Εκτεταμένη ανίχνευση και απόκριση ή XDR

Η πιο ανοιχτή και ολοκληρωμένη λύση εντοπισμού και απόκρισης απειλών  που εξαλείφει τις προηγμένες απειλές γρηγορότερα

Aπό τη Βάλια Δεμέστιχα ,
ΙΒΜ Security Sales Leader, Ελλάδα και Κύπρος

Το 2020 ήταν χωρίς αμφιβολία ένα έτος το οποίο συνέβαλε από όλες τις απόψεις σε σημαντικότατες αλλαγές. Μια παγκόσμια πανδημία που προκαλεί αναταραχή, και επηρεάζει τις ζωές εκατομμυρίων ανθρώπων είναι ένα συμβάν που θα χαραχθεί στην μνήμη και στιγματίζει την καθημερινότητα. Οι επιπτώσεις επηρέασαν βαθιά τον τρόπο με τον οποίο δραστηριοποιούνται  οι επιχειρήσεις λειτουργώντας σε μεγάλο βαθμό  με ένα  κατανεμημένο εργατικό δυναμικό.

Αυτή η απότομη στροφή τα τελευταία δύο χρόνια, έφερε αντιμέτωπες τις εταιρίες με τις ελλείψεις τους σε ότι αφορά την ψηφιακή τους υποδομή. Για την επίλυση αυτών, κάποιοι έσπευσαν να μεταβούν στο cloud χωρίς να έχουν υποχρεωτικά μια οργανωμένη προσέγγιση για την υιοθέτησή του, ενώ άλλοι δίστασαν, επιμένοντας στην επέκταση της υποδομής τους σε ένα οn-premise μοντέλο

Οποιοσδήποτε επιτακτικός μετασχηματισμός  απορρέει από την ίδια ανάγκη: τη γρήγορη προσαρμογή στην νέα πραγματικότητα. Μια  γρήγορη βέβαια προσαρμογή πρέπει να γίνεται πάντα με γνώμονα την ασφάλεια.

Το να συμβαδίζει κανείς με τον τεράστιο όγκο απειλών απαιτεί μια ανοιχτή, ολοκληρωμένη στρατηγική που παρέχει βαθιά ορατότητα, αυτοματισμό και contextual insights για τα endpoints, το δίκτυο, το cloud και τις εφαρμογές που απαρτίζουν τον τεχνολογικό πλούτο ενός οργανισμού ή μιας επιχείρησης, ενώ αξιοποιεί τις πληροφορίες και τα δεδομένα από τις επενδύσεις που έχουν γίνει σε εργαλεία ασφάλειας.

Μια λύση ανοιχτής αρχιτεκτονικής

Η εκτεταμένη ανίχνευση και απόκριση –  Extended Detection and Response (XDR) -όπως είναι το IBM Security® QRadar® XDR, μπορεί να αποτελέσει μια λύση η οποία υλοποιεί ακριβώς αυτό. Ενοποιεί και συνδυάζει πληροφορίες από το σύστημα endpoint detection and response (EDR), το network detection and response (NDR) και το security information and event management (SIEM). Συνδέοντας τις πληροφορίες αυτές και αξιοποιώντας τις δυνατότητες που δίνει η τεχνητή νοημοσύνη μπορεί κανείς να αντιδράσει γρήγορα, να αυτοματοποιήσει ενέργειες και να κερδίσει σημαντικό χρόνο στην αντιμετώπιση των κυβερνοαπειλών. Μια ανοικτή αρχιτεκτονική η οποία μπορεί εύκολα να ενσωματώσει δεδομένα από άλλα συστήματα και λύσεις ασφάλειας, είναι ένα πλεονέκτημα που πρέπει οι εταιρείες να το αποζητούν ώστε  να ελέγχουν καλύτερα τον κίνδυνο και επιπλέον να υλοποιούν γρηγορότερα την στρατηγική τους γύρω από την ασφάλεια.

Οι δυνατότητες που δίνονται μέσα από την εκτεταμένη ανίχνευση ανίχνευση και απόκριση δρουν επικουρικά στην ανάλυση των δεδομένων ενός συμβάντος ασφαλείας. Με τη δυνατότητα ενσωμάτωσης δεδομένων από πολλαπλές και διαφορετικές πηγές πληροφορίας μπορεί κανείς να επιτύχει την αποφυγή της “silo” πληροφορίας. Η κατάληξη ενός τέτοιου εγχειρήματος είναι η πλήρης ορατότητα σε όλα τα εργαλεία ασφάλειας που χρησιμοποιεί ένας οργανισμός εξοπλίζοντας την ομάδα ασφάλειας με πληροφορίες και γνώση (insights) για να μπορέσει να αντιμετωπίσει και να σταματήσει εγκαίρως τις κυβερνο-απειλές. Η εκτεταμένη ανίχνευση και απόκριση, όπως είναι το IBM Security® QRadar® XDR, πρέπει να παρέχει τη δυνατότητα να αναγνωρίζει, να προβλέπει και κατ’ επέκταση να εξαλείφει τις απειλές γρηγορότερα

Οι απαιτήσεις της προσέγγισης της IBM 

Η προσέγγιση της  ΙΒΜ ορίζει ότι  μια λύση ασφάλειας πρέπει:

• Να βασίζεται σε αρχιτεκτονική ανοικτών προτύπων έτσι ώστε να κερδίζεται χρόνος από τους αναλυτές όταν συνδέονται στα εργαλεία, ακολουθούν διαδικασίες, αποκτούν insights και συνδυάζουν τις πληροφορίες που απαιτούνται από τα διάφορα συστήματα. Αυτή είναι και η βασική αρχή πάνω στην οποία οικοδομούμε όλες τις λύσεις μας και κατά βάση το Cloud pak for Security.
• Να μπορεί να ενσωματώσει πληροφορίες και να προσθέσει εγγενείς δυνατότητες EDR στην πλατφόρμα, κάτι που το εξασφαλίζουμε και εμείς μέσα από την νέα εξαγορά της ReaQta
• Να παρακολουθεί και να ανιχνεύει events μέσα από τις δυνατότητες που δίνονται από την πλατφόρμα SIEM, κάτι που διασφαλίζεται από την ενσωμάτωση της λύσης QRADAR SIEM, μια πλατφόρμα 12 που είναι για 12 συναπτά έτη στους leaders του Gartner Magic Quadrant.
• Ταυτόχρονα να μπορεί να αναλύσει την κίνηση του δικτύου για να παρέχει τη δυνατότητα περεταίρω εμβάθυνσης της  ανάλυσης ώστε η ομάδα των αναλυτών να μπορεί να αναγνωρίσει όποια ασυνήθιστη δραστηριότητα στο δίκτυό. Η ενσωμάτωση των δικτυακών ροών αλλά και οι δυνατότητες που δίνουν οι εφαρμογές του  Qradar αποτελούν σημαντικό παράγοντα εμπλουτισμού της πληροφορίας.
• Να οργανώνουν με ταχύτητα την απόκριση τους σε ένα συμβάν ασφαλείας χρησιμοποιώντας αυτοματισμούς, δυναμικά playbooks, και case management.

Σε ότι αφορά το ΙΒΜ Security, τo threat intelligence αποτελεί ένα σημαντικό παράγοντα τροφοδότησης της λύσης ΧDR. Αυτό γίνεται από την πλατφόρμα X-Force Threat Intelligence, η οποία εμπλουτίζεται με δεδομένα σε ότι αφορά τις  απειλές ασφαλείας, τη συγκέντρωση πληροφοριών και τη συνεργασία με ομότιμους οργανισμούς και εταιρείες.

Σίγουρα  δεν λείπουν οι προκλήσεις που αντιμετωπίζουν σήμερα οι αναλυτές ασφαλείας: ένας συνεχώς αυξανόμενος καταιγισμός προηγμένων απειλών, ο πολλαπλασιασμός των εργαλείων ασφαλείας για την κάλυψη μιας ολοένα διευρυνόμενης επιφάνειας επίθεσης και η έλλειψη δεξιοτήτων ασφάλειας είναι από τις συνηθέστερες προκλήσεις.

Είναι πλέον σημαντικό οι εταιρείες να επιδείξουν την ίδια αίσθηση επείγοντος όσον αφορά την ασφάλεια, όπως έκαναν και στην κάλυψη των ελλείψεων της ψηφιακής τους υποδομής, επειδή σίγουρα οι απειλές στον κυβερνοχώρο γίνονται πιο επικίνδυνες και σύνθετες. Είναι σημαντικό οι εταιρείες να ενημερώνονται, να ενεργούν και να αναζητούν συστάσεις που θα βοηθήσουν στην ενίσχυση της στρατηγικής  ασφαλείας για το μέλλον.

Η περιοχή της εκτεταμένης ανίχνευσης και απόκρισης, ή XDR, είναι μια αναδυόμενη προσέγγιση που αποκτά μεγάλη δυναμική και είναι πολλά υποσχόμενη δεδομένου ότι θα βελτιώσει, θα αυτοματοποιήσει και θα απλοποιήσει τον εντοπισμό και την απόκριση απειλών.