Cortex xdr что за программа
Скидка до 70% на оборудование Palo Alto Networks™
Palo Alto Networks™ объявила о грандиозной скидке до 70% по программе Ultimate Threat Protection Bundle 2.0. Узнайте больше у наших менеджеров и не упускайте выгоду.
Palo Alto Networks™ – один из мировых лидеров в сфере информационной безопасности
Palo Alto Networks™ – один из мировых лидеров в сфере информационной безопасностиКопроративная безопасность
Облачная безопасность
Пакет Prisma™ надежно защитит вашу облачную инфраструктуру, приложения SaaS, интернет-ресурсы и данные пользователей мобильных устройств. Это полный набор служб безопасности для эффективного предотвращения угроз и автоматического реагирования на вторжения.
Безопасность операций
Cortex™ – платформа постоянной защиты на базе искусственного интеллекта и новый уровень облачной безопасности. Приложения Cortex базируются на ядре Cortex Data Lake™, что упрощает подготовку отчетов и аналитику как всей сети, так и отдельных ее узлов.
Бесплатный пилотный проект
В ходе пилотного проектов мы внедряем в инфраструктуру вашей компании тестовой устройство, чтобы дать вам возможность оценить возможности наших решений. В ходе работы пилотного проекта вы сможете увидеть события в сети, которые ранее были скрыт от ваших глаз.
Ultimate Test Drive by Palo Alto Networks™
Доступ к облачной лабораторной работе
Доступ к учебным материалам по решениям
Консультации инженеров
Программа тест-драйва
Онлайн лабораторная работа, где вы узнаете как система Traps предотвращает эксплуатацию уязвимостей и заражение вредоносным кодом. Также мы рассмотрим, как платформа кибербезопаности нового поколения Palo Alto Networks автоматически преобразует данные Threat Intelligence в методы предотвращения.
Вы получите онлайн доступ к настройка и научитесь создавать политики для безопасного контроля приложений, основанные на пользователях и группах, разрешать отдельные функции приложений, запрещая остальные, а также настраивать политики, которые расшифровываются, инспектируют и разрешают использование SSl
На этом этапе обучения вы научитесь защищать пользователей от атак с помощью VM-Series next-generation firewall и усовершенствованной защитой конечных точек Traps; Предотвращать угрозы с помощью службы предотвращения вредоносных программ Wildfire и службы контекстной проверки угроз AutoFocus; Защищать приложения SaaS с помощью Prisma ™ SaaS и автоматизировать обнаружение и расследование с помощью Cortex XDR и Cortex Data Lake на платформе Cortex.
На этом онлайн–воркшопе Вы познакомитесь с компонентами расширения Prisma Access, включая фильтрацию URL-адресов, Threat Prevention и WildFire®; Ключевыми архитектурными решениями при планировании и развертывании; Основными настройками сервиса и конфигурациями для удаленных пользователей.
Palo Alto Networks Cortex XDR. Лучший подход к детекции и реагированию на инциденты
Это перевод статьи Palo Alto Networks, оригинал доступен по ссылке.
Для многих организаций SOC является первой линией защиты от всех угроз, известных и неизвестных. Основная функция этой структуры заключается в выявлении, расследовании и устранении последствий угроз по всему цифровому пространству организации. Поскольку злоумышленники все больше автоматизируют и усложняют свою деятельность, эксперты ИБ полагаются на многоуровневый подход к предотвращению атак.
Этот подход включает в себя внедрение таких технологий, как детекция и реагирование на конечных точках (Endpoint Detection and Response, EDR), поведенческая аналитика (User and Entity Behavioral Analytics, UEBA) и анализ сетевого трафика (Network Traffic Analysis, NTA) для обеспечения мониторинга и понимания происходящего в среде организации. Кроме того, команды SOC обычно используют технологии оповещения и сбора журналов, такие как Security Information Event Management (SIEM) для определения политик, корреляции событий и приоритизации инцидентов. Наконец, необходимо как-то связать сгенерированные алерты с информацией, чтобы оперативнее расследовать и устранять угрозы, для чего применяются решения Security Orchestration, Automation and Response (SOAR).
Этот многоуровневый подход к предотвращению требует значительных затрат и наличия профессионального опыта, а также занимает много времени. Многие команды SOC не способны обрабатывать большое количество алертов. По статистике, в среднем SOC может получать 174.000 алертов в неделю. Поскольку численность сотрудников департаментов ИБ не бесконечна, математика не сходится. Команды ИБ могут полагаться на более чем 40 точечных продуктов для расследования и устранения атак, которые могут генерировать более 200 кейсов (инцидентов) в день. Это создает эффект «вращающегося кресла», который заставляет группы безопасности тратить время на ручное внесение данных и реагирование на алерты, а не на проактивный подход и предотвращение атак.
В среднем, требуется 197 дней, чтобы идентифицировать сетевой взлом, и 69 дней, чтобы отреагировать на него. Неудивительно, что новости о взломах имеют такой приоритет в прессе. Средняя стоимость взлома в США в 2018 году оценивалась в 7,91 миллиона долларов.
Эксперты ИБ заслуживают лучшего подхода, который избегает сложности и ограничения точеных инструментов, таких как EDR, UEBA или NTA. Подход, который может объединить разные инструменты и источники данных и помочь командам ИБ на всех этапах — обнаружение аномалий, проверку алертов (триаж), расследование инцидентов и поиск угроз. Этот идеальный подход будет:
Это совершенно новый подход, называемый XDR, резко отличающийся от традиционной категории обнаружения и реагирования. «X» обозначает любой источник данных, будь то сеть, конечная точка или облако, с акцентом на резкое увеличение производительности каждого члена команды ИБ благодаря автоматизации. Конечная цель состоит в том, чтобы решения этой категории сокращали среднее время на обнаружение угроз и реагирование на них, не повышая загруженность кого-либо в команде.
Чтобы узнать больше об инновационном подходе XDR, вы можете изучить этот обзорный документ, который рассказывает о том, как XDR может помочь вывести ваш SOC на новый уровень.
Вы можете узнать подробности и протестировать решения Palo Alto Networks, обратившись в компанию Тайгер Оптикс.
Об авторе
Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.
Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.
Cortex XDR
Cortex XDR – это быстрый способ обнаружения, расследования и реагирования на угрозы. Объединяя аналитику с сетевых устройств, хостов и из облаков, решение позволяет вовремя распознавать и блокировать скрытые и сложные атаки
Современным службам безопасности зачастую не хватает понимания происходящего и инструментов автоматизации для успешного предотвращения атак. Точечные продукты, например, системы детектирования и реагирования на хостах (EDR) и анализа сетевого трафика (NTА) агрегируют большие объемы информации. Они вынуждают аналитика использовать множество консолей для обнаружения угроз, что повышает сложность работы и замедляет расследования. Сталкиваясь с отсутствием специалистов по кибербезопасности, специалисты ИБ вынуждены упрощать процессы или затрачивать огромные усилия для проведения расследования и сдерживания атак.
Что такое Cortex XDR
Cortex XDR – это первое в мире решение для предотвращения сложных атак, в которое изначально интегрированы данные о сети, конечных устройствах и облаках. Эффективно используя поведенческую аналитику, Cortex XDR определяет неизвестные и трудно выявляемые атаки. Машинное обучение и модели искусственного интеллекта определяют угрозы, исходящие из любых источников, включая управляемые и неуправляемые устройства.
Cortex XDR упрощает расстановку приоритетов угрозам и повышает скорость реагирования на инциденты, предоставляя полную картину по каждой угрозе и автоматически определяя исходную причину (root cause) такой угрозы. Объединяя различные типы данных и упрощая анализ, Cortex XDR снижает время реагирования на инциденты, а также требования к знаниям и опыту, необходимому для осуществления операций по анализу и хантингу угроз. Тесная интеграция с сервисом защиты конечных точек позволяет быстро реагировать на угрозы, а также применять знания, полученные в результате расследования, для обнаружения схожих атак в будущем.
Защита от известных и неизвестных угроз с помощью Тrарs
Безопасность начинается с надежного предотвращения угроз. Сервис Traps для защиты конечных устройств, встроенный в решение Cortex XDR, использует комплексные методы предотвращения атак для защиты конечных точек от вредоносного ПО и эксплойтов. Traps и Cortex XDR позволяют последовательно предотвращать, обнаруживать и реагировать на угрозы, которым могут подвергаться цифровые активы. Встроенная интеграция с облачным сервисом анализа угроз WildFire позволяет скоординировано предотвращать угрозы на сети, конечных устройствах и в облаках.
Меняем подход SOC к сложным угрозам с помощью Cortex XDR
Palo Alto Networks предлагает рассмотреть новый подход к защите от наиболее сложных и нацеленных угроз, основанный на сервисе Cortex XDR. Этот подход призван снизить нагрузку на аналитиков SOC, повысить скорость обнаружения и реагирования на угрозы и способен выявлять атаки по всей инфраструктуре.
Целью любой команды безопасности является защита инфраструктуры и данных организации от повреждения, несанкционированного доступа и неправильного использования. Архитекторы и инженеры безопасности обычно используют многоуровневый подход к предотвращению вторжений. Поскольку атаки стали более автоматизированными и сложными, подход к защите стал включать уровни визуализации, продукты обнаружения и реагирования, такие как защита конечных точек от сложных угроз — Endpoint Detection and Response (EDR), анализаторы сетевого трафика — Network Traffic Analysis (NTA) и системы управления инцидентами ИБ Security Information and Event Management (SIEM).
Много времени и опыта было потрачено для визуализации по слоям. Разрозненные продукты обнаружения и реагирования атак создают множество сообщений, требующие большего профессионального опыта и навыков для решения проблем. Бесконечный цикл и поток сообщений об инцидентах ИБ, множество инструментов и информации для аналитической работы, всё больше и больше времени требуется для обнаружения вторжений, и в результате, команда безопасности сталкивается с выгоранием, при этом затраченного времени оказывается недостаточно. Чем больше мы реагируем, тем больше отстаем.
Архитектура современного SOC
Многие организации борются с одной и той же проблемой: как мы можем перейти от реагирования на входящие алерты к активной защите и повысить показатели предотвращения угроз?
Palo Alto Networks предлагает рассмотреть новый подход, который приносит пользу всей команде безопасности, а не обременяет её, упрощает текущую деятельность и предоставляет средства для быстрого обнаружения и реагирования на самые сложные угрозы во всей инфраструктуре.
Сегодняшний подход: решение одной проблемы создает другие
Команды безопасности упорно работают над обеспечением безопасности своих организаций, но сталкиваются с трудностями в своих усилиях по предотвращению нарушений данных. Пять основных проблем включают:
55% команд SOC получают более 10 000 событий в день
К 2022 году нехватка квалифицированных специалистов по ИБ достигнет 1,8 млн. человек
40+ СЗИ применяются в режиме одного пользователя, без интеграции и принимают данные только из одного источника
23% SOC тратят время на поддержание и управление СЗИ, а не на проведение расследований
Среднее время для сдерживания (MTTC) нарушения увеличилось до 69 дней
Команды SOC сталкиваются с пятью основными проблемами
Давайте рассмотрим каждую проблему в деталях.
1. Избыточное количество сообщений
Аналитики безопасности видят слишком много событий, чтобы эффективно справляться с ними. 55% групп безопасности или центров управления информационной безопасности (Security Operations Center — SOC) получают в среднем более 10 000 событий в день1. Однако не все события равны — большинству из них необходимо установить правильный приоритет, соотнести или нормализовать и добавить в пул оповещений. Даже с наличием SIEM, команде SOC сложно проверить эту массу данных, аналитик безопасности должен по-прежнему увеличивать время на сбор данных в ручном режиме, выполнять анализ и отсеивать ложные срабатывания очень быстро, чтобы не пропустить самые важные и критические предупреждения. Слишком часто аналитики становятся жертвами рутинной работы, когда они отфильтровывают предупреждения, основанные на предыдущих предположениях или на огромной массе данных. Из-за переизбытка количества оповещений 54% специалистов по безопасности игнорируют оповещения, которые следует расследовать2.
2. Нехватка квалифицированных кадров
Сочетание слишком большого количества предупреждений, сложных расследований и слишком малого количества аналитиков приводит к проблеме ошибок из-за человеческого фактора, создает эффект снежного кома в дальнейшем. Из-за недостатка достоверной информации предупреждения делаются с ошибочным приоритетом, что приводит к увеличению объема работы для группы расследования инцидентов, которым требуется помощь группы быстрого реагирования для выполнения рабочей нагрузки.
3. Разрозненные инструменты со слишком узким фокусом
Увеличение арсенала инструментов является одним из способов решения множества проблем, позволяя принимать более быстрые и обоснованные решения, но инструментов слишком много. Большинство инструментов безопасности были разработаны для устранения конкретных технологических пробелов без учета того, как эти инструменты должны работать в операционной среде, и часто не соответствуют целям группы безопасности по обеспечению целостного видения и предотвращения инцидентов ИБ. При недостаточной интеграции с приемом данных только из одного источника, эти инструменты приносят ценность только для тех, кто имеет специализированные навыки в команде безопасности, и не предоставляют никакой ценности, и даже служат источником перегрузки, для других участников.
Некоторые инструменты эффективные, но при этом имеют ограничения:
Все эти использовании UEBA наблюдается достаточно высокий уровень ложных срабатываний, что дополнительно увеличивает нагрузку на аналитиков.
4. Круговорот рутины при расследованиях
Обнаружение сложных атак требует корреляции данных из любой точки цифрового пространства организации. Поскольку большинство инструментов, которые помогают обнаружению и реагированию, основаны только на одном источнике данных, например, рабочей станции, они пропускают важные сообщения из других не менее важных источников, оставляя команде безопасности выполнять тяжелую работу по проверке угроз. При работе в SOC типичной крупной организации, использующей более сорока инструментов, каждый из которых работает независимо, аналитики оказываются в режиме “дикого круговорота рутинных операций”: они переключаются с экрана на экран, пытаясь собрать воедино и сделать верные выводы из потока информации, чтобы они могли смягчить реальные угрозы. Если бы данные коррелировались, это могло бы обеспечить целостное представление об окружающей среде, но это потребовало бы нормализации, сопоставления даты/времени/события и понимания методов расследования во многих областях, таких как сети и рабочие станции. Это не простое дело, и сегодня это приходится делать вручную.
5. Время работает против вас
Величайшая ценность из всех — время. Чем быстрее будет выявлена угроза, тем больше шансов на её сдерживание. Пока команды борются с завалами из уведомлений, проблемами с ресурсами и отсутствием корреляции, они рискуют пропустить трудноопределимые важные предупреждения, которые становятся крупными инцидентами, им просто не хватает времени для поиска неизвестных угроз. В среднем, проходит более шести месяцев между тем, когда происходит утечка данных и тем, когда она впервые была идентифицирована,4 и это “время задержки” увеличивается. Среднее время идентификации (MTTI) выросло со 190 дней в 2017 году до 197 дней в 2018 году, а время реагирования, измеряемое, как среднее время сдерживания (MTTC) — выросло с 66 дней в 2017 году до 69 дней в 2018 году.5
Все это происходит в то время, когда организации используют EDR, NTA и UEBA и всецело полагаются на SIEM, тратя почти 60% бюджета на безопасность.6 Даже с помощью этих инструментов аналитики тратят значительное количество времени на задачи в ручном режиме, такие как написание запросов, сопоставление уведомлений с данными журнала и сбор информации из разных источников. Неудивительно, что при таком постоянном массиве работ лишь у немногих команд безопасности есть время сосредоточиться на критических задачах, таких как выявление сложных угроз, глубокое мышление и решение неявных проблем безопасности, которые даже умные программы и автоматизация не могут разгадать.
В SOC тоже нужны улучшения
Команде SOC нужен подход, который эффективно решает все вышеупомянутые проблемы. Это требует нового подхода, который может помочь SOC на всех стадиях операций — сортировка оповещений, расследование инцидентов, поиск угроз — чтобы помочь быстро завершить расследование, независимо от типа угрозы. С практической точки зрения идеальный подход должен:
XDR поднимает обнаружение и ответную реакцию на новый уровень
Palo Alto Networks внедряет прорывной подход к операциям безопасности путем повышения визуализации, а также скорости обнаружения угроз, расследования и принятия решений. Это называется XDR, эволюция обнаружения и реагирования. «X» означает любой источник данных, будь то сеть, рабочая станция или облако, с акцентом на увеличение производительности SOC с помощью автоматизации. Полная визуализация обеспечивает целостную картину деятельности организации, связывая данные из нескольких источников, так что более нет ручной корреляции данных и угрозам негде скрыться. Источники из внешних данных, таких как уведомления безопасности и глобальная аналитика угроз, объединяются чтобы было реальное понимание ситуации. Автоматизация объединяет критические данные на одном экране, делая выводы для аналитиков безопасности, и, делая за секунды то, что обычно занимает часы даже у сотрудников с многолетним опытом. В результате упрощаются расследования в рамках операций по обеспечению безопасности, сокращается время, необходимое для обнаружения, поиска, расследования и реагирования на любую форму угрозы.
Поиск скрытых угроз становится быстрее с помощью анализа сети, облачных технологий и конечных устройств
Упрощает расследования и реакцию на известные и неизвестные угрозы
Cortex XDR
Cortex XDR – расширенная платформа обнаружения и реагирования (EDR) от компании Palo Alto Networks, охватывающая конечные точки, сети и облака.
С помощью машинного обучения Cortex XDR непрерывно профилирует поведение конечных точек, сети и пользователей, чтобы выявлять самые скрытые атаки. Платформа позволяет блокировать вредоносные программы, изолировать конечные точки, выполнять скрипты или осуществлять поиск по всей среде для сдерживания угроз. Cortex XDR предлагает гибкие варианты ответа, охватывающие всю инфраструктуру предприятия.
Встроенный антивирус нового поколения блокирует вредоносное ПО, эксплоиты и бесфайловые атаки с помощью самого полного в отрасли стека защиты конечных точек. Легковесныйагент блокирует угрозы, сочетая локальный и облачный анализ на основе искусственного интеллекта.
Cortex XDR – расширенная платформа обнаружения и реагирования (EDR) от компании Palo Alto Networks, охватывающая конечные точки, сети и облака.
С помощью машинного обучения Cortex XDR непрерывно профилирует поведение конечных точек, сети и пользователей, чтобы выявлять самые скрытые атаки. Платформа позволяет блокировать вредоносные программы, изолировать конечные точки, выполнять скрипты или осуществлять поиск по всей среде для сдерживания угроз. Cortex XDR предлагает гибкие варианты ответа, охватывающие всю инфраструктуру предприятия.
Встроенный антивирус нового поколения блокирует вредоносное ПО, эксплоиты и бесфайловые атаки с помощью самого полного в отрасли стека защиты конечных точек. Легковесныйагент блокирует угрозы, сочетая локальный и облачный анализ на основе искусственного интеллекта.