Cyberprzestępcy drenują portfele przedsiębiorców. W przyszłym roku tylko jeden dzień działalności hakerów ma przynieść w skali globalnej straty w wysokości 21,9 mld dol. – straszą analitycy z Cybersecurity Ventures. Na powyższą kwotę składają się między innymi: uszkodzenie lub całkowite zniszczenie danych, kradzież środków finansowych oraz własności intelektualnej, zakłócenie normalnego toku działalności po cyberataku, dochodzenie kryminalistyczne czy poważny uszczerbek na reputacji. Nie bez przyczyny firmy oraz instytucje przedefiniowują swoją politykę bezpieczeństwa, co wiąże się z inwestycjami w nowe rozwiązania. Jednak tak do końca nie wiadomo, w jakim kierunku pójdą zmiany – unifikacji czy dalszego rozdrobnienia i segmentacji rynku.

Jeszcze niedawno specjaliści toczyli debatę o to, co jest lepsze: czy firewall typu „stateful”, który monitoruje i wykrywa stany całego ruchu w sieci w celu śledzenia i obrony w oparciu o wzorce oraz przepływy ruchu, czy jednak „stateless”, a więc koncentrujący się tylko na pojedynczych pakietach, bazując na ustalonych regułach do filtrowania ruchu. Jednak ta dysputa właściwie straciła na znaczeniu, bowiem sam firewall to stanowczo za mało, aby zapewnić bezpieczeństwo sieci. Firmy muszą sięgać po nowe, bardziej wyrafinowane narzędzia. W przypadku części z nich zaczyna obowiązywać nowa narracja. Jak zapowiadają szefowie działów IT intruzów trzeba jak najszybciej identyfikować i usuwać z firmowej sieci, zanim zdołają wyrządzić szkody.

Tyle teoria. Zupełnie inaczej wygląda to w praktyce – jak wynika z danych IBM dział IT potrzebuje średnio 207 dni, aby wykryć w sieci nieproszonych gości. Co zrobić, aby poprawić ten niechlubny wskaźnik? Optymalnym rozwiązaniem wydaje się być zastosowanie odpowiednich narzędzi służących do wnikliwej analizy infrastruktury IT. Zasadniczy problem polega na tym, że tego typu systemów jest zbyt dużo, co sprawia, że wybór tego najbardziej właściwego stanowi nie lada wyzwanie.

Pojawia się powiem szereg pytań: co jest lepsze, systemy SIEM, SOAR, EDR, XDR, a może NDR; czy są to rozwiązania komplementarne, a może jednak substytuty; kto i kiedy powinien je stosować? A to tylko część pytań, które nurtują użytkowników, ale też integratorów wdrażających systemy służące do monitoringu infrastruktury teleinformatycznej.

Więcej akronimów, więcej zagadek

W segmencie rozwiązań bezpieczeństwa IT mamy do czynienia ze zmianą generacji. Wprawdzie proces ten nie postępuje w jakimś szaleńczym tempie, ale jest widoczny. W ostatnim czasie na fali wznoszącej znajdują się systemy EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) czy CDR (Cloud Detection Response). Każdy z tych produktów jest przeznaczony do ochrony innego obszaru infrastruktury IT. EDR zabezpiecza urządzenia końcowe i serwery, zaś XDR uwzględnia również dodatkowe systemy, w tym pocztę elektroniczną czy firewalle nowej generacji.

Jak się łatwo domyślić, wielu klientów gubi się w labiryncie ofert. Nie jest to jednak największy problem. Nowe narzędzia stały się na tyle zaawansowane, że ciężko znaleźć specjalistów do ich obsługi. Często też nie do końca wiadomo, co kryje się pod danym akronimem, co w dużej mierze jest „zasługą” marketerów, którzy lubią żonglować terminami i nadinterpretowywać pewne pojęcia. Nieco więcej o efektywności produktów mogą powiedzieć wskaźniki średniego czasu wykrycia incydentu (mean time to detect – MTTD) i średni czas reakcji (mean time to respond – MTTR). Na ich podstawie można ocenić wartość rozwiązań i inwestycji.

Ważna jest też kwestia, na podstawie jakich danych wejściowych przeprowadza się analizy i gdzie mają miejsce. Przykładowo EDR robi to na urządzeniach końcowych, a NDR (Network Detection and Response) szuka zagrożeń analizując dostarczaną kopię ruchu sieciowego.

– Duże przedsiębiorstwa oraz dostawcy usług bezpieczeństwa powinni brać pod uwagę jak najszerszy zakres danych wejściowych do analizy, ponieważ celem jest wysoka skuteczność w wykrywaniu zaawansowanych ataków. Dlatego im większa firma, tym więcej ruchu, obszarów ryzyka i typów urządzeń końcowych. W większości przypadków NDR, XDR czy EDR mogą być rozwiązaniami komplementarnymi, ale jak zwykle bywa, diabeł tkwi w szczegółach – mówi Paweł Rybczyk, Area Sales Manager CEE/CIS w Gatewatcher.