PT XDR (PT Extended Detection and Response)

Основная статья: Security Information and Event Management (SIEM)

2022

Внесение в единый реестр отечественного ПО

PT Extended Detection and Response (PT XDR) — продукт для оперативного выявления киберугроз на серверах и рабочих станциях, а также реагирования на них, включен в единый реестр российских программ для электронных вычислительных машин и баз данных. Согласно приказу Министерства цифрового развития РФ, 31 октября 2022 года продукт, разработанный Positive Technologies, зарегистрирован в классе средств для обнаружения и предотвращения атак, а также в классе средств автоматизации процессов ИБ. Об этом сообщили в Positive Technologies 23 ноября 2022 года.

PT XDR собирает и анализирует данные из множества систем, выявляет в ИТ-инфраструктуре компании сложные целевые атаки, позволяет верифицировать их факт. Продукт также предоставляет различные варианты реагирования на угрозы, в том числе и по ранее заданному сценарию. PT XDR включает в себя технологические разработки из экосистемы продуктов Positive Technologies для обнаружения сложных атак и эффективно использует накопленную экспертизу специалистов компании.

Включение продукта в реестр отечественного ПО — важный и необходимый шаг для каждой ИТ-компании, работающей на российском рынке информационной безопасности. PT XDR как один из элементов комплексной защиты при реализации подхода результативной кибербезопасности поможет выявить продвинутые и ранее неизвестные атаки для госструктур и компаний с госучастием, на которые традиционно направлено наибольшее количество атак, отметил Егор Назаров руководитель по развитию направления защиты от комплексных атак, Positive Technologies.

В данный момент в реестр отечественного ПО внесено более полутора десятка продуктов Positive Technologies, в частности:

• система мониторинга событий информационной безопасности MaxPatrol SIEM;
• межсетевой экран уровня веб-приложений PT Application Firewall (PT AF);
• анализатор исходного кода PT Application Inspector (PT AI);
• система глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM);
• система защиты от вредоносных программ PT MultiScanner;
• песочница для риск-ориентированной защиты PT Sandbox;
• система следующего поколения для управления уязвимостями MaxPatrol VM;
• cистема управления инцидентами и взаимодействия с ГосСОПКА «ПТ Ведомственный центр»;
• сканер уязвимостей XSpider;
• система контроля защищенности и соответствия стандартам безопасности информационных систем MaxPatrol 8;
• система анализа сетевого трафика PT Network Attack Discovery (PT NAD).

Выпуск коммерческой версии PT XDR

26 апреля 2022 года компания Positive Technologies сообщила, что решение PT XDR (PT Extended Detection and Response) для обнаружения угроз и реагирования на них доступно для заказа пилота и покупки.

PT XDR позволяет, по утверждению компании, в десятки раз быстрее выявлять действия хакера, реагировать на атаки с меньшими затратами и учитывать специфические для компании риски.

«PT XDR оказался на рынке в тот момент, когда потребность в подобном решении стала достаточно высокой. Необходимость в системе, позволяющей упростить и сделать эффективнее реагирование на угрозы, возникла еще во время эпидемии коронавируса. Мы видели, как в компаниях стали массово появляться удаленные рабочие места, а границы корпоративного периметра и вовсе были размыты. В последние месяцы интенсивность кибератак на российские компании увеличилась в десятки раз - оперативное реагирование на них стало ключевой задачей для большинства специалистов по ИБ. С момента старта программы early birds мы получали в среднем один запрос в неделю на пилотные демонстрации продукта. На конец апреля 2022 года частота заявок увеличилась в четыре раза и продолжает расти. Мы видим, что решение востребовано», - отмечает директор по развитию бизнеса Positive Technologies Максим Филиппов.

Согласно статистике запросов на пилотные проекты, решения класса XDR особенно востребованы среди банков, финтех-компаний, предприятий энергетической отрасли, государственных организаций. Независимо от отраслевой направленности особый интерес PT XDR вызывает у компаний, у которых есть гибридные рабочие места, необходимость в защите удаленного доступа, а также в детектировании и реагировании в конечных точках.

«Одна из ключевых особенностей PT XDR - система не наследует устаревшие концепции, которые выросли из решений других классов. Это оригинальный и практический подход к защите конечных точек и всей инфраструктуры, позволяющий получить результат, измеримый с точки зрения скорости реакции. PT XDR дает возможность снизить требования к квалификации специалистов по ИБ и оптимизировать процесс реагирования и расследований. Решение автоматизирует рутинные процессы: приоритизирует очередь на анализ угроз, предлагает варианты реагирования на них, помогает оперативно предпринять шаги для восстановления контроля над инфраструктурой. PT XDR предоставляет контекст атаки и находит причины компрометации», - комментирует Дмитрий Нагибин, руководитель департамента разработки средств защиты станций и серверов Positive Technologies.

Логика решения базируется на наиболее эффективных наработках, использованных в продуктах и сервисах Positive Technologies за 20 лет существования компании.

В основе PT XDR заложена экспертиза, накопленная в продуктах MaxPatrol 8, MaxPatrol SIEM, PT Sandbox, MaxPatrol VM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, а также знания по выявлению угроз и реагированию в конечных точках, реализованные в EDR-компоненте. В перспективе PT XDR как решение будет обогащать свою базу знаний и другими продуктами Positive Technologies.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т

Positive Technologies традиционно уделяет внимание работе с партнерским каналом, наращивает взаимодействие с партнерами в части PT XDR. Они смогут привносить свою экспертизу в решение, используя предлагаемые модули для загрузки и написания YARA-правил, самостоятельной разработки модулей реагирования по требованиям компаний.

2021: Представление PT XDR

Positive Technologies 14 декабря 2021 года представила альфа-версию PT XDR (PT Extended Detection and Response) — решения в своей линейке, предназначенного для обнаружения киберугроз и реагирования на них. Технология позволит службам ИБ в случае кибератак принимать меры и останавливать их в десятки раз быстрее и с меньшими затратами — за счет автоматизации процессов реагирования. Таким образом, компания, в портфеле которой на декабрь 2021 года более десяти продуктов для обеспечения кибербезопасности бизнеса, выходит на иной для себя рынок XDR. Коммерческая версия PT XDR станет доступна компаниям для покупки в апреле 2022 года.

У организаций есть весь необходимый набор технологий для мониторинга и защиты от киберугроз. С одной стороны, это позволяет закрыть основные векторы атак. С другой — порождает проблему нехватки ресурсов и времени на реагирование. В ходе реагирования и расследования специалистам служб ИБ приходится работать с большим количеством продуктов одновременно и анализировать множество разрозненных данных из различных систем. Из-за этого подразделения ИБ регулярно теряют самый ценный ресурс — время, а риск взлома важных для бизнеса систем при этом возрастает.

Решения класса XDR нейтрализуют такого рода проблемы. Они объединяют события и контекст из множества систем ИБ для выявления реальных атак и автоматизируют процессы реагирования. Gartner называет XDR одним из трендов информационной безопасности — по мнению международного аналитического агентства, эти решения на декабрь 2021 года находятся на стадии технологического прорыва.

Решение верифицирует, является ли атака реальной или нет, снижает количество ложноположительных срабатываний и за счет объединенного контекста представляет связанную последовательность действий до источника заражения или компрометации. Далее PT XDR автоматически останавливает атаку или предоставляет возможность оператору выбрать эффективные действия по реагированию после расследования — от сетевой изоляции узла до блокировки локального пользователя на узле, остановки цепочки процессов или удаления вредоносного файла, в зависимости от случая. При необходимости решение проводит «лечение» или восстанавливает работоспособность систем после атаки. Так, за счет эффективно выстроенных обнаружения и реагирования на киберугрозы повышается эффективность работы SOC.

Главная особенность PT XDR заключается в нативной интеграции нескольких продуктов Positive Technologies и используемых в них технологий. Подход к расширенному обнаружению и реагированию на киберугрозы (XDR) в масштабе всей корпоративной инфраструктуры подразумевает получение данных от SIEM-системы, песочницы, EDR, средства защиты веб-приложений, системы управления уязвимостями (VM, vulnerability management), решения по анализу сетевого трафика и других. Чем качественнее и эффективнее продукты будут взаимодействовать между собой — тем более высокую скорость реагирования на атаки злоумышленников можно будет обеспечить и, соответственно, тем больше будет шансов у специалистов по кибербезопасности остановить атакующего на ранней стадии. Также при моновендорном подходе меньше ресурсов затрачивается на настройку комплексного решения, потому что продукты Positive Technologies априори адаптированы под работу друг с другом.

MaxPatrol SIEM обогащает PT XDR данными обо всех инцидентах ИБ, которые фиксирует в ИТ-инфраструктуре. Помимо этого, PT XDR обращается к его базе знаний по поведенческому анализу и детектам для того, чтобы корректно профилировать действия программного обеспечения и пользователей в системе и в сети. В свою очередь, задача по анализу вредоносного ПО реализуется посредством интеграции с песочницей — PT XDR передает файлы на анализ в PT Sandbox, а в случае обнаружения «плохого» экземпляра блокирует его на всех узлах. Сведения о вредоносной активности на сетевых узлах PT XDR также может получать от EDR-решения Positive Technologies.

Использование PT XDR вместе с другими решениями Positive Technologies, уже доказавшими свою эффективность, позволяет увеличить скорость обнаружения и противодействия киберугрозам в десятки раз. Знания об актуальных киберугрозах, техниках и тактиках злоумышленников, которые мы получаем от нашего исследовательского центра и PT Expert Security Center, регулярно пополняют наши продукты. PT XDR аккумулирует существующую экспертизу и позволяет применить ее на конечных узлах. Благодаря этому, время реагирования удалось сократить до считаных секунд. Таким способом мы сужаем для хакеров окно возможностей для закрепления в инфраструктуре и развития атаки до критически важных ИТ-систем», — сказал Дмитрий Нагибин, руководитель департамента разработки средств защиты станций и серверов Positive Technologies.

Запуск PT XDR является логичным шагом при реализации результативного подхода к кибербезопасности, который определяет стратегию развития Positive Technologies на ближайшие годы.

Результативная кибербезопасность подразумевает обеспечение такого уровня ИБ, который гарантирует, что недопустимые для бизнеса события невозможны.

PT XDR — это решение, которое было нужно нам для достижения более глобальной цели — создания метапродуктов, которые гарантированно делают невозможным реализацию хакером недопустимых для бизнеса событий. Достичь такого результата, не имея средств контроля на конечных узлах, практически нереально. С учетом динамики разработки метапродуктов, в частности MaxPatrol O2, нам необходимо иметь возможность собирать и поднимать наверх с конечных точек нужный для работы метапродуктов контекст, требования к которому также динамично меняются, — отметил Максим Филиппов, директор по развитию бизнеса Positive Technologies. — Поэтому мы стали делать свое решение этого класса. Но даже без MaxPatrol O2 разработанное решение покрывает два сформированных технологических сегмента: EDR (Endpoint Detection and Response) — технология обнаружения и устранения угроз на конечных точках и XDR (Extended Detection and Response) — расширенная система обнаружения и устранения угроз, которая может собирать информацию из EDR, SIEM, песочниц, NDR, UEBA, WAF, VM.