EDR, XDR czy MDR – bogactwo wyboru

Systemy EDR (Endpoint Detection and Response) w ostatnich latach stały się – obok antywirusów – jednym z najpopularniejszych produktów do ochrony urządzeń końcowych. Twórcy tych narzędzi wyszli z założenia, że zbieranie z takiego sprzętu danych telemetrycznych jest najskuteczniejszą metodą wykrywania incydentów, badania ich i reagowania. Koncepcja ta została bardzo dobrze przyjęta przez rynek, co znajduje odzwierciedlenie w wynikach sprzedaży tego oprogramowania. Przykładowo, analitycy Reports and Data przewidują, że w latach 2020–2028 ten segment rynku będzie rósł w tempie 20,8 proc. rocznie, by w 2028 r. osiągnąć wartość 8 mld dol. (w 2020 r. było to 1,76 mld dol.).

– Odnotowujemy skokowy wzrost zainteresowania EDR-ami ze strony średnich i dużych firm – mówi Paweł Jurek. – Mają one wysokie wymagania wobec bezpieczeństwa i są świadome tego, jaką wartość wnosi analiza konkretnych incydentów. Jednak zanim złoży się zamówienie na rozwiązanie EDR, trzeba odpowiedzieć sobie na pytanie, kto będzie takie narzędzie obsługiwał. W tym miejscu klienci często zatrzymują proces dotyczący decyzji o zakupie i zaczynają długą wewnętrzną dyskusję.

Specjaliści przyznają, że EDR może okazać się bardzo pomocnym narzędziem w walce z napastnikami wykorzystującymi lukę Log4Shell. Oprogramowanie to umożliwia wykrywanie oraz przeciwdziałanie skutkom takiego ataku dzięki porównaniu zdarzeń zaistniałych w sieci z aktualizowanymi przez specjalistów bazami zawierającymi różne ustrukturyzowane informacje o technikach stosowanych przez atakujących  (np. MITRE ATT&CK Framework). 

– Mechanizm działania oprogramowania EDR ogranicza się do stacji końcowych i serwerów. Ale atak może zostać przypuszczony także na inne rodzaje rozwiązań, jak poczta, urządzenia mobile czy IoT – tłumaczy Grzegorz Nocoń. – W celu zapewnienia sobie możliwości korelowania logów między wszystkimi modułami ochronnymi konieczne jest zastosowanie rozszerzonego modelu klasy XDR.

Oprogramowanie XDR (eXtended Detection and Response) gromadzi i automatycznie koreluje dane pochodzące z wielu źródeł – poczty elektronicznej, urządzeń końcowych, serwerów, chmury i sprzętu sieciowego. Jego celem jest rozwiązanie trzech podstawowych problemów, z którymi borykają się osoby odpowiedzialne za bezpieczeństwo IT w firmach. Pierwsza kwestia związana jest ze skutecznością wykrywania anomalii w urządzeniach końcowych oraz innych miejscach przechowywania danych biznesowych. Druga natomiast dotyczy tempa prowadzenia dochodzenia w przypadku podejrzenia o incydent, zaś trzecia – szybkości reagowania i jego kompletności.

Mniejsze przedsiębiorstwa mogą zdecydować się na będącą niejako rodzajem EDR-a usługę Managed Detection and Response (MDR). Jej dostawca przejmuje obowiązki związane z całodobową ochroną sieci i urządzeń końcowych klientów – oferuje analizę, proaktywne wykrywanie zagrożeń oraz możliwość reagowania na incydenty w zakresie ustalonym w umowie.

Zdaniem integratora

Grzegorz Świrkowski, CEO, Net Complex  

Pochodną rozwoju zapotrzebowania na rozwiązania EDR w Polsce jest coraz większa liczba oferujących je na naszym rynku dostawców. EDR idealnie sprawdza się przy bardzo rozbudowanej infrastrukturze, z dużą liczbą procesów i aplikacji – wszędzie, gdzie występuje bardzo duża transmisja wszelkiego rodzaju danych, chociażby w bankowości czy instytucjach rządowych. Taki system jest też w stanie wykryć ataki wykorzystujące luki w aplikacjach, na przykład w bibliotece Log4j. Nowatorskie narzędzia są również w stanie w znacznym stopniu uprościć walkę z zagrożeniami poprzez analizę systemów i stworzenie listy ich podatności na zagrożenia. Natomiast generalnie najważniejszą kwestią w dziedzinie bezpieczeństwa pozostaje konieczność ciągłego aktualizowania aplikacji i systemów firmowych.

  

Sam backup to za mało

W segmencie rozwiązań do backupu zaszły w minionych latach istotne zmiany, a większość z nich jest następstwem pandemii. Wraz z eksplozją pracy zdalnej pojawiły się nowe wyzwania, w tym dwa kluczowe: zachowanie zgodności kopii zapasowych z oryginałami oraz ochrona danych na urządzeniach końcowych rozsianych po setkach, a nawet tysiącach lokalizacji. Zadania nie ułatwia przy tym postępujący wzrost popularności usług chmurowych, który wykreował zapotrzebowanie na kolejne narzędzia do backupu, tym razem chroniące dane w chmurze.

Ta zmiana trendów zbiegła się z lawinowym wzrostem liczby ataków ransomware, co przyczyniło się do wzrostu zainteresowania oprogramowaniem i sprzętem do tworzenia kopii zapasowych, jak też wymusiło na dostawcach wprowadzenie nowych rozwiązań, takich jak niezmienne kopie zapasowe (immutable backup) czy „air gap”, a więc galwaniczna izolacja nośnika z kopią od środowiska podstawowego.

– Na rynku przetwarzania i zabezpieczania danych nieustannie obserwujemy powstawanie nowych standardów, co jest pochodną takich zjawisk jak dojrzewanie różnych technologii czy częste migracje środowisk. Są to realne wyzwania, z którymi musimy się mierzyć – podkreśla Paweł Mączka, CTO Storware’u. – Dla przykładu, kontenery wymagają odrębnej strategii backupu, a Microsoft 365 co jakiś czas ma zmieniane Graph API. Wszechstronność i elastyczność w reagowaniu na zmiany w tym obszarze jest nie do przecenienia.

Warto przy tym zwrócić uwagę na fakt, że nadal wielu klientów zakłada, iż aplikacje działające w chmurze są chronione przez dostawców usług, chociaż tak nie jest. Świadomość usługobiorców na temat potrzeby ochrony danych przetwarzanych przez SaaS powinna sukcesywnie rosnąć, tym bardziej, że na rynek trafia coraz więcej produktów.

Pewne zmiany widać w segmencie produktów przeznaczonych do backupu maszyn wirtualnych. Lwia część firm przez długie lata wykorzystywała do wirtualizacji serwerów jedno z dwóch rozwiązań, czyli VMware vSphere lub Microsoft Hyper-V. Obecnie bardzo popularne staje się stosowanie przynajmniej dwóch hiperwizorów, co najczęściej wynika z szukania oszczędności. Już od kilku lat na fali znajdują się bazujące na otwartym źródle narzędzia do wirtualizacji serwerów, takie jak Red Hat Virtualization, Proxmox, Virtuozzo czy XenServer, albo wręcz darmowe, jak oVirt. Spore zróżnicowanie środowisk informatycznych stawia nowe wyzwania przed dostawcami narzędzi do backupu. Zdecydowanie lepsze perspektywy rysują się przed producentami oferującymi narzędzia kompatybilne z kilkoma hiperwizorami. Jak na razie pod tym względem wyróżniają się Commvault oraz Storware.

Klamrą niejako spinającą różne obszary ochrony danych są platformy konsolidujące procesy związane z tworzeniem kopii zapasowych, archiwizacją, a także przechowywaniem plików i obiektów oraz analityką biznesową. Tego typu systemy chronią dane znajdujące się zarówno w środowisku lokalnym, jak i chmurze. To ciekawa propozycja dla przedsiębiorstw oczekujących kompleksowej ochrony danych i przyzwoitej wydajności. Jednak część ekspertów zwraca uwagę na pewną słabość takich rozwiązań, która jest następstwem dążenia do zapewnienia perfekcyjnej stabilności. Klienci z reguły stawiają na wypróbowane i dokładnie przetestowane rozwiązania zamiast na najświeższe nowinki. Poza tym nie jest to oferta dla małych i średnich firm, o ograniczonych budżetach IT.