Технология EDR
Endpoint Detection and Response (EDR) – продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз. Технология сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени и решает проблему постоянного мониторинга и реагирования на сложные угрозы.
EDR постоянно контролирует конечные точки, обеспечивая быстрое реагирование и немедленный ответ. Решение осуществляет мониторинг событий конечной точки и сети. Информация записывается в центральную базу данных, где происходит анализ, составление отчетности и дальнейшие исследования.
Система для сбора данных о конечных точках повышает уровень защиты пользователей, работающих за пределами защиты периметра компании, а также защищает от бесфайловых и других видов атак и даже зараженных USB-накопителей. Чтобы устранить недостатки в безопасности корпоративной сети, организации развертывают решения для обнаружения и реагирования конечных точек (EDR) в качестве дополнения к существующим средствам защиты.

Разница между EPP и EDR
Защита конечных точек (EPP) направлена на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.
Например, если вторжение уже произошло, хакер может незаметно украсть важные данные. Точно так же регистраторы ключей или новые формы программ-вымогателей могут обмениваться данными с серверами управления и контроля без ведома кого-либо. То есть EPP необходима, но очень ограничена.
В отличие от EPP, Обнаружение конечной точки и ответ (EDR) позволяет клиентам обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. Это обеспечивает уровень видимости конечных точек, недоступный для EPP. EDR может обнаруживать неизвестные угрозы с помощью инструментов криминалистической экспертизы, распознающих аномальное поведение. В то время как EPP защищает компании от известных угроз, EDR идентифицирует и интерпретирует «необычное» на конечной точке.
Однако у EDR есть проблемные зоны:
- EDR не может обеспечить видимость конечной точки без агента EDR.
- Для EDR требуется персонал службы безопасности, обученный обнаружению и реагированию.
- EDR не обеспечивает прозрачности сети. Внутренние угрозы могут перемещаться по сети в поперечном направлении и незаметно общаться с удаленным сервером.
Для чего нужен EDR?
Зачем развертывать EDR?
Рынок EDR-решений растет быстро, особенно в отношении к более зрелому и медленно растущему рынку EPP (платформы защиты конечных точек). Это связано с разнообразием преимуществ, предлагаемых решениями EDR.
Согласно Osterman Research, наиболее важными причинами для развертывания решения EDR является его способность защита от бесфайловых вредоносных программ, возможность улучшения восстановления после взлома возможности и обеспечение улучшенной телеметрии угроз по сравнению с обычными решения безопасности. На рисунке отображены другие причины развертывания Endpoint Detection and Response.
Типичный вариант использования EDR — когда активная угроза проявляется в нескольких формах на конечной точке, глядя на шаблоны действий, а не на более простые сигналы, такие как конкретный вирус или нарушение брандмауэра. Например, злоумышленник, который крадет действительные учетные данные с помощью фишинговой атаки, может войти в систему в обычном режиме, не вызывая никаких сигналов тревоги или используя какое-либо вредоносное ПО.
Первоначально у них будет свободное управление конечной точкой, но их действия после этого, такие как попытки повысить привилегии или горизонтальный переход к другим системам, скорее всего, будут отмечены хорошей системой EDR или, по крайней мере, оставят следы в данных, которые эксперт по информационной безопасности может заметить.
Какие проблемы решает EDR?
EPP обнаруживает угрозы, но не вторжения и скрытые атаки. Злоумышленники могут проникать в сети незамеченными и оставаться в корпоративной сети в течение долгого времени в поисках конфиденциальных данных. Также киберпреступники научились избегать обнаружения антивируса, и они могут управлять скомпрометированным активом, не вызывая подозрений. Ключевой проблемой, которую необходимо решить предприятиям, является отображение критических предупреждений для легкого понимания проблемы / угрозы и расставления приоритетов для следующих шагов.
При использовании традиционных решений и средств для защиты сети аналитикам безопасности зачастую не хватает информации, необходимой для полного понимания нарушения. Сотрудникам также не хватает способности анализировать угрозы и проводить тщательные расследования. Из-за отсутствия необходимых инструментов устранение угроз занимает длительное время.
Во многих традиционных решениях безопасности не записывается достаточный объем информации об активности конечных точек. Данная информация не сохраняется или недоступна, а инструменты анализа отсутствуют. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.
EDR основаны на возможностях традиционных решений безопасности, помогая с проблемами:
- отсутствия обнаружения угроз после взлома,
- отсутствия возможности глубокого обзора и анализа.
Решения EDR решают каждую из перечисленных проблем благодаря мониторингу всех действий конечных точек для обнаружения: целевых и сложных угроз, горизонтального перемещения в сети, использования краденых учетных данных, инсайдерской активности и иных аномальных действий со стороны злоумышленников.
Endpoint Detection and Response записывает все события, происходящие на конечных точках и в сети, для предоставления исчерпывающих данных для дальнейших расследований и исправлении инцидентов безопасности. Система EDR решает не только технические проблемы, связанные с мониторингом и анализом угроз, но обеспечивает и ряд преимуществ для бизнеса.
Преимущества EDR
Решения EDR предлагают важные преимущества:
- Непрерывный мониторинг широкого диапазона конечных устройств в корпоративных сетях и за их пределами позволяет организациям отслеживать не только злонамеренные атаки из внешних источников (например, постоянные угрозы APT, которые могут привести к утечкам данных), но также для отслеживания аномальной активности внутри организации (например, добычи криптовалюты или кражи данных сотрудниками).
- Использование искусственного интеллекта для мониторинга систем на предмет злонамеренной активности с целью предотвращения атак до и по мере их выполнения.
- Запись огромных объемов активности в сети, в отличие от других инструментов, таких как SIEM и платформы защиты конечных точек, которые не осуществляют запись или сохраняют малое количество информации.
- Интеграция с расширенными функциями, такими как песочница (Sandbox), для поиска спящих угроз.
- Включение упреждающего поиска индикаторов атаки, чтобы увидеть угрозы, которые еще не были обнаружены.
- Расширенные возможности анализа, позволяющие командам безопасности быстрее оценивать и блокировать последующие атаки. К ним относятся поиск индикаторов компрометации; упреждающий поиск индикаторов атаки и определение первопричины заражения; кибер-инцидент и включение защиты от него.
- Исправление последствий осуществленных атак с возможностью отката конечных точек до ранее известного исправного состояния.
- Создание детализированных политик для обработки USB-устройств с целью блокировки неизвестных и потенциально вредоносных USB-ключей.
- Включение защиты для удаленных сотрудников, которые не могут полагаться на защиту периметра.
Более того, решения EDR могут обеспечить бизнес-преимущества, убедив регулирующих органов, сотрудников отдела нормативно-правового соответствия, клиентов и других лиц, что организация, развертывающая решение EDR, серьезно относится к своей безопасности. Решение EDR может продемонстрировать, что угрозы будут тщательно отслеживаться, очень подробная информация о событиях конечных точек будет храниться в течение соответствующего периода времени, а устранение угроз безопасности будет происходить как можно быстрее.
Растущее использование EDR представляет собой потребность в расширении и расширении основы традиционных антивирусных решений и решений EPP, работая вместе с ними, чтобы обеспечить лучшую защиту, отчетность и другие расширенные возможности.
Возможности EDR
Решения EDR

Kaspersky Endpoint Security

PT XDR

PT MultiScanner

Dr.Web Enterprise Security Suite

Check Point SandBlast Agent

Оставьте заявку на получение консультации
Истории успеха
Защита конечных точек в финансовой сфере, «Сибирская угольная энергетическая компания»
Задача:
Требовались технические сервисы для поддержки и защиты конечных точек компании.
Продукт:
Check Point.
Результаты:
Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири
и Хабаровском крае.
Защита конечных точек в финансовой сфере, «АО «ОТП Банк»
Задача:
Требовалась платформа для администрирования приложений на разных устройствах.
Продукт:
VMware Workspace ONE.
Результаты:
Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.
Защита конечных точек в финансовой сфере, «Cisco»
Задача:
Требовалась защита периметра ИТ-инфраструктуры.
Продукт:
Cisco Firepower.
Результаты:
Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода
и установлено межсетевое экранирование.
Cloud Networks – обеспечение безопасности и защита данных



Cloud Networks – это компания, предоставляющая услуги в области системной интеграции, облачном консалтинге, автоматизации процессов и бизнес-аналитике.
Основной деятельностью компании является обеспечение информационной безопасности и защита данных, а также внедрение информационных технологий для эффективной работы бизнеса.