XDR: osnovna komponenta Zero Trust strategije bezbednosti
Proširenje i unapređenje sposobnosti detekcije i odgovora na pretnje koje dolaze sa uvećane površine izložene napadima navodi se kao glavni rezultat XDR-a, u smislu efikasnosti osiguranja sigurnosti
Ovaj rezultat potvrđen je i u izveštaju Enterprise Strategy Grupe na temu XDR-a i modernizacije SOC-a koje je sponzorisao Kaspersky. Ovakav ishod doprinosi ne samo široj sveobuhvatnoj zaštiti već i boljoj primeni strategije Zero Trust bezbednosti. Ovaj pristup pretpostavlja da ne treba imati poverenja prema bilo kojem uređaju ili korisniku, već da treba omogućiti pristup resursima samo onima kojima je taj pristup potreban.
Više od zaštite perimetra. Šta zapravo donosi Zero Trust?
Tradicionalno, kompanije funkcionišu s konceptom „zaštite perimetra” kada štite svoju infrastrukturu. Ovaj pristup podrazumeva temeljno ispitivanje svih veza spoljnih uređaja s resursima kompanije. Zona unutar perimetra se smatra pouzdanom – korisnici, uređaji i aplikacije tamo imaju određenu slobodu delovanja. Sve dok je zona od poverenja ograničena na lokalnu mrežu i stacionarne uređaje povezane na nju, zaštita perimetra je efikasna. Međutim, s rastom broja mobilnih uređaja i usluga u oblaku koje koriste organizacije i njihovi zaposleni, koncept perimetra može biti nedovoljan.
Koncept „nultog poverenja” je predložio John Kindervag, analitičar kompanije Forrester Research, kao alternativu „zaštiti perimetra”. On je predložio da se resursi ne klasifikuju na eksterne i unutrašnje, i da se poverenje ne pretpostavlja ni za jednu zonu. Prema ovom modelu, korisnici, uređaji i aplikacije podležu verifikaciji svaki put kada im je potreban pristup bilo kom korporativnom resursu.
Ne postoji jedinstveni pristup primeni Zero Trust koncepta bezbednosti. Ipak, postoji nekoliko osnovnih principa koji omogućuju izgradnju ovakvog sistema:
Ne perimetar, već zaštita cele površine: ovo uključuje sve što organizacija mora da uradi da bi se zaštitila od neovlašćenog pristupa: poverljive podatke, elemente infrastrukture, interne aplikacije i tako dalje.
Mikrosegmentacija: korporativna mreža i drugi resursi podeljeni su na male čvorove, koji se čak mogu sastojati od jednog uređaja ili aplikacije. Ovo omogućava korisnicima da fleksibilno upravljaju pristupom i eliminišu nekontrolisano širenje pretnji unutar mreže.
Princip najmanje privilegija: svaki korisnik ima tačno onoliko prava koliko mu je potrebno za obavljanje njegovih zadataka. Na ovaj način, hakovanje naloga pojedinačnog korisnika može da ugrozi neke resurse, ali ne i celu infrastrukturu.
Autentifikacija: prema konceptu Zero Trust, potencijalna pretnja je implicirana kad god postoji pokušaj da se dobije pristup korporativnim informacijama. Stoga, za svaku sesiju, korisnik mora proći kroz proces autentifikacije i potvrditi svoje pravo na pristup specifičnim podacima potrebnim za zadatak koji obavlja.
Totalna kontrola: da bi efektivno implementiralo model Zero Trust, IT odeljenje mora biti u stanju da upravlja svim radnim uređajima i aplikacijama.
Sveobuhvatna zaštita uz XDR
Kompanije koriste više sajberbezbednosnih rešenja da zaštite endpoint uređaje, mreže i drugu imovinu od pretnji i obično je teško upravljati svim tim rešenjima istovremeno i efikasno. Ovo je jedan od razloga zašto profesionalci InfoSec-a mogu propustiti važna bezbednosna upozorenja ili ih preskočiti, povećavajući mogućnost da budu hakovani. XDR može da reši ovaj problem jer objedinjuje i povezuje podatke iz svih izvora i pruža jedinstven pogled na potencijalne pretnje. Identifikovanjem i istraživanjem sumnjivih aktivnosti na različitim nivoima IT infrastrukture, XDR pomaže organizacijama da efikasnije otkriju napredne uporne pretnje (APT) i reaguju na njih.
Najveća prednost XDR rešenja je što štedi vreme, što je ključni element kada je u pitanju rezilijentnost. Da bi se to postiglo, telemetrija se prikuplja uz pomoć algoritama za mašinsko učenje i analitike ponašanja. Koristeći informacije s platformi za zaštitu endpoint uređaja, XDR izdvaja samo one elemente koje je potrebno analizirati na potencijalne anomalije i pretnje, pojednostavljujući i olakšavajući blagovremenu analizu potencijalnih zlonamernih aktivnosti s neuporedivom preciznošću i brzinom. Dakle, bezbednosni timovi mogu brže da daju prioritet podacima o pretnji prema ozbiljnosti.
Uloga XDR rešenja u postizanju Zero Trust bezbednosti
Kada se primenjuju zajedno, Zero Trust i XDR pružaju moćnu odbranu od sajberpretnji. Zero Trust pomaže u sprečavanju neovlašćenog pristupa resursima i aplikacijama ili opozivanju već odobrenog pristupa, ako su se uslovi promenili, dok XDR pomaže u otkrivanju i reagovanju na potencijalne pretnje koje eventualno uspevaju da zaobiđu te početne kontrole pristupa. Korišćenjem XDR-a za praćenje svih aktivnosti širom IT infrastrukture, organizacije mogu da identifikuju sumnjive aktivnosti koje mogu ukazati na potencijalnu pretnju i preduzeti proaktivne korake za ublažavanje problema.
Ako XDR otkrije neobičan obrazac aktivnosti na endpoint uređaju, može da pokrene upozorenje koje traži od Zero Trust da zahteva dodatnu autentifikaciju i autorizaciju pre nego što odobri pristup bilo kom resursu ili aplikaciji. Ovo pomaže da se spreči bočno širenje pretnje unutar mreže, dok XDR nastavlja da nadgleda endpoint uređaj i istražuje potencijalnu pretnju.
Usvajanjem pristupa Zero Trust i implementacijom XDR rešenja kao što je Kaspersky XDR, kompanije smanjuju broj incidenata i poboljšavaju efikasnost timova za sajberbezbednost jer se suočavaju s raznim izazovima, uključujući sve složenije napade, globalni nedostatak veština i zamor usled brojnih upozorenja.
Autor: Srđan Radosavljević, Security Solutions Architect, Kaspersky West Balkans