Где и когда использовать решения Endpoint Detection and Response?

Москва, 18.12.2017

«Антивирус умер», «одного антивируса недостаточно», «современные ОС в достаточной степени защищены» - все эти лозунги мы слышим на протяжении многих лет. Кибератаки становятся всё более изощрёнными, а разнообразие и количество средств защиты растет с каждым годом.

На Западе класс решений Endpoint Detection and Response находит практическое применение уже довольно давно, тогда как на российском рынке, это пока что лишь предмет обсуждения, нежели реально используемый инструмент.

Так что же такое EDR? Где его использовать? Как выбрать подходящее решение?

Статья Алексея Калинникова, менеджер по развитию направления информационной безопасности COMPAREX

Технология

Gartner определяет Endpoint Threat Detection and Response как инструмент для детектирования и расследования подозрительных активностей (и их следов) на конечных точках. Таким образом, этот класс решений может быть отнесен к продуктам семейства Advanced Threat Protection.

Архитектурно схема работы решения выглядит следующим образом: агент на конечной точке отслеживает события на уровне системы и сети, и либо отправляет информацию о них на сервер или облако для дальнейшего анализа, либо локально проводит анализ, позволяя оперативно отреагировать на обнаруженные угрозы. Технологии машинного обучения и поведенческого анализа, а также интеграция c потоками Threat Intelligence, позволяют выявлять неизвестные угрозы и предоставлять расширенные инструменты для расследования инцидентов и построения отчётов.

Среди функций, которыми обладаю практически все EDR:

● Обнаружение и предотвращение скрытых процессов, которые являются более сложными, чем простая сигнатура или шаблон, и легко обходят классический антивирус


● Полный обзор конечной точки, включая приложения, процессы и коммуникации для обнаружения вредоносной активности и упрощения реагирования на инциденты безопасности


● Автоматизация оповещений, а также защитных мер, таких как отключение определенных процессов в том случае, когда атака обнаружена


● Информация для расследования инцидентов, потому что, когда атакующий находится внутри сети, необходима как можно более полная информация о его действиях для понимания следующего шага и минимизации последствий.

Интеграция


Обычно решения EDR выступают как самостоятельный продукт, либо как часть платформы Anti-APT, интегрируясь с песочницами и обеспечивая более высокий уровень детектирования подозрительной активности и возможность активного реагирования на инциденты.

Сегодня уже невозможно представить инфраструктуру крупной компании без SIEM-системы. SIEM являются ядром Security Operation Center и одним из основных рабочих инструментов офицера безопасности. EDR могут существенно обогатить информацией SIEM-систему, предоставляя дополнительные возможности для мониторинга и проведения расследований.


Как повлияет агент EDR на производительность системы?

Что касается нагрузки на рабочую станцию, решения EDR без проблем работают совместно с продуктами класса Endpoint Protection, не оказывая существенного влияния на производительность системы. Гибкость настройки позволяет управлять параметрами агента, адаптируя решение под разные среды.

Нужен ли EDR, если уже используется сетевая песочница?

EDR работает на уровне рабочей станции, позволяя отследить процессы, приложения и поведение файлов на более глубоком уровне, а также опционально принять меры для предотвращения вредоносной активности. Во многие решения уже встроены механизмы, которые позволяют эффективно противодействовать шифровальщикам, поэтому оптимальным будет использование связки EDR+песочница.

Насколько эффективны подобные решения?

Естественно, одной установки программного обеспечения недостаточно. Важно, как EDR впишется в вашу модель реагирования на инциденты. Подходы к реагированию могут отличаться в зависимости от индустрии компании, зрелости системы информационной безопасности, и других факторов. Оркестрация технологий при реагировании на инциденты ИБ может существенно повысить эффективность управления инцидентами, снизить риски и возможные потери.


Заключение


Рынок EDR бурно растёт, и это вполне объяснимо. Тема кибербезопасности уже давно вышла на государственный уровень, и последние громкие инциденты говорят о том, что заражение очень часто происходит именно через конечные точки.

Однако, не стоит забывать о том, что наиболее уязвимым звеном по-прежнему остаются не технические средства, а люди. К примеру, недавнее расследование деятельности преступной группы MoneyTaker, проведенное компанией Group-IB, свидетельствует о том, что злоумышленники получили доступ к корпоративной сети банка через личный компьютер системного администратора. Поэтому, тренинги по безопасности и повышению осведомленности сотрудников, а также симуляции фишинговых атак, являются неотъемлемой частью процесса обеспечения безопасности в крупных организациях. 

Только грамотно выстроенная многоуровневая система защиты может эффективно противостоять новым сложным угрозам, и решения EDR могут стать одним ключевых элементов этой системы.

Будьте в курсе

Всегда актуальные новости и статьи COMPAREX на нашей странице в LinkedIn:

 Подписаться на COMPAREX в LinkedIn

Оставьте комментарий

У вас есть вопрос или замечание по данной статье, и вы хотите поделиться с нами?
 Оставить комментарий