EDR — обнаружение и реагирование на угрозы конечной точки

Cloud Networks > Информационная безопасность > EDR — обнаружение и реагирование на угрозы конечной точки

Технология EDR

Endpoint Detection and Response (EDR) – продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз. Технология сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени.

Информация, собранная в процессе мониторинга, записывается для анализа и исследования. EDR постоянно контролирует конечные точки, обеспечивая быстрое реагирование и немедленный ответ.

Система для сбора данных о конечных точках повышает уровень защиты пользователей, работающих за пределами защиты периметра компании, а также защищает от бесфайловых и других видов атак и даже зараженных USB-накопителей. Чтобы устранить недостатки в безопасности корпоративной сети, организации развертывают решения для обнаружения и реагирования конечных точек (EDR) в качестве дополнения к существующим средствам защиты.

Разница EPP и EDR

Защита конечных точек (EPP) направлена ​​на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.

Например, если вторжение уже произошло, хакер может незаметно украсть важные данные. Точно так же регистраторы ключей или новые формы программ-вымогателей могут обмениваться данными с серверами управления и контроля без ведома кого-либо. То есть EPP необходима, но очень ограничена.

В отличие от EPP, Обнаружение конечной точки и ответ (EDR) позволяет клиентам обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. Это обеспечивает уровень видимости конечных точек, недоступный для EPP. EDR может обнаруживать неизвестные угрозы с помощью инструментов криминалистической экспертизы, распознающих аномальное поведение. В то время как EPP защищает компании от известных угроз, EDR идентифицирует и интерпретирует «необычное» на конечной точке.

Однако у EDR есть проблемные зоны:

  • EDR не может обеспечить видимость конечной точки без агента EDR.
  • Для EDR требуется персонал службы безопасности, обученный обнаружению и реагированию.
  • EDR не обеспечивает прозрачности сети. Внутренние угрозы могут перемещаться по сети в поперечном направлении и незаметно общаться с удаленным сервером.

Для чего нужен EDR

1
Поиск и исследование данных.
2
Обнаружение подозрительной активности.
3
Расследование инцидентов.

Причины развертывания EDR

Рынок EDR-решений растет быстро, особенно в отношении к более зрелому и медленно растущему рынку EPP (платформы защиты конечных точек). Это связано с разнообразием преимуществ, предлагаемых решениями EDR. Согласно Osterman Research, наиболее важными причинами для развертывания решения EDR является его способность защита от бесфайловых вредоносных программ, возможность улучшения восстановления после взлома возможности и обеспечение улучшенной телеметрии угроз по сравнению с обычными решения безопасности. На рисунке ниже отображены другие причины развертывания Endpoint Detection and Response.

Типичный вариант использования EDR — когда активная угроза проявляется в нескольких формах на конечной точке, глядя на шаблоны действий, а не на более простые сигналы, такие как конкретный вирус или нарушение брандмауэра. Например, злоумышленник, который крадет действительные учетные данные с помощью фишинговой атаки, может войти в систему в обычном режиме, не вызывая никаких сигналов тревоги или используя какое-либо вредоносное ПО. Первоначально у них будет свободное управление конечной точкой, но их действия после этого, такие как попытки повысить привилегии или горизонтальный переход к другим системам, скорее всего, будут отмечены хорошей системой EDR или, по крайней мере, оставят следы в данных, которые человек infosec pro может заметить.

Проблемы, решаемые EDR

EPP обнаруживает угрозы, но не вторжения и скрытые атаки. Злоумышленники могут проникать в сети незамеченными и оставаться в корпоративной сети в течение долгого времени в поисках конфиденциальных данных. Также киберпреступники научились избегать обнаружения антивируса, и они могут управлять скомпрометированным активом, не вызывая подозрений. Ключевой проблемой, которую необходимо решить предприятиям, является отображение критических предупреждений для легкого понимания проблемы / угрозы и расставления приоритетов для следующих шагов.

При использовании традиционных решений и средств для защиты сети аналитикам безопасности зачастую не хватает информации, необходимой для полного понимания нарушения. Сотрудникам также не хватает способности анализировать угрозы и проводить тщательные расследования. Из-за отсутствия необходимых инструментов устранение угроз занимает длительное время.

Во многих традиционных решениях безопасности не записывается достаточный объем информации об активности конечных точек. Данная информация не сохраняется или недоступна, а инструменты анализа отсутствуют. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.

EDR основаны на возможностях традиционных решений безопасности, помогая с проблемами:

  • отсутствия обнаружения угроз после взлома,
  • отсутствия возможности глубокого обзора и анализа.

Решения EDR решают каждую из перечисленных проблем благодаря мониторингу всех действий конечных точек для обнаружения: целевых и сложных угроз, горизонтального перемещения в сети, использования краденных учетных данных, инсайдерской активности и иных аномальных действий со стороны злоумышленников.

Endpoint Detection and Response записывает все события, происходящие на конечных точках и в сети, для предоставления исчерпывающих данных для дальнейший расследований и исправлении инцидентов безопасности. Система EDR решает не только технические проблемы, связанные с мониторингом и анализом угроз, но обеспечивает и ряд преимуществ для бизнеса.

Преимущества решения EDR

Решения EDR предлагают важные преимущества:

  • Непрерывный мониторинг широкого диапазона конечных устройств в корпоративных сетях и за их пределами позволяет организациям отслеживать не только злонамеренные атаки из внешних источников (например, постоянные угрозы APT, которые могут привести к утечкам данных), но также для отслеживания аномальной активности внутри организации (например, добычи криптовалюты или кражи данных сотрудниками).
  • Использование искусственного интеллекта для мониторинга систем на предмет злонамеренной активности с целью предотвращения атак до и по мере их выполнения.
  • Запись огромных объемов активности в сети, в отличие от других инструментов, таких как SIEM и платформы защиты конечных точек, которые не осуществляют запись или сохраняют малое количество информации.
  • Интеграция с расширенными функциями, такими как песочница (Sandbox), для поиска спящих угроз.
  • Включение упреждающего поиска индикаторов атаки, чтобы увидеть угрозы, которые еще не были обнаружены.
  • Расширенные возможности анализа, позволяющие командам безопасности быстрее оценивать и блокировать последующие атаки. К ним относятся поиск индикаторов компрометации; упреждающий поиск индикаторов атаки и определение первопричины заражения; кибер-инцидент и включение защиты от него.
  • Исправление последствий осуществленных атак с возможностью отката конечных точек до ранее известного исправного состояния.
  • Создание детализированных политик для обработки USB-устройств с целью блокировки неизвестных и потенциально вредоносных USB-ключей.
  • Включение защиты для удаленных сотрудников, которые не могут полагаться на защиту периметра.

Более того, решения EDR могут обеспечить бизнес-преимущества, убедив регулирующих органов, сотрудников отдела нормативно-правового соответствия, клиентов и других лиц, что организация, развертывающая решение EDR, серьезно относится к своей безопасности. Решение EDR может продемонстрировать, что угрозы будут тщательно отслеживаться, очень подробная информация о событиях конечных точек будет храниться в течение соответствующего периода времени, а устранение угроз безопасности будет происходить как можно быстрее.

Короче говоря, растущее использование EDR представляет собой потребность в расширении и расширении основы традиционных антивирусных решений и решений EPP, работая вместе с ними, чтобы обеспечить лучшую защиту, отчетность и другие расширенные возможности.

Возможности EDR

Унификация данных конечных точек.
Улучшенная видимость всей ИТ-среды.
Возможность мониторинга конечных точек онлайн и оффлайн.
Обнаружение вредоносного ПО.
Сохранение событий конечных точек.
Реагирование на события в режиме реального времени.
Использование черных и белых списков.
Интеграция с дополнительными инструментами безопасности.
Возможность шифрования и контроля доступа.

Решения EDR

Зачем компаниям нужны решения для обнаружения и реагирования конечных точек? Решения EDR выходит за рамки антивируса, выявляя подозрительную активность и реагируя на нее, а также предоставляя криминалистические данные аналитикам безопасности. EDR очень эффективны для сбора непрерывной информации о следах вредоносных программ и других типах киберугроз в сети. Такие данные хранятся в конечных точках сети, что помогает в разработке подходящих стратегий реагирования на инциденты и управления ими.

Если ваша организация использует EDR, значит она серьезно относится к обеспечению безопасности данных, а также к как можно более быстрому устранению нарушений безопасности. У компаний есть два варианта использования системы EDR на конечных точках: покупка локального решения или подписка на услугу, предоставляемую коммерческим SOC. Команда Cloud Networks поможет обеспечить быстрое обнаружение угроз и эффективное реагирование на инциденты безопасности с помощью решений от наших партнеров.

Kaspersky Endpoint Security
Передовая защита рабочих мест и эффективное реагирование на киберинциденты. Единый агент для комплексной защиты. Детальный анализ, проактивный поиск угроз, сбор и хранение данных.
Positive Technologies PT XDR
Решение позволяет кратно ускорить реагирование на атаки. Продукт объединяет события и контекст из множества систем ИБ для выявления реальных атак и автоматизируют процессы реагирования.
Positive Technologies PT MultiScanner
PT MultiScanner поддерживает множество стандартных интерфейсов взаимодействия (SPAN, MTA, BCC, ICAP, REST API). Масштабирование системы производится путем простого наращивания компонентов.­ Все файлы сканируются внутри системы и размещаются в локальном хранилище, не покидая периметр компании (on-premise решение).­
Dr.Web Enterprise Security Suite
Единое решение, предназначенное для защиты всех узлов корпоративной сети. Для организаций любого масштаба. Интеграция с SIEM, удобный Центр управления Соответствие требованиям регуляторов, гибкое лицензирование, технологии машинного обучения, защита виртуальных сред.
Check Point SandBlast Agent
SandBlast Agent – это решение для расширенной защиты рабочих станций и предотвращения угроз с осознанным отслеживанием и реагированием на инциденты.
Cisco Advanced Malware Protection
Предотвращение проникновений. Непрерывный мониторинг проявлений вредоносной активности. Быстрое обнаружение вредоносного ПО. Удаление вредоносного ПО.
Palo Alto Networks Traps
Комплексная защита предотвращает угрозы на конечных точках и координирует меры по обеспечению безопасности сети и облака для предотвращения успешных кибератак.
Trend Micro EDR
Многоуровневое обнаружение и реагирования. Машинное обучение, анализ поведения, управление приложениями и другие передовые методы для защиты конечных точек.
FireEye EDR
FireEye Endpoint Security предоставляет гибкий и экономически эффективный вариант для предотвращения угроз, обнаружения и реагирования на инциденты.

Запросите демонстрацию, чтобы узнать, как EDR обеспечивает безопасность.

Сетевая безопасность - 3


    Отправляя форму, я даю свое согласие на обработку моих персональных данных

    РЕАЛИЗОВАННЫЕ КЕЙСЫ

    suek

    Защита конечных точек в финансовой сфере

    Задача:
    Требовались технические сервисы для поддержки и защиты конечных точек компании.
    Продукт:
    Check Point.
    Результаты:
    Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири и Харабовском крае.

    cisco

    Защита конечных точек в финансовой сфере

    Задача:
    Требовалась защита периметра ИТ-инфраструктуры.
    Продукт:
    Cisco Firepower.
    Результаты:
    Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода и установлено межсетевое экранирование.

    otp-bank

    Защита конечных точек в финансовой сфере

    Задача:
    Требовалась платформа для администрирования приложений на разных устройствах.
    Продукт:
    VMware Workspace ONE.
    Результаты:
    Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.

    previous arrow
    next arrow

    О КОМПАНИИ

    Cloud Networks помогает крупным и средним предприятиям трансформироваться с помощью цифровых технологий и управления информационной безопасностью. Мы занимаемся защитой данных, автоматизацией и внедрением информационных технологий. Сочетая подход, основанный на аналитических данных, со знанием технологий, наша команда разрабатывает инновационные стратегии и добивается лучших результатов.

    Сертифицированный партнер 63+ вендоров
    Более 500+ успешных проектов
    Сертификация ФСТЭК и ФСБ
    to-top