EDR — обнаружение и реагирование на угрозы конечной точки

Endpoint Detection and Response (EDR) – продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз. Технология сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени.

Информация, собранная в процессе мониторинга, записывается для анализа и исследования. EDR постоянно контролирует конечные точки, обеспечивая быстрое реагирование и немедленный ответ.

Система для сбора данных о конечных точках повышает уровень защиты пользователей, работающих за пределами защиты периметра компании, а также защищает от бесфайловых и других видов атак и даже зараженных USB-накопителей. Чтобы устранить недостатки в безопасности корпоративной сети, организации развертывают решения для обнаружения и реагирования конечных точек (EDR) в качестве дополнения к существующим средствам защиты.

Защита конечных точек (EPP) направлена ​​на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.

Например, если вторжение уже произошло, хакер может незаметно украсть важные данные. Точно так же регистраторы ключей или новые формы программ-вымогателей могут обмениваться данными с серверами управления и контроля без ведома кого-либо. То есть EPP необходима, но очень ограничена.

В отличие от EPP, Обнаружение конечной точки и ответ (EDR) позволяет клиентам обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. Это обеспечивает уровень видимости конечных точек, недоступный для EPP. EDR может обнаруживать неизвестные угрозы с помощью инструментов криминалистической экспертизы, распознающих аномальное поведение. В то время как EPP защищает компании от известных угроз, EDR идентифицирует и интерпретирует «необычное» на конечной точке.

Однако у EDR есть проблемные зоны:

• EDR не может обеспечить видимость конечной точки без агента EDR.
• Для EDR требуется персонал службы безопасности, обученный обнаружению и реагированию.
• EDR не обеспечивает прозрачности сети. Внутренние угрозы могут перемещаться по сети в поперечном направлении и незаметно общаться с удаленным сервером.

Рынок EDR-решений растет быстро, особенно в отношении к более зрелому и медленно растущему рынку EPP (платформы защиты конечных точек). Это связано с разнообразием преимуществ, предлагаемых решениями EDR. Согласно Osterman Research, наиболее важными причинами для развертывания решения EDR является его способность защита от бесфайловых вредоносных программ, возможность улучшения восстановления после взлома возможности и обеспечение улучшенной телеметрии угроз по сравнению с обычными решения безопасности. На рисунке ниже отображены другие причины развертывания Endpoint Detection and Response.

Типичный вариант использования EDR — когда активная угроза проявляется в нескольких формах на конечной точке, глядя на шаблоны действий, а не на более простые сигналы, такие как конкретный вирус или нарушение брандмауэра. Например, злоумышленник, который крадет действительные учетные данные с помощью фишинговой атаки, может войти в систему в обычном режиме, не вызывая никаких сигналов тревоги или используя какое-либо вредоносное ПО. Первоначально у них будет свободное управление конечной точкой, но их действия после этого, такие как попытки повысить привилегии или горизонтальный переход к другим системам, скорее всего, будут отмечены хорошей системой EDR или, по крайней мере, оставят следы в данных, которые человек infosec pro может заметить.

EPP обнаруживает угрозы, но не вторжения и скрытые атаки. Злоумышленники могут проникать в сети незамеченными и оставаться в корпоративной сети в течение долгого времени в поисках конфиденциальных данных. Также киберпреступники научились избегать обнаружения антивируса, и они могут управлять скомпрометированным активом, не вызывая подозрений. Ключевой проблемой, которую необходимо решить предприятиям, является отображение критических предупреждений для легкого понимания проблемы / угрозы и расставления приоритетов для следующих шагов.

При использовании традиционных решений и средств для защиты сети аналитикам безопасности зачастую не хватает информации, необходимой для полного понимания нарушения. Сотрудникам также не хватает способности анализировать угрозы и проводить тщательные расследования. Из-за отсутствия необходимых инструментов устранение угроз занимает длительное время.

Во многих традиционных решениях безопасности не записывается достаточный объем информации об активности конечных точек. Данная информация не сохраняется или недоступна, а инструменты анализа отсутствуют. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.

EDR основаны на возможностях традиционных решений безопасности, помогая с проблемами:

• отсутствия обнаружения угроз после взлома,
• отсутствия возможности глубокого обзора и анализа.

Решения EDR решают каждую из перечисленных проблем благодаря мониторингу всех действий конечных точек для обнаружения: целевых и сложных угроз, горизонтального перемещения в сети, использования краденных учетных данных, инсайдерской активности и иных аномальных действий со стороны злоумышленников.

Endpoint Detection and Response записывает все события, происходящие на конечных точках и в сети, для предоставления исчерпывающих данных для дальнейший расследований и исправлении инцидентов безопасности. Система EDR решает не только технические проблемы, связанные с мониторингом и анализом угроз, но обеспечивает и ряд преимуществ для бизнеса.

Решения EDR предлагают важные преимущества:

• Непрерывный мониторинг широкого диапазона конечных устройств в корпоративных сетях и за их пределами позволяет организациям отслеживать не только злонамеренные атаки из внешних источников (например, постоянные угрозы APT, которые могут привести к утечкам данных), но также для отслеживания аномальной активности внутри организации (например, добычи криптовалюты или кражи данных сотрудниками).
• Использование искусственного интеллекта для мониторинга систем на предмет злонамеренной активности с целью предотвращения атак до и по мере их выполнения.
• Запись огромных объемов активности в сети, в отличие от других инструментов, таких как SIEM и платформы защиты конечных точек, которые не осуществляют запись или сохраняют малое количество информации.
• Интеграция с расширенными функциями, такими как песочница (Sandbox), для поиска спящих угроз.
• Включение упреждающего поиска индикаторов атаки, чтобы увидеть угрозы, которые еще не были обнаружены.
• Расширенные возможности анализа, позволяющие командам безопасности быстрее оценивать и блокировать последующие атаки. К ним относятся поиск индикаторов компрометации; упреждающий поиск индикаторов атаки и определение первопричины заражения; кибер-инцидент и включение защиты от него.
• Исправление последствий осуществленных атак с возможностью отката конечных точек до ранее известного исправного состояния.
• Создание детализированных политик для обработки USB-устройств с целью блокировки неизвестных и потенциально вредоносных USB-ключей.
• Включение защиты для удаленных сотрудников, которые не могут полагаться на защиту периметра.

Более того, решения EDR могут обеспечить бизнес-преимущества, убедив регулирующих органов, сотрудников отдела нормативно-правового соответствия, клиентов и других лиц, что организация, развертывающая решение EDR, серьезно относится к своей безопасности. Решение EDR может продемонстрировать, что угрозы будут тщательно отслеживаться, очень подробная информация о событиях конечных точек будет храниться в течение соответствующего периода времени, а устранение угроз безопасности будет происходить как можно быстрее.

Короче говоря, растущее использование EDR представляет собой потребность в расширении и расширении основы традиционных антивирусных решений и решений EPP, работая вместе с ними, чтобы обеспечить лучшую защиту, отчетность и другие расширенные возможности.

Зачем компаниям нужны решения для обнаружения и реагирования конечных точек? Решения EDR выходит за рамки антивируса, выявляя подозрительную активность и реагируя на нее, а также предоставляя криминалистические данные аналитикам безопасности. EDR очень эффективны для сбора непрерывной информации о следах вредоносных программ и других типах киберугроз в сети. Такие данные хранятся в конечных точках сети, что помогает в разработке подходящих стратегий реагирования на инциденты и управления ими.

Если ваша организация использует EDR, значит она серьезно относится к обеспечению безопасности данных, а также к как можно более быстрому устранению нарушений безопасности. У компаний есть два варианта использования системы EDR на конечных точках: покупка локального решения или подписка на услугу, предоставляемую коммерческим SOC. Команда Cloud Networks поможет обеспечить быстрое обнаружение угроз и эффективное реагирование на инциденты безопасности с помощью решений от наших партнеров.