Муслим Меджлумов
От VPN к ZTNA, от IDPS к XDR:
куда движется кибербезопасность
Директор по продуктам и технологиям компании BI.ZONE
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
В последние несколько десятилетий подходы к обеспечению кибербезопасности в корпоративной среде заметно эволюционировали: как в части мониторинга сетевого трафика и его защиты, так и в части организации удаленного доступа к корпоративным ресурсам. Когда-то необходимую видимость и контроль можно было обеспечить одной лишь системой обнаружения и предотвращения вторжений (intrusion detection and prevention system, IDPS), а технологии удаленного доступа (remote access VPN) были уделом ограниченного числа сотрудников.
Сегодня наблюдается сдвиг от периметроцентричной безопасности к более гибким, адаптивным моделям, таким как zero trust network access (ZTNA) и extended detection and response (XDR).
Однако с изменением архитектуры корпоративных сетей, увеличением объема шифрованного трафика, распространением мобильных устройств и переходом к гибридным моделям работы стало очевидно, что традиционные подходы в современных реалиях не способны с необходимой эффективностью справляться с новыми вызовами. В этой статье я дам прогноз: какие изменения в сфере, связанные с этими технологиями, стоит ожидать в ближайший год, а какие — в среднесрочной перспективе трех лет.
ZTNA: развитие технологии и прогноз на ближайший год
ZTNA реализует риск-ориентированный подход, позволяя непрерывно оценивать состояние защищенности устройства удаленного пользователя и запрашивать решение предоставить доступ в соответствии с уровнем риска. По оценке команды BI. ZONE Threat Intelligence, 27% атак в 2023—2024 гг. было реализовано через VPN и средства удаленного доступа. Это говорит о необходимости качественного контроля такого канала взаимодействия пользователей с ИТ-инфраструктурой и актуальности перехода на ZTNA.
Как компании реализуют ZTNA: подходы и сложности
Сейчас нет устоявшегося архитектурного подхода в реализации ZTNA, и производители могут трактовать его по-разному. На Западе под ZTNA все чаще понимается организация безопасного доступа к корпоративным ресурсам через прокси-сервер, который публикует внутренние ресурсы и обеспечивает управление политиками безопасности с применением принципов zero trust. В то же время в российском сообществе кибербезопасности принято рассматривать ZTNA как логическое продолжение и эволюцию сетевого доступа по технологии remote access VPN.
Несмотря на доступность технологии, переход от традиционного подхода к ZTNA также требует времени от организаций, так как сопряжен с пересмотром архитектуры и дополнительными интеграциями.
Зарубежные производители NGFW (next generation firewall) достаточно быстро доработали функциональность своих продуктов и реализовали необходимые элементы принципов zero trust в компоненте удаленного доступа, предоставив их заказчикам по всему миру. После ухода ряда крупных зарубежных игроков с 2022 годана российском рынке образовался вакуум, т. к. не было собственных решений, которые бы включали необходимый набор возможностей ZTNA, в том числе: remote access VPN, многофакторную аутентификацию, identity firewall и posture-проверки. Сложность в закупке развитых зарубежных NGFW, а также необходимость импортозамещения создали возможность для российских игроков занять освободившуюся нишу. Но в первую очередь они должны были решить базовые задачи, отодвинув развитие ZTNA на более поздний срок.
В последние пару лет российским заказчикам ничего не оставалось, кроме как использовать интегрированное решение ZTNA на базе нескольких отечественных вендоров, один из которых отвечал за функции posture-проверок, другой — за remote access VPN. У такого подхода есть ряд недостатков: высокая совокупная стоимость владения, неудобное управление и ограниченные сценарии использования. Сегодня ряд отечественных производителей NGFW приближается к этапу, когда базовая функциональность разработана, стабилизирована и удовлетворяет требования все большего числа заказчиков. Таким образом, в дорожных картах отдается приоритет ZTNA.
Как будет трансформироваться удаленный доступ в 2025—2026 годах
Попробую предположить, что в 2025−2026 годах наряду с переходом на отечественные NGFW заказчики будут стремиться переходить и на встроенные в них remote access VPN, а вендоры, в свою очередь, будут расширять классические возможности удаленного доступа функциями, характерными для технологии ZTNA.
“
На мой взгляд, экосистемные игроки с широкой продуктовой линейкой будут стремиться создать единый агент для конечных точек, который объединит в себе множество функций, таких как ZTNA, EDR, антивирус, DLP, UEBA, DAG и т. д.
Не обязательно включать в состав все функции: это могут быть различные комбинации перечисленного. Но чем меньше разрозненных агентов придется ставить заказчику для решения отдельных задач, тем эффективнее в итоге он будет расходовать вычислительные ресурсы хоста. И тем больше получит операционного удобства за счет единой консоли, а также возможностей реализации сложных сценариев обнаружения и реагирования.
Следовательно, корреляционная логика на агенте, в системе управления или в SOAR/XDR сможет учитывать не только выполнение политик безопасности на уровне ОС, но и информацию о выявленных угрозахкаждым из перечисленных модулей. Для наглядности приведу практический пример: при обнаружении аномальной активности на пользовательском устройстве модуль EDR или антивирус в составе единого агента могут завершить VPN-сессию в корпоративной сети.
XDR: эволюция технологии и прогноз на три года
Постепенное развитие IDPS и AV из систем обнаружения и предотвращения положило начало новым классам решений — NTA/NDR и EDR. В отличие от IDPS и AV они не только обнаруживают угрозы по заданным правилам, но и предоставляют инструменты реагирования, а также собирают телеметрию (помимо фактов обнаружения). Решения по защите сети и конечных точек усиливают и дополняют друг друга, а их синергия позволяет гораздо эффективнее решать задачи обнаружения и реагирования.
Однако у пользователя остается проблема: ему приходится работать в разных консолях, самостоятельно собирать цепочку атаки по крупицам из данных сенсоров конечных точек и сети, а также реагировать в разных системах. Здесь на помощь пришли XDR-решения, которые сейчас активно развиваются. В отличие от разрозненных SIEM и SOAR, XDR обеспечивает нативную интеграцию с ограниченным набором решений и готовые кросс-сценарии реагирования на уровнях конечных точек, сети и др.
Как компании разрабатывают XDR и как работает технология
Мы уже видим, как все западные и российские вендоры, в портфеле которых есть как сетевые, таки endpoint-решения, ускоренно разрабатывают XDR решения. Западные начали скупать вендоров SIEM/SOAR, чтобы быстро создать XDR-платформы, российские же пошли по пути самостоятельной разработки. Это набирающий обороты тренд, и он неизбежен.
XDR обеспечивает единое пространство работы с телеметрией и обнаружениями как от сетевых решений, так и от решений конечных точек, а также их взаимное обогащение. Например, в сетевом алерте мы сразу видим процесс-инициатор без необходимости искать соответствующее событие от агента, а в событии сетевого мониторинга агента мы можем сразу увидеть данные глубокого анализа сетевого трафика (заголовки, определение приложения, а в некоторых случаях даже PCAP).
Как будет развиваться XDR на горизонте 2–3 лет
Рассмотрим ключевые направления развития XDR, которые, по моему мнению, будут определять вектор индустрии в ближайшие годы.
- Кросс-обогащениеИнтеграция обнаружений и телеметрии сетевых и endpoint-сенсоров в единое озеро данных XDR-платформы с кросс-обогащением — это то, к чему неминуемо придут все вендоры.
- Кросс-корреляцияСобрав телеметрию разных решений в одну точку, было бы глупо не воспользоваться этим в целях взаимной корреляции. Например, когда на конечной точке запускаются процессы утилит, позволяющие передавать данные, одновременно с уведомлением от сетевого сенсора о большом объеме исходящего трафика с соответствующего хоста — это точный признак эксфильтрации данных. В ближайшие годы вендоры будут наращивать подобные кросс-продуктовые сценарии обнаружения угроз, оперирующие одновременно сетевой телеметрией и телеметрией конечных точек.
- Кросс-продуктовое реагированиеКак уже говорилось, сеть и конечные точки отлично дополняют реагирование. XDR позволяет упростить этот процесс и выполнить все действия из одной консоли. Например, если в рамках анализа сетевого обнаружения надо изолировать хост-источник и убить процесс-инициатор, это можно сделать в том же окне. И наоборот: если, анализируя алерт с конечной точки, мы идентифицировали сетевой индикатор, который нужно заблокировать на сетевом уровне, это также можно сделать в одном окне
- Автоматические сценарииПомимо ручного кросс-реагирования, XDR открывает безграничные возможности для автоматических сценариев, которые без участия аналитика выполнят требуемые действия по заданной логике. Пока российские вендоры не могут похвастаться богатыми библиотеками таких кросс-продуктовых сценариев реагирования. В лабораториях вендоров, помимо устоявшихся практик разработки правил обнаружения, появляются новые классы экспертных данных — сценарии кросс-продуктового XDR-реагирования — и специалисты, которые разрабатывают эти сценарии.
- Идентификация активов по сырой телеметрии, автоматическое наполнение и актуализация их в базахЕще одна возможность, которую XDR-платформам дает интеграция данных от разных сенсоров в одном озере и в одной таксономии. Как раз в актуализации данных заключается проблема классических CMDB. За счет непрерывного анализа потока телеметрии от разных источников в обозримом будущем XDR сможет решить эту проблему. В XDR-решениях уже сейчас появляется такая функциональность, и она будет продолжать развиваться. Речь идет как о повышении точности идентификации активов и актуализации данных, так и об увеличении набора данных инвентаризации, накапливаемых по активу, — все по мере развития телеметрии сенсоров.
- Анализ покрытия инфраструктуры разными СЗИИмея в одном месте телеметрию с сетевых систем безопасности и с конечных точек, можно будет в один запрос проводить анализ, например, живых хостов, на которых нет агента EDR или антивируса, или же не покрытых процессами VM.
- Динамический расчет интегрального индекса защищенностиДинамический расчет интегрального индекса защищенности как отдельных хостов, так и систем, а также инфраструктуры целиком, становится возможным с увеличением количества данных о накапливаемых в XDR активах, а также с расширением возможностей сетевых сенсоров и сенсоров на конечных точках по выявлению атак, уязвимостей и мисконфигураций.
- AI/MLНеминуемо эти технологии будут встраиваться в XDR и по мере развития создавать колоссальные возможности. Начиная с простых ассистентов, помогающих специалистам быстрее принимать решения, и заканчивая агентами, способными автоматически идентифицировать и обрабатывать ложные срабатывания, а с их развитием — выполнять автономное кросс-функциональное реагирование. Такие агенты будут дополнять детерминированные сценарии обнаружения XDR на базе плейбуков рассуждающими моделями, которые смогут принимать решения о расследовании и реагировании, не поддающиеся строгой алгоритмизации
Да, сейчас это может звучать пугающе, но с ростом точности моделей и снижения требований к необходимым для них вычислительным ресурсам эти возможности будут становиться все ближе. С большой долей вероятности уже в течение трех лет мы увидим эпизоды полноценной реализации таких сценариев. Все это говорит о том, что ситуация движется к автономным системам безопасности, но под контролем со стороны человека.
