A biztonság kulcsa a gyors beavatkozás. A védelmi eszközök, rendszerek és eljárások, best practice-ek évek óta két varázsszó körül pörögnek: a gondolkodás középpontjában a TTD (time to detection, azaz felderítési idő) és a TTR (time to resolution, azaz reagálási idő) áll. Ez alapvetően logikus is: minél gyorsabban ismerjük fel a kockázatot vagy támadást, annál gyorsabban tudunk ellene tenni. És minél gyorsabban történik meg a beavatkozás, jellemzően annál kisebbek az esetleges károk.

Láss mindent, és láss előre!

Ebben óriási előrelépést jelent a mesterséges intelligencia (MI), amit az adatközpontú szemlélet terjedésével párhuzamosan az évtized közepétől egyre intenzívebben használnak a vállalatok a biztonsági kockázatok kezelésére. Egyre több olyan öntanuló védelmi rendszerre lehet támaszkodni, melyek folyamatosan képesek igazodni a változó támadási vektorokhoz.

Csakhogy nagyjából ezzel a tendenciával egyszerre az MI a kiberbűnözők eszköztárának része is lett. Még az évtized közepéig ez inkább a szofisztikált, állami hátterű hátterű hekkerek (kiberhadviselési) arzenálját gazdagította, ma már se szeri, se száma azoknak a projekteknek, melyek ingyenes vagy olcsó hozzáférést biztosítanak az MI technológiákhoz a kisebb erőforrásokkal gazdálkodóknak, köztük a kiberbűnözők széles körének.

Ez nem csak a fenyegetések gyors változása miatt okoz problémát, hanem a zajszint növekedése miatt is, ami egyben hozza magával a fals pozitív riasztások (és sajnos a flas negatív események) szaporodását. Azt pedig nem nagyon nevezhetjük hatásos védelemnek, amikor – gyakran kényszerűségből – olyan vehemenciával lövöldözünk vaktában az ellenségre, hogy közben magunkat lőjük lábon, miközben a hekkerek boldogan távoznak az adatainkkal.

Az automatizálás korlátai

De mi alapján védekezhetünk? Természetesen az alapján, amit látunk, mérünk, elemzünk. Ha tehát tökéletes védelmet szeretnénk, első lépésként minden pillanatban látnunk kell a teljes hálózatunkat: ki, hol, mikor és mit csinál. Kell látni az adatközpontot, a végpontokat, a mobil eszközöket, a virtuális hálózati elemeket, a felhőt, a szenzorokat...

Ha egy szervezet megszerzi a látásnak ezt a képességét, máris magasabb biztonsági szintre jut. És ha képes kombinálni a biztonsági folyamatok automatizálásával, egyenesen szuperképességekre tesz szert. De ha ilyen egyszerű a recept, miért gyarapodnak továbbra is a biztonsági incidensek? Szakértők rendre három okot szoktak felsorolni.

Legfőbb probléma, hogy túl bonyolult az IT-infrastruktúra – ez a gyors digitalizáció egyik hátulütője. Az infrastruktúra komplexitásával egyenes arányban a védelmi rendszerek is egyre nehezebben átláthatóak, és sokszor az egyes elemek együttműködése nem is zökkenőmentes. Ha egy ilyen rendszerben elszaporodnak a riasztások, ott valóban nem marad más, mint vaktában lőni. Ezen segítene az automatizáció, de...

...nincs elég szakember. Erre sorozatunk első részében, az IT-biztonság idei sarkalatos kérdései között már utaltunk. Nélkülük automatizálni sem lehet, az ugyanis nem egyszeri művelet, hanem folyamatos tevékenység, ami pontosan leköveti a belső és környezet változásai. És sok helyen mindezt megfejelhetik a csapatok közötti és csapatokon belüli problémák, pl. a rivalizálás, vagy hogy az egyes csapatok nem bíznak egymás automatizált elemzéseiben.

Koncentráljunk a nagy egészre

Mindez oda vezethet, hogy egy minden szempontból szegmentált védelem felügyeli a vállalat rendszereit, amely nem sokat tud kezdeni a meredeken emelkedő riasztásmennyiséggel. Az IDC egy tavaly év végi kutatása szerint szerint a legtöbb vállalat azt már felismerte, hogy sok forrásból (email-rendszer, szerver, router, switch, proxy stb.) kell adatot gyűjtenie a detektálási-reagálási hatékonyság javításához. Ám azzal is szembesültek, hogy ha túl sok a forrás, olyan mértékben megnő a hamis riasztások száma, ami már az addig elért biztonsági szintet is meggyengíti. (A biztonsági szakemberek a végponti védelmi eszközökről érkező riasztások alig több mint negyedét elemzik.)

Pedig a források számának gyarapodása megállíthatatlan, hiszen a vállalatok digitális lábnyomának növekedését sem lehet – és nem is bölcs – megakasztani. Ebbe az irányba vitte a változásokat a többek között a koronavírus-járvány (távmunka, home office) vagy már azt megelőzően az IoT is. Az ezek nyomán létrejövő új alrendszerekből érkező adatokat nem lehet figyelmen kívül hagyni a biztonsági elemzéseknél, hangsúlyozza egy írásában Michael Suby, az IDC biztonsági területekért felelős kutatási alelnöke. Szerint elsősorban azok a szervezetek nem birkóznank meg az adatdömpinggel, melyeknél nincs SOC (Security Operations Center), vagy csak nagyon alacsony szintű központtal rendelkeznek.

A biztonsági cégek erre reagálva kezdtek olyan platformokat fejleszteni, ami segít konszolidálni a különböző biztonsági megoldásokat (végponti-, szerver-, hálózati stb. védelem), valamint új adatforrásokat becsatornázni az elemzésekbe. Erre kézenfekvő lenne felhőt használni – ilyen például a Cisco cloud-natív SecureX-e –, ám compliance okokból a felhő nem minden vállalatnak vállalható. A biztonsági cégek ezért úgynevezett XDR (eXtended Detection and Response) platformokat is kínálnak. A vezető gyártók szinte mind rendelkeznek ilyen jellegű megoldással, a napokban például a Trend Micro jelentette be új XDR platformját, a Vision One-t. Ennek például az az egyik nagy újdonsága, hogy alapból tartalmaz API-kat harmadik felek megoldásaihoz, ami nagyban egyszerűsíti integrálását a meglévő infrastruktúrába.

Mitől XDR az XDR?

És hogy mi az XDR lényege? Az IDC öt fontos kritériumát definiálta: a telemetriai források plug-and-play (konfiguráció nélküli) becsatolása, az automatikus frissülés, az észlelés-feltartóztatás-helyreállítás egyesítése, az öntanulási képesség, és végül, de nem utolsósorban a multifunkcionalitás, ami itt a biztonság határterületeinek erősítését jelenti. (Az XDR rendszerszintű elvi felépítését lásd a fenti ábrán.)

A kutatócég szerint ezek a platformok képesek több SOC-funkciót integrálni egyetlen biztonsági műveleti platformba, hogy a detektálás-reagálás folyamata automatizálható és naprakész legyen. Hasonlóan látja a Gartner is: szerintük az XDR az idei év egyik fontos biztonsági trendje lesz, mert a szervezeteknek egyre nagyobb szükségük lesz a biztonsági technológiák egyszerűsítésére.