Cloud Networks • Информационная безопасность • EDR — обнаружение и реагирование на угрозы конечной точки

Технология EDR

Endpoint Detection and Response (EDR) – продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз. Технология сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени и решает проблему постоянного мониторинга и реагирования на сложные угрозы.

EDR постоянно контролирует конечные точки, обеспечивая быстрое реагирование и немедленный ответ. Решение осуществляет мониторинг событий конечной точки и сети. Информация записывается в центральную базу данных, где происходит анализ, составление отчетности и дальнейшие исследования.

Система для сбора данных о конечных точках повышает уровень защиты пользователей, работающих за пределами защиты периметра компании, а также защищает от бесфайловых и других видов атак и даже зараженных USB-накопителей. Чтобы устранить недостатки в безопасности корпоративной сети, организации развертывают решения для обнаружения и реагирования конечных точек (EDR) в качестве дополнения к существующим средствам защиты.

Разница между EPP и EDR

Защита конечных точек (EPP) направлена ​​на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.

Например, если вторжение уже произошло, хакер может незаметно украсть важные данные. Точно так же регистраторы ключей или новые формы программ-вымогателей могут обмениваться данными с серверами управления и контроля без ведома кого-либо. То есть EPP необходима, но очень ограничена.

В отличие от EPP, Обнаружение конечной точки и ответ (EDR) позволяет клиентам обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. Это обеспечивает уровень видимости конечных точек, недоступный для EPP. EDR может обнаруживать неизвестные угрозы с помощью инструментов криминалистической экспертизы, распознающих аномальное поведение. В то время как EPP защищает компании от известных угроз, EDR идентифицирует и интерпретирует «необычное» на конечной точке.

Однако у EDR есть проблемные зоны:

  • EDR не может обеспечить видимость конечной точки без агента EDR.
  • Для EDR требуется персонал службы безопасности, обученный обнаружению и реагированию.
  • EDR не обеспечивает прозрачности сети. Внутренние угрозы могут перемещаться по сети в поперечном направлении и незаметно общаться с удаленным сервером.

Для чего нужен EDR?

1
Поиск и исследование данных.
2
Обнаружение подозрительной активности.
3
Расследование инцидентов.

Зачем развертывать EDR?

Рынок EDR-решений растет быстро, особенно в отношении к более зрелому и медленно растущему рынку EPP (платформы защиты конечных точек). Это связано с разнообразием преимуществ, предлагаемых решениями EDR.

Согласно Osterman Research, наиболее важными причинами для развертывания решения EDR является его способность защита от бесфайловых вредоносных программ, возможность улучшения восстановления после взлома возможности и обеспечение улучшенной телеметрии угроз по сравнению с обычными решения безопасности. На рисунке отображены другие причины развертывания Endpoint Detection and Response.

Типичный вариант использования EDR — когда активная угроза проявляется в нескольких формах на конечной точке, глядя на шаблоны действий, а не на более простые сигналы, такие как конкретный вирус или нарушение брандмауэра. Например, злоумышленник, который крадет действительные учетные данные с помощью фишинговой атаки, может войти в систему в обычном режиме, не вызывая никаких сигналов тревоги или используя какое-либо вредоносное ПО.

Первоначально у них будет свободное управление конечной точкой, но их действия после этого, такие как попытки повысить привилегии или горизонтальный переход к другим системам, скорее всего, будут отмечены хорошей системой EDR или, по крайней мере, оставят следы в данных, которые эксперт по информационной безопасности может заметить.

Какие проблемы решает EDR?

EPP обнаруживает угрозы, но не вторжения и скрытые атаки. Злоумышленники могут проникать в сети незамеченными и оставаться в корпоративной сети в течение долгого времени в поисках конфиденциальных данных. Также киберпреступники научились избегать обнаружения антивируса, и они могут управлять скомпрометированным активом, не вызывая подозрений. Ключевой проблемой, которую необходимо решить предприятиям, является отображение критических предупреждений для легкого понимания проблемы / угрозы и расставления приоритетов для следующих шагов.

При использовании традиционных решений и средств для защиты сети аналитикам безопасности зачастую не хватает информации, необходимой для полного понимания нарушения. Сотрудникам также не хватает способности анализировать угрозы и проводить тщательные расследования. Из-за отсутствия необходимых инструментов устранение угроз занимает длительное время.

Во многих традиционных решениях безопасности не записывается достаточный объем информации об активности конечных точек. Данная информация не сохраняется или недоступна, а инструменты анализа отсутствуют. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.

EDR основаны на возможностях традиционных решений безопасности, помогая с проблемами:

  • отсутствия обнаружения угроз после взлома,
  • отсутствия возможности глубокого обзора и анализа.

Решения EDR решают каждую из перечисленных проблем благодаря мониторингу всех действий конечных точек для обнаружения: целевых и сложных угроз, горизонтального перемещения в сети, использования краденых учетных данных, инсайдерской активности и иных аномальных действий со стороны злоумышленников.

Endpoint Detection and Response записывает все события, происходящие на конечных точках и в сети, для предоставления исчерпывающих данных для дальнейших расследований и исправлении инцидентов безопасности. Система EDR решает не только технические проблемы, связанные с мониторингом и анализом угроз, но обеспечивает и ряд преимуществ для бизнеса.

Преимущества EDR

Решения EDR предлагают важные преимущества:

  • Непрерывный мониторинг широкого диапазона конечных устройств в корпоративных сетях и за их пределами позволяет организациям отслеживать не только злонамеренные атаки из внешних источников (например, постоянные угрозы APT, которые могут привести к утечкам данных), но также для отслеживания аномальной активности внутри организации (например, добычи криптовалюты или кражи данных сотрудниками).
  • Использование искусственного интеллекта для мониторинга систем на предмет злонамеренной активности с целью предотвращения атак до и по мере их выполнения.
  • Запись огромных объемов активности в сети, в отличие от других инструментов, таких как SIEM и платформы защиты конечных точек, которые не осуществляют запись или сохраняют малое количество информации.
  • Интеграция с расширенными функциями, такими как песочница (Sandbox), для поиска спящих угроз.
  • Включение упреждающего поиска индикаторов атаки, чтобы увидеть угрозы, которые еще не были обнаружены.
  • Расширенные возможности анализа, позволяющие командам безопасности быстрее оценивать и блокировать последующие атаки. К ним относятся поиск индикаторов компрометации; упреждающий поиск индикаторов атаки и определение первопричины заражения; кибер-инцидент и включение защиты от него.
  • Исправление последствий осуществленных атак с возможностью отката конечных точек до ранее известного исправного состояния.
  • Создание детализированных политик для обработки USB-устройств с целью блокировки неизвестных и потенциально вредоносных USB-ключей.
  • Включение защиты для удаленных сотрудников, которые не могут полагаться на защиту периметра.

Более того, решения EDR могут обеспечить бизнес-преимущества, убедив регулирующих органов, сотрудников отдела нормативно-правового соответствия, клиентов и других лиц, что организация, развертывающая решение EDR, серьезно относится к своей безопасности. Решение EDR может продемонстрировать, что угрозы будут тщательно отслеживаться, очень подробная информация о событиях конечных точек будет храниться в течение соответствующего периода времени, а устранение угроз безопасности будет происходить как можно быстрее.

Растущее использование EDR представляет собой потребность в расширении и расширении основы традиционных антивирусных решений и решений EPP, работая вместе с ними, чтобы обеспечить лучшую защиту, отчетность и другие расширенные возможности.

Возможности EDR

Зачем компаниям нужны решения для обнаружения и реагирования конечных точек? Решения EDR выходит за рамки антивируса, выявляя подозрительную активность и реагируя на нее, а также предоставляя криминалистические данные аналитикам безопасности. EDR очень эффективны для сбора непрерывной информации о следах вредоносных программ и других типах киберугроз в сети. Такие данные хранятся в конечных точках сети, что помогает в разработке подходящих стратегий реагирования на инциденты и управления ими. У EDR следующие возможности:
square
Унификация данных конечных точек.
square
Улучшенная видимость всей ИТ-среды.
square
Возможность мониторинга конечных точек онлайн и оффлайн.
square
Обнаружение вредоносного ПО.
square
Сохранение событий конечных точек.
square
Реагирование на события в режиме реального времени.
square
Использование черных и белых списков.
square
Интеграция с дополнительными инструментами безопасности.
square
Возможность шифрования и контроля доступа.

Решения EDR

Если ваша организация использует EDR, значит она серьезно относится к обеспечению безопасности данных, а также к как можно более быстрому устранению нарушений безопасности. У компаний есть два варианта использования системы EDR на конечных точках: покупка локального решения или подписка на услугу, предоставляемую коммерческим SOC. Команда Cloud Networks поможет обеспечить быстрое обнаружение угроз и эффективное реагирование на инциденты безопасности с помощью решений от наших партнеров.

Kaspersky Endpoint Security

Передовая защита рабочих мест и эффективное реагирование на киберинциденты. Единый агент для комплексной защиты. Детальный анализ, проактивный поиск угроз, сбор и хранение данных.

PT XDR

Решение позволяет кратно ускорить реагирование на атаки. Продукт объединяет события и контекст из множества систем ИБ для выявления реальных атак и автоматизируют процессы реагирования.

PT MultiScanner

PT MultiScanner поддерживает множество стандартных интерфейсов взаимодействия (SPAN, MTA, BCC, ICAP, REST API). Масштабирование системы производится путем простого наращивания компонентов.­ Все файлы сканируются внутри системы и размещаются в локальном хранилище, не покидая периметр компании (on-premise решение).­

Dr.Web Enterprise Security Suite

Единое решение, предназначенное для защиты всех узлов корпоративной сети. Для организаций любого масштаба. Интеграция с SIEM, удобный Центр управления Соответствие требованиям регуляторов, гибкое лицензирование, технологии машинного обучения, защита виртуальных сред.

Check Point SandBlast Agent

SandBlast Agent – это решение для расширенной защиты рабочих станций и предотвращения угроз с осознанным отслеживанием и реагированием на инциденты.

Оставьте заявку на получение консультации

    Истории успеха

    Защита конечных точек в финансовой сфере, «Сибирская угольная энергетическая компания»

    Задача:
    Требовались технические сервисы для поддержки и защиты конечных точек компании.
    Продукт:
    Check Point.
    Результаты:
    Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири
    и Хабаровском крае.

    Защита конечных точек в финансовой сфере, «АО «ОТП Банк»

    Задача:
    Требовалась платформа для администрирования приложений на разных устройствах.
    Продукт:
    VMware Workspace ONE.
    Результаты:
    Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.

    Защита конечных точек в финансовой сфере, «Cisco»

    Задача:
    Требовалась защита периметра ИТ-инфраструктуры.
    Продукт:
    Cisco Firepower.
    Результаты:
    Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода
    и установлено межсетевое экранирование.

    Cloud Networks – обеспечение безопасности и защита данных

    6 лет на рынке ИБ
    Более 100 проектов
    65 + партнеров

    Cloud Networks – это компания, предоставляющая услуги в области системной интеграции, облачном консалтинге, автоматизации процессов и бизнес-аналитике.

    Основной деятельностью компании является обеспечение информационной безопасности и защита данных, а также внедрение информационных технологий для эффективной работы бизнеса.

    to-top