WatchGuard ThreatSync

eXtended Detection and Response (XDR). O čem to vlastně je?

Nejdříve obecná terminologie napříč výrobci

Co je EDR?

Endpoint Detection & Response (EDR – ochrana koncových stanic; obecný termín) poskytuje organizaci možnost monitorovat podezřelé chování počítačů a serverů a zaznamenávat aktivity a běžící procesy na těchto koncových bodech. Nasbírané informace koreluje, čímž získá kontext, který zpřesní detekci zejména pokročilých hrozeb. V neposlední řadě dokáže automaticky reagovat, například izolací infikovaného koncového bodu.

Co je XDR?

EXtended Detection & Response (XDR; obecný termín) je evolucí EDR. Zatímco EDR pracuje pouze s koncovými body, XDR má mnohem větší rozsah. Umí totiž monitorovat, analyzovat a reagovat i na úrovni sítí, serverů, cloudu, identit, SIEM atd. XDR má tedy více informací, z různých míst a úrovní sítě, tím pádem lépe vnímá kontext, a tak rychleji a přesněji reaguje na incidenty. To nejdůležitější – vše funguje jen na jedné platformě a je spravováno z jednoho místa.

Jak se liší XDR od SIEM?

Mluvíme-li o XDR, někdo si myslí, že pouze jinak popisujeme SIEM (Security Information & Event Management; obecný termín) nástroje. Ale XDR a SIEM jsou dvě rozdílné věci. SIEM sbírá, agreguje a analyzuje velká množství logů a událostí napříč infrastrukturou z každého zařízení. Pro správnou činnost je třeba jej správně nastavit, přičemž kvůli objemu logů není jednoduché se dostat ke konkrétní informaci anebo ji nepřehlédnout. Tyto nevýhody řeší XDR a přidává schopnost analýzy chování hrozeb s přímou vazbou na centrální databázi hrozeb.

Jak se liší XDR od SOAR?

SOAR (Security Orchestration & Automated Response; obecný termín) platformu používají velké společnosti zaměřené na bezpečnost pro řízení incidentů a reakcí v rámci komplexního ekosystému složeného z více výrobců, typicky prostřednictvím API rozhraní. Jedná se o velmi složitý, nákladný a z pohledu obsluhy náročný systém. XDR lze považovat za jeho velmi odlehčenou verzi.

A nyní již zaměřeno na WatchGuard

Co je to ThreatSync?

První verze ThreatSync (cloudový korelační systém pro analýzu událostí z firewallů a koncových stanic; proprietární název) byla spuštěna v roce 2017. Po pěti letech je spuštěna nová verze ThreatSync jako součást hromadné bezpečnostní platformy WatchGuard. ThreatSync nejenže na jedno místo sdružuje správu celého portfolia a propojuje jej navzájem, ale také sem směruje veškeré informace o bezpečnostních incidentech z naší sítě i celého světa, čímž se dostává na úroveň XDR.

• Poskytuje uživatelské rozhraní pro správce sítě a efektivní práci s incidenty.

• Prezentuje detekované hrozby z firewallů a koncových stanic (MFA a Wi-Fi produkty později).

• Koreluje události, aby bylo možné odhalit další hrozby díky kontextu.

• Dává možnost reagovat preventivně automaticky nebo manuálně.

ThreatSync jako nativní cloudová aplikace, zahrnuje všechny funkce Threat Detection & Response (TDR; proprietární název), ale způsobem jako v případě WatchGuard EPDR nebo EDR, s možností dalšího propojení s DNSWatchGo, AuthPoint nebo Wi-Fi v budoucnu.

Co se stane se současnou licencí Total Security Suite (TSS)?

Služba TDR, resp. Host Sensor, je nyní funkčně povýšena na službu EDR Core, která ji v rámci TSS licence nahrazuje. Takže zákazník dostane navíc XDR funkce a o nic nepřichází, ba naopak.

Jak mohu pořídit a využívat ThreatSync?

Existují dvě možnosti, a sice koupit Firebox v licenci TSS (v rámci níž máme EDR Core) anebo pořídíme samostatně dostupné služby EPDR či EDR.

Co je to EDR Core?

WatchGuard povyšuje WatchGuard TDR, včetně klientů – Host Sensor, za službu EDR Core. Jedná se o transformaci funkcí ochrany koncových stanic do konceptu plnohodnotného EDR. Stejně jako TDR doplňovalo tradiční antiviry, EDR core v tomto pokračuje, navíc ale prohlubuje možnosti ochrany na úrovni XDR s provázáním na ThreatSync, takže bude možné efektivně reagovat i na:

• bezsouborové hrozby,

• zero-day útoky,

• evazivní malware,

• pokročilý ransomare.

Jak mohu pořídit EDR Core?

EDR Core je součástí licence TSS, čili stejně jako dříve TDR, je spjato s boxem a nelze jej pořídit samostatně. Toto povýšení je zdarma. Přechod z Host Sensorů na EDR Core klienty provede administrátor jedním kliknutím v preferovaný okamžik a instalace proběhne zcela automaticky – stačí, aby se stanice s Host Sensorem někdy připojila k internetu.

Bude EDR Core prodáváno samostatně?

Ne. Stávající TDR licence se automaticky přetransformují na EDR Core. Počet EDR Core licencí se liší podle boxu (stejně jako dosud). Není možné dokoupit dodatečné EDR Core licence ke stávajícím v rámci boxu. Pokud usilujeme o tuto funkci samostatně, je třeba vydat se cestou samostatné služby WatchGuard EPP, EDR či EPDR (označení balíčků ochrany koncových stanic).

Mohu kombinovat WatchGuard EPP, EDR, EPDR a EDR Core?

Ne. Vždy bude muset být aktivní jen jedna služba.

Je lepší EDR Core nebo EPP, EDR, EPDR?

Každé je určeno pro jiný scénář. EDR Core umí fungovat v kombinaci s běžným antivirem, protože detekuje a zakročí proti hrozbám, jež mu unikají. Naproti tomu produkty kompletní ochrany koncových stanic EPP, EDR a EPDR již antivirus zcela nahrazují a funkčně jsou nadřazenější. EDR Core nemůže současně fungovat

Co když jsem koupil dodatečné licence pro TDR - Host Sensor?

Automaticky licence přejdou na EDR Core.

Mohu prodloužit dodatečné licence TDR – Host Sensor?

Ne. Od toho je samostatná služba EDR nebo EPDR. Navíc, pokud nyní nebudou stačit licence EDR Core v rámci boxu, nelze dokoupit přímo ty, nýbrž opět EDR, EPDR. Prodloužení licence u starých boxů s Host Sensory zakoupit lze a v takovém případě opět dojde k automatickému povýšení TDR – Host Sensor na EDR Core.

Jak dostat funkce XDR spolu s ThreatSync?

Pořízením:

• Firebox v licenci TSS,

• WatchGuard EDR či EPDR,

• WatchGuard AuthPoint Identity Security (v budoucnu),

• WatchGuard Secure Wi-Fi (v budoucnu).

Čím více produktů máme, tím hlubší síťový náhled a XDR funkce získáme. Jinými slovy, pokud koupím jen samostatný produkt, budu ThreatSync využívat jen omezeně. Pokud ale budeme kombinovat třeba firewall s ochranou koncových stanic, ochranné mechanizmy budou mít více informací (plné využití ThreatSync) a budou schopny zakročit mnohem dříve a efektivněji – jako skutečné XDR.

Jsou nějaké další změny licence TSS?

EDR Core nahrazuje TDR – Host Sensor, za účelem získání funkcí srovnatelných se samostatnou službou WatchGuard EDR. Jinak vše zachováno.

Mohu mít současně v rámci partnerského účtu aktivován Firebox s licencí TSS i EPDR?

Ano, ale! Aktivací TSS licence (tedy Fireboxu) dostáváme i daný počet licencí pro EDR Core. Pro „Subscriber“ účet (běžný koncový zákazník) platí, že aktivací současně i EPDR dojde k vypnutí EDR Core licencí, ale licence TSS pro box dál funguje (jinými slovy vždy bude aktivní jen jedno řešení ochrany koncových stanic). Pro „Provider“ účet licence mohou existovat současně (EDR core i EPDR) v inventáři, ale stejně až je budeme přiřazovat k podřízenému účtu („Subscriber“), si musíme vybrat, co budeme používat – EDR Core nebo EPDR.

Příklad: Mějme Firebox T45 TSS, který disponuje 20x EDR Core. K tomu si koupíme 5x EPDR. V tom případě výkonnější produkt, EPDR, bude fungovat dále a EDR Core bude vypnuto. Pokud mi tedy nestačí počet licencí na ochranu koncových stanic, které jsou v rámci boxu, vyřeším to buď pořízením vyššího modelu boxu, nebo nákupem samostatného balíčku ochrany koncových stanic (třeba EPDR) v počtu všech koncových stanic, které chci chránit.

Jaký je rozdíl mezi TDR – Host Sensor, EDR Core a EPDR?

 

V čem jsou samostatná řešení ochrany koncových stanic lepší, než EDR Core?

Musíme si uvědomit, že účel EDR Core je pochytat zbytek hrozeb, co projde antivirem. Pro svou efektivní činnost ale AV potřebuje, aby udělal nutné „hrubé sítko“. Firebox disponuje konvenčním i inteligentním AV, tam je symbióza s EDR Core. Pokud je stanice však mimo firewall, měla by mít rezidentní AV, jinak EDR Core nenaplní svůj potenciál. EPP, EDR a EDPR ale disponují větším portfoliem obranných mechanizmů jako:

• Zakročení v případě infekce.

• Zero-Trust aplikační kontrola. Čili projde jen to, co víme, že je v pořádku a zbytek nikoliv.

• Služba proaktivního vyhledávání hrozeb. Indikátory útoku jsou zobrazeny v ThreatSync.

• Rezidentní next-gen AV (firewall, URL filtering, stínové kopie a ochrana mobilních zařízení).

• Patch management.

• Šifrování disku.

 

 

description: ; keywords: ;