bezpieczeństwa dokonajmy kolejnego podstawienia – Network. Dokładnie ta sama mechanika detekcji realizowana jest dla danych i telemetrii pochodzących z samej sieci. Cortex XDR bez problemu może konsumować logi z firewall’i nowej generacji od Palo Alto Networks, ale nie tylko. Otwarcie się na innych dostawców rozwiązań sieciowych poskutkowało opracowaniem uniwersalnej platformy do detekcji zagrożeń również w tej materii. Dodając do tego ten sam wachlarz możliwości dla danych z chmury, po pierwsze mamy kolejne prawdziwe podstawienie, a po drugie XDR nabiera nowego znaczenia – centralnej platformy korelującej informacje z wielu źródeł.
Kolejne podstawienie za naszego „X” może tyczyć się samego mechanizmu detekcji i faktu, iż powinien on być Automatyczny. Bardzo lubimy kiedy coś (w systemach informatycznych i w życiu) dzieje się za nas automatycznie i właśnie dzięki temu Cortex XDR zawdzięcza swoją popularność. Incydenty bezpieczeństwa są wykrywane przez system w sposób automatyczny, bez konieczności kreowania manualnych reguł korelacji, czy dodatkowej, skomplikowanej konfiguracji. Za wszystko odpowiadają dwa silniki wewnątrz rozwiązania, czyli:
- Analytics Engine
- Casuality Analysis Engine
Pierwszy z nich implementuje behawiorystyczne podejście do wykrywania zagrożeń w oparciu o algorytmy uczenia maszynowego. Drugi natomiast odpowiada za automatyczne zbudowanie incydentu, a co ważniejsze korelację wielu alarmów w pojedynczy incydent. Casuality Analysis Engine tworzy za nas sam incydent agregując potwierdzenia i dowody z wielu źródeł i różnych alarmów formułując pojedynczy obrazek zawierający komplet informacji niezbędnych do analizy. Dzięki tak określonej warstwie prezentacji zdarzenia, praca analityka staje się wiele prostsza i umożliwia mu szybkie przejście „od ogółu do szczegółu”, jak również automatyczne zebranie pełnego materiału dowodowego.
To właśnie ten aspekt pracy z Cortex XDR będzie najmocniej utylizowany podczas warsztatów technicznych Capture The Flag. Każdy z uczestników będzie mógł sprawdzić samodzielnie jak pracuje się z incydentami w Cortex XDR, jakie możliwości oferuje rozwiązanie oraz jak to usprawnia pracę analityka. Całość spotkania będzie połączeniem przyjemnego z pożytecznym, a dodając do tego pozostałe możliwości, takie jak: Threat Hunting, Incident Response, IOC/BIOC oraz wiele wiele innych, stworzy się niesamowita okazja do zapoznania się ze światem Palo Alto Networks Cortex.
Jak przekazywaliśmy w niniejszymi artykule, istnieje wiele możliwych interpretacji i podstawień za naszą zmienną „X”. Zaprezentowaliśmy tutaj jedynie kilka z nich, które definiują potencjał i możliwości platformy Cortex XDR. Jeżeli ciekawią Cię pozostałe opcje, to zapraszamy serdecznie na spotkanie nasze spotkanie techniczne już 26 stycznia i 9 lutego. Na drugi termin jest jeszcze kilka wolnych miejsc więc nie zwlekaj!
Maciej Martinek – Security Consultant CLICO
ZAREJESTRUJ SIĘ NA II Edycje Cortex XDR Capture The Flag Mission!
