EDR — обнаружение и реагирование на угрозы конечной точки

Cloud Networks > Информационная безопасность > EDR — обнаружение и реагирование на угрозы конечной точки

Технология EDR

Endpoint Detection and Response (EDR) – продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз. Технология сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени.

Информация, собранная в процессе мониторинга, записывается для анализа и исследования. EDR постоянно контролирует конечные точки, обеспечивая быстрое реагирование и немедленный ответ.

Система для сбора данных о конечных точках повышает уровень защиты пользователей, работающих за пределами защиты периметра компании, а также защищает от бесфайловых и других видов атак и даже зараженных USB-накопителей. Чтобы устранить недостатки в безопасности корпоративной сети, организации развертывают решения для обнаружения и реагирования конечных точек (EDR) в качестве дополнения к существующим средствам защиты.

Разница EPP и EDR

Защита конечных точек (EPP) направлена ​​на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.

Например, если вторжение уже произошло, хакер может незаметно украсть важные данные. Точно так же регистраторы ключей или новые формы программ-вымогателей могут обмениваться данными с серверами управления и контроля без ведома кого-либо. То есть EPP необходима, но очень ограничена.

В отличие от EPP, Обнаружение конечной точки и ответ (EDR) позволяет клиентам обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. Это обеспечивает уровень видимости конечных точек, недоступный для EPP. EDR может обнаруживать неизвестные угрозы с помощью инструментов криминалистической экспертизы, распознающих аномальное поведение. В то время как EPP защищает компании от известных угроз, EDR идентифицирует и интерпретирует «необычное» на конечной точке.

Однако у EDR есть проблемные зоны:

  • EDR не может обеспечить видимость конечной точки без агента EDR.
  • Для EDR требуется персонал службы безопасности, обученный обнаружению и реагированию.
  • EDR не обеспечивает прозрачности сети. Внутренние угрозы могут перемещаться по сети в поперечном направлении и незаметно общаться с удаленным сервером.

Для чего нужен EDR

1
Поиск и исследование данных.
2
Обнаружение подозрительной активности.
3
Расследование инцидентов.

Причины развертывания EDR

Рынок EDR-решений растет быстро, особенно в отношении к более зрелому и медленно растущему рынку EPP (платформы защиты конечных точек). Это связано с разнообразием преимуществ, предлагаемых решениями EDR. Согласно Osterman Research, наиболее важными причинами для развертывания решения EDR является его способность защита от бесфайловых вредоносных программ, возможность улучшения восстановления после взлома возможности и обеспечение улучшенной телеметрии угроз по сравнению с обычными решения безопасности. На рисунке ниже отображены другие причины развертывания Endpoint Detection and Response.

Типичный вариант использования EDR — когда активная угроза проявляется в нескольких формах на конечной точке, глядя на шаблоны действий, а не на более простые сигналы, такие как конкретный вирус или нарушение брандмауэра. Например, злоумышленник, который крадет действительные учетные данные с помощью фишинговой атаки, может войти в систему в обычном режиме, не вызывая никаких сигналов тревоги или используя какое-либо вредоносное ПО. Первоначально у них будет свободное управление конечной точкой, но их действия после этого, такие как попытки повысить привилегии или горизонтальный переход к другим системам, скорее всего, будут отмечены хорошей системой EDR или, по крайней мере, оставят следы в данных, которые человек infosec pro может заметить.

Проблемы, решаемые EDR

EPP обнаруживает угрозы, но не вторжения и скрытые атаки. Злоумышленники могут проникать в сети незамеченными и оставаться в корпоративной сети в течение долгого времени в поисках конфиденциальных данных. Также киберпреступники научились избегать обнаружения антивируса, и они могут управлять скомпрометированным активом, не вызывая подозрений. Ключевой проблемой, которую необходимо решить предприятиям, является отображение критических предупреждений для легкого понимания проблемы / угрозы и расставления приоритетов для следующих шагов.

При использовании традиционных решений и средств для защиты сети аналитикам безопасности зачастую не хватает информации, необходимой для полного понимания нарушения. Сотрудникам также не хватает способности анализировать угрозы и проводить тщательные расследования. Из-за отсутствия необходимых инструментов устранение угроз занимает длительное время.

Во многих традиционных решениях безопасности не записывается достаточный объем информации об активности конечных точек. Данная информация не сохраняется или недоступна, а инструменты анализа отсутствуют. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.

EDR основаны на возможностях традиционных решений безопасности, помогая с проблемами:

  • отсутствия обнаружения угроз после взлома,
  • отсутствия возможности глубокого обзора и анализа.

Решения EDR решают каждую из перечисленных проблем благодаря мониторингу всех действий конечных точек для обнаружения: целевых и сложных угроз, горизонтального перемещения в сети, использования краденных учетных данных, инсайдерской активности и иных аномальных действий со стороны злоумышленников.

Endpoint Detection and Response записывает все события, происходящие на конечных точках и в сети, для предоставления исчерпывающих данных для дальнейший расследований и исправлении инцидентов безопасности. Система EDR решает не только технические проблемы, связанные с мониторингом и анализом угроз, но обеспечивает и ряд преимуществ для бизнеса.

Преимущества решения EDR

Решения EDR предлагают важные преимущества:

  • Непрерывный мониторинг широкого диапазона конечных устройств в корпоративных сетях и за их пределами позволяет организациям отслеживать не только злонамеренные атаки из внешних источников (например, постоянные угрозы APT, которые могут привести к утечкам данных), но также для отслеживания аномальной активности внутри организации (например, добычи криптовалюты или кражи данных сотрудниками).
  • Использование искусственного интеллекта для мониторинга систем на предмет злонамеренной активности с целью предотвращения атак до и по мере их выполнения.
  • Запись огромных объемов активности в сети, в отличие от других инструментов, таких как SIEM и платформы защиты конечных точек, которые не осуществляют запись или сохраняют малое количество информации.
  • Интеграция с расширенными функциями, такими как песочница (Sandbox), для поиска спящих угроз.
  • Включение упреждающего поиска индикаторов атаки, чтобы увидеть угрозы, которые еще не были обнаружены.
  • Расширенные возможности анализа, позволяющие командам безопасности быстрее оценивать и блокировать последующие атаки. К ним относятся поиск индикаторов компрометации; упреждающий поиск индикаторов атаки и определение первопричины заражения; кибер-инцидент и включение защиты от него.
  • Исправление последствий осуществленных атак с возможностью отката конечных точек до ранее известного исправного состояния.
  • Создание детализированных политик для обработки USB-устройств с целью блокировки неизвестных и потенциально вредоносных USB-ключей.
  • Включение защиты для удаленных сотрудников, которые не могут полагаться на защиту периметра.

Более того, решения EDR могут обеспечить бизнес-преимущества, убедив регулирующих органов, сотрудников отдела нормативно-правового соответствия, клиентов и других лиц, что организация, развертывающая решение EDR, серьезно относится к своей безопасности. Решение EDR может продемонстрировать, что угрозы будут тщательно отслеживаться, очень подробная информация о событиях конечных точек будет храниться в течение соответствующего периода времени, а устранение угроз безопасности будет происходить как можно быстрее.

Короче говоря, растущее использование EDR представляет собой потребность в расширении и расширении основы традиционных антивирусных решений и решений EPP, работая вместе с ними, чтобы обеспечить лучшую защиту, отчетность и другие расширенные возможности.

Возможности EDR

Унификация данных конечных точек.
Улучшенная видимость всей ИТ-среды.
Возможность мониторинга конечных точек онлайн и оффлайн.
Обнаружение вредоносного ПО.
Сохранение событий конечных точек.
Реагирование на события в режиме реального времени.
Использование черных и белых списков.
Интеграция с дополнительными инструментами безопасности.
Возможность шифрования и контроля доступа.

Решения EDR

Зачем компаниям нужны решения для обнаружения и реагирования конечных точек? Решения EDR выходит за рамки антивируса, выявляя подозрительную активность и реагируя на нее, а также предоставляя криминалистические данные аналитикам безопасности. EDR очень эффективны для сбора непрерывной информации о следах вредоносных программ и других типах киберугроз в сети. Такие данные хранятся в конечных точках сети, что помогает в разработке подходящих стратегий реагирования на инциденты и управления ими.

Если ваша организация использует EDR, значит она серьезно относится к обеспечению безопасности данных, а также к как можно более быстрому устранению нарушений безопасности. У компаний есть два варианта использования системы EDR на конечных точках: покупка локального решения или подписка на услугу, предоставляемую коммерческим SOC. Команда Cloud Networks поможет обеспечить быстрое обнаружение угроз и эффективное реагирование на инциденты безопасности с помощью решений от наших партнеров.

Check Point SandBlast Agent
SandBlast Agent – это решение для расширенной защиты рабочих станций и предотвращения угроз с осознанным отслеживанием и реагированием на инциденты.
Cisco Advanced Malware Protection
Предотвращение проникновений. Непрерывный мониторинг проявлений вредоносной активности. Быстрое обнаружение вредоносного ПО. Удаление вредоносного ПО.
Kaspersky Endpoint Security
Передовая защита рабочих мест и эффективное реагирование на киберинциденты. Единый агент для комплексной защиты. Детальный анализ, проактивный поиск угроз, сбор и хранение данных.
Palo Alto Networks Traps
Комплексная защита предотвращает угрозы на конечных точках и координирует меры по обеспечению безопасности сети и облака для предотвращения успешных кибератак.
Symantec Advanced Threat Protection
Защита от сложных и целенаправленных угроз на уровне конечных точек, встроенная в решение Symantec Advanced Protection Protection (ATP).
Trend Micro EDR
Многоуровневое обнаружение и реагирования. Машинное обучение, анализ поведения, управление приложениями и другие передовые методы для защиты конечных точек.
Bitdefender GravityZone Ultra
Усовершенствованная аналитика защиты, обнаружения, реагирования и анализа рисков, предназначенная для предотвращения многоэтапных атак.
FireEye EDR
FireEye Endpoint Security предоставляет гибкий и экономически эффективный вариант для предотвращения угроз, обнаружения и реагирования на инциденты.

Запросите демонстрацию, чтобы узнать, как EDR обеспечивает безопасность.

Сетевая безопасность - 3


    Отправляя форму, я даю свое согласие на обработку моих персональных данных

    РЕАЛИЗОВАННЫЕ КЕЙСЫ

    suek

    Защита конечных точек в финансовой сфере

    Задача:
    Требовались технические сервисы для поддержки и защиты конечных точек компании.
    Продукт:
    Check Point.
    Результаты:
    Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири и Харабовском крае.

    otp-bank

    Защита конечных точек в финансовой сфере

    Задача:
    Требовалась платформа для администрирования приложений на разных.
    Продукт:
    VMware Workspace ONE.
    Результаты:
    Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.

    cisco

    Защита конечных точек в финансовой сфере

    Задача:
    Требовалась защита периметра ИТ-инфраструктуры.
    Продукт:
    Cisco Firepower.
    Результаты:
    Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода и установлено межсетевое экранирование.

    previous arrow
    next arrow

    О КОМПАНИИ

    Cloud Networks помогает крупным и средним предприятиям трансформироваться с помощью цифровых технологий и управления информационной безопасностью. Мы занимаемся защитой данных, автоматизацией и внедрением информационных технологий. Сочетая подход, основанный на аналитических данных, со знанием технологий, наша команда разрабатывает инновационные стратегии и добивается лучших результатов.

    Сертифицированный партнер 63+ вендоров
    Более 500+ успешных проектов
    Сертификация ФСТЭК и ФСБ
    to-top