Я продолжаю углубляться в мир кибербезопасности. На этот раз решил разобраться, что такое EDR, зачем нужны эти системы и какую роль они играют в защите корпоративного периметра. Чтобы получить исчерпывающие ответы, я поговорил с руководителем управления развития технологий BI.ZONE EDR Виталием Моргуновым.
В интервью вы узнаете, как EDR вписывается в концепцию Zero Trust, с какими системами его можно интегрировать и какие преимущества это дает компаниям. Желаю приятного чтения!
Что такое EDR и какие ключевые функции он выполняет?
Базово EDR — это экспертная система для обнаружения и реагирования на современные угрозы на конечных устройствах. Можно выделить пять основных задач, которые она решает.
Первая — это расширение области видимости той активности, которая происходит на конечных устройствах в инфраструктуре, за счет сбора и централизации широкого набора телеметрии. Наличие богатой номенклатуры событий позволяет обнаруживать вредоносную активность на подконтрольных устройствах, расследовать киберинциденты, проводить инвентаризацию активов, характеристик и атрибутов подконтрольных устройств. И, конечно, выстраивать на основании этих данных множество процессов как в кибербезопасности, так и в IT.
Вторая задача — это выявление современных угроз. Гибкие детектирующие механизмы вместе с богатой телеметрией позволяют выявлять как известные, так и ранее не встречавшиеся угрозы. Это дает возможность обнаруживать следы компрометации инфраструктуры на самых ранних этапах продвижения злоумышленника и определять аномальную активность.
Третий пункт в списке — это реагирование на киберинциденты. Своевременное реагирование — необходимое условие для эффективной защиты от актуальных угроз. Современные EDR не только позволяют осуществлять сценарии автоматического реагирования на выявленные угрозы, но и дают возможность создавать собственные сценарии на основе гибкого инструментария для реагирования с участием аналитика кибербезопасности.
Автоматическое реагирование значительно затрудняет продвижение злоумышленника по инфраструктуре, а богатый функционал для реагирования вручную позволяет эксперту по кибербезопасности быстро и качественно устранить практически любой инцидент.
Задача номер четыре — это инвентаризация настроек активов, ПО и конфигурации ОС. Любая IT‑инфраструктура — это живой и непрерывно меняющийся организм, в котором присутствует большое количество вариаций компонентов, конфигураций и программного обеспечения. В такой системе неизбежно возникают слабые конфигурации и уязвимости, а это значительно расширяет ландшафт угроз для конкретной инфраструктуры. С помощью EDR можно превентивно выявить уязвимости в ПО или слабые конфигурации и заблаговременно исправить эти ошибки. Это усложняет путь продвижения злоумышленника и значительно повышает вероятность обнаружения вредоносной активности.
И, наконец, номер пять — использование объектов‑приманок для раннего обнаружения атакующих. EDR — это единая точка контроля и управления всей endpoint‑составляющей IT‑инфраструктуры, то есть всех конечных точек — серверов и рабочих станций. Именно поэтому необходимо использовать все возможности такого контроля.
Как можно повысить вероятность обнаружения злоумышленников? Один из самых эффективных способов — это разместить в инфраструктуре объекты‑приманки, привлекательные для атакующих. Например, такие объекты могут выглядеть как уязвимые учетные записи или сервисы. Злоумышленник с высокой вероятностью обнаружит приманку на этапе разведки и постарается использовать ее для развития атаки. Это поможет специалистам выявить вредоносную активность и вовремя начать реагирование.
Однако современный EDR — это нечто гораздо большее, чем перечисленные ключевые функции. Это, в первую очередь, гибкий инструмент, который подразумевает покрытие всех конечных точек, что позволяет применять его в самых разных сценариях с использованием распределенной сети подконтрольных хостов. Это делает EDR одним из важнейших компонентов в любом XDR‑решении, поскольку значительно расширяет область видимости и контроля происходящего в инфраструктуре. Таким образом, EDR — это не только решение для мониторинга и реагирования на угрозы, но и универсальный инструмент для контроля всей IT‑инфраструктуры и управления ей.
Чем EDR отличается от традиционного антивирусного ПО?
EDR не является заменой современного антивирусного ПО (EPP). Это разные классы решений, которые решают разные задачи. Антивирусное ПО — это, в первую очередь, «черный ящик», и его основная задача — защищать от известных автоматизированных угроз, которые не управляются человеком. Антивирус должен обеспечивать максимальный уровень обнаружения вредоносных программ (detection rate) при минимальном уровне ложных срабатываний (false positive rate). Другими словами, это автономное решение, которое защищает «из коробки» настолько, насколько это возможно без участия аналитика кибербезопасности.
При таком подходе невозможно обеспечить полноценную защиту инфраструктуры от современных угроз, поскольку киберпреступники стараются сделать свою активность максимально похожей на штатную работу инфраструктуры. Такую атаку невозможно обнаружить автоматизированным средством, цель которого — максимальная унификация под разнородные инфраструктуры и снижение false positive rate ради повышения detection rate.
EDR же за счет гибких инструментов и технологий для адаптации под разнородные инфраструктуры позволяет реализовывать всеобъемлющую логику по мониторингу и выявлению угроз. Но эффективно и полноценно работать EDR может только при участии эксперта — аналитика по киберезопасности. Таким образом расширяется область видимости и контроля происходящего в инфраструктуре.
Какие основные компоненты должны быть у современного EDR‑решения?
Как правило, решение EDR состоит из двух компонентов: агентов, работающих на конечных точках, и сервера управления агентами. В свою очередь, каждый из этих компонентов состоит из нескольких функциональных частей со своими задачами.
Агент представляет собой программу, которая запускается на конечных устройствах под управлением Windows, Linux или macOS. За счет различных модулей она может подключаться к серверу управления для получения новых задач и отправки результатов тех, которые уже выполнены; осуществлять мониторинг событий безопасности ОС; собирать инвентаризационную информацию; выполнять сценарии автоматического и ручного реагирования и производить корреляцию событий в рамках одного устройства. Агент также может создавать объекты‑приманки на конечной точке или в домене Active Directory, выявлять попытки их использования и решать многие другие задачи.
Что касается сервера управления, его компоненты должны поддерживать горизонтальное масштабирование. Это дает возможность работать в больших инфраструктурах, которые состоят из сотен тысяч хостов.В качестве основных составляющих серверной части можно выделить, во‑первых, управляющий компонент. Он взаимодействует с устройством, осуществляет сбор данных, отправляет команды на исполнение и обеспечивает любой другой обмен между устройством и сервером.
Компонент хранения и корреляции позволяет осуществлять поиск по собранным данным событий и инвентаризации. Он же помогает реализовывать сложную корреляционную логику для обнаружения современных угроз.
И, наконец, компонент регистрации, обработки и обогащения алертов. Он обеспечивает гибкое и удобное взаимодействия с алертами и инцидентами. Это позволяет аналитикам кибербезопасности осуществлять реагирование, автоматизировать респонсивные сценарии и многое другое.
Какие данные собирает EDR с конечных устройств?
Для EDR крайне важно качество поставляемых данных. Детектирующие возможности решения напрямую зависят от номенклатуры событий и их атрибутов.
EDR собирает в операционной системе значительные объемы разнородной информации. В целом события EDR можно разделить на две категории: события мониторинга и данные, полученные в результате инвентаризации.
События мониторинга — это результат работы механизмов, которые инспектируют активность на устройстве в режиме реального времени и полностью отражают поведение тех или иных активов операционной системы. Именно эту категорию событий в основном и используют для обнаружения современных угроз, которые проявляют себя на конечных устройствах.
Можно выделить несколько основных групп событий мониторинга.
Во‑первых, события взаимодействия с процессами и регионами памяти ОС. Все современные угрозы так или иначе проявляют себя во взаимодействии с процессами — это старт, инжектирование, подгрузки модулей и т. д. Все эти типы событий, а также их атрибуты позволяют обнаруживать активность злоумышленников.
Во‑вторых, события взаимодействия с реестром. Говоря общими словами, реестр — это база данных и конфигураций Windows, которая вызывает большой интерес у злоумышленников. Преступники нередко используют ее в сценариях закрепления или же компрометации учетных данных. Мониторинг операций с реестром позволяет выявлять нелегитимные взаимодействия с реестром и его артефактами.
В‑третьих, события взаимодействия с файловой системой. Практически никакая современная атака не обходится без взаимодействия с файловой системой. Соответственно, эта группа событий — одна из важнейших для обнаружения атакующих в инфраструктуре.
Четвертая группа — это события взаимодействия с сетью. Чтобы горизонтально продвигаться по инфраструктуре, злоумышленнику необходимо использовать сеть. Именно по этой причине необходимо инспектировать входящие и исходящие соединения, открытия сетевых портов, DNS‑резолвов.
И, наконец, пятая группа — события активности в контейнерах. Контейнеры в основном представляют собой изолированные среды, профиль поведения которых остается неизменным. Инспекция поведения в контейнерах позволяет обнаружить аномальные паттерны, которые не характерны для стандартного профиля поведения.
Однако помимо перечисленных существуют и другие типы и группы событий, которые также применяются в сценариях обнаружения угроз.
Помимо событий мониторинга существуют также события инвентаризации. Они позволяют собирать информацию о текущем состоянии системы по заданному расписанию. Таким инструментом можно собирать много произвольных данных от перечня запущенных процессов с подробной информацией о них и до произвольных артефактов реестра, которые позволяют определить версии установленного ПО и обновлений безопасности. Эти данные также можно использовать в качестве обогащения для обнаружения угроз.
Вся эта информация активно используется современными EDR для обнаружения угроз, управляемых человеком.
Расскажите о роли EDR в стратегии Zero Trust.
Zero Trust ставит перед EDR две большие задачи: непрерывно осуществлять контроль конфигураций устройства на предмет соответствия политикам безопасности, а также реагировать в случае несоответствия политикам. Реагирование осуществляется путем ограничения доступа устройства к активам инфраструктуры за счет инструментов EDR и операционной системы.
Современные EDR-решения постоянно адаптируются под различные задачи, в которых могут быть полезны. Zero Trust — хороший тому пример. В составе современных EDR-решений уже присутствуют компоненты контроля конфигураций, а также гибкие инструменты настройки собственной комплаенс-политики.
Именно поэтому EDR в стратегии Zero Trust выступает одним из основных решений для контроля состояния конечных точек и может как самостоятельно ограничивать доступ, так и предоставлять информацию о состоянии хоста другим средствам защиты.
Какие типы организаций больше всего выигрывают от внедрения EDR?
В первую очередь EDR — это экспертная система в том смысле, что для ее эффективной работы необходимо непрерывное участие экспертов — аналитиков кибербезопасности. Таким образом, наиболее эффективно ее используют те компании, у которых в штате присутствуют команды мониторинга и реагирования.
В основном к таким компаниям можно отнести крупный бизнес, у которого есть большая инфраструктура, требующая соответствующих вложений для обеспечения безопасности, а также собственная команда для этих задач.
Стоит отметить, что вендоры также предлагают и сервисные модели. Они подразумевают использование все того же EDR-решения, однако мониторинг событий, контроль происходящего в инфраструктуре и комплаенс-проверки в рамках этой схемы осуществляет сам вендор за счет своей команды. Такой вариант подходит для бизнеса любого масштаба и не требует от компании значительных вложений в развитие собственной экспертной команды.
Может ли EDR реагировать на инциденты в режиме реального времени?
В современных EDR присутствуют как автоматизированные респонсивные сценарии, предоставляемые вендором, так и гибкий инструментарий по настройке своих собственных сценариев реагирования.
Автоматизированные сценарии, в свою очередь, можно разделить на «хостовые» и «платформенные». Хостовые сценарии осуществляют реагирование на известные, уже идентифицированные угрозы, которые не требуют дополнительного обогащения со стороны инфраструктуры и контекста происходящего на других устройствах. Допустим, это может быть блокировка запуска подозрительных процессов хакерских утилит или создания ими характерных файловых артефактов (например, временных файлов утилиты Impacket). Как правило, такие сценарии поставляются на конечные точки и срабатывают в результате успешных хостовых корреляций, и именно их можно отнести к реагированию в режиме реального времени.
Платформенные автоматизированные сценарии по реагированию несут в себе более сложную логику. Для их работы необходимо много дополнительного контекста с других конечных точек, средств защиты и инфраструктурных информационных систем. Такие сценарии в силу их специфики нельзя отнести к реагированию в режиме реального времени, но они в значительной степени помогают автоматизировать работу аналитикам кибербезопасности, а значит, сэкономить время.
Какие типы атак наиболее эффективно обнаруживает и блокирует EDR, может ли EDR осуществлять обнаружение сложных APT (Advanced Persistent Threats) атак?
Главная задача EDR — обнаруживать паттерны любой (абсолютно любой!) современной атаки, управляемой человеком, которая проявляется на конечной точке. Именно поэтому нельзя выделить какую-то определенную категорию атак, с которой EDR справляется лучше всего.
Качественная телеметрия, гибкость и чувствительность логики обнаружения правильно настроенного EDR-решения дает возможность как обнаруживать атаку на самых ранних этапах, так и отслеживать всю цепочку продвижения злоумышленника по инфраструктуре.
Подавляющее большинство APT-атак проявляют себя именно на конечных точках. Именно поэтому для защиты от таких атак EDR является неотъемлемым компонентом.
Может ли EDR интегрироваться с SIEM, SOAR-системами и XDR-платформами?
Решение EDR не просто может, а должно интегрироваться с SIEM и SOAR. Полноценная эшелонированная защита подразумевает централизацию всех данных и механизмов управления. Именно по этой причине сейчас и наблюдается восходящий тренд на XDR-платформы с нативными интеграциями между продуктами.
Одна из главных задач EDR — предоставлять гибкий инструментарий по управлению и контролю конечных точек. Под гибкостью понимается полная свобода в действиях при помощи API, а также набор популярных протоколов по передаче данных с возможностью передавать данные произвольным информационным системам. Таким образом, EDR может использоваться не только как самостоятельное решение, но и дополнять и усиливать существующие процессы кибербезопасности, интегрируясь с SIEM и SOAR (IRP).
В свою очередь, XDR — логичный и закономерный путь развития продуктовой линейки вендора по ряду причин. Бесшовные интеграции различных продуктов одного вендора позволяют обогащать собираемые данные и алерты дополнительным контекстом, что, в свою очередь, дает больше возможностей обнаружить злоумышленников на более ранних этапах атаки, а централизация управления в одной консоли позволяет эффективно и комплексно реагировать на выявляемые угрозы на различных эшелонах защиты инфраструктуры.
Сценарий применения EDR в составе XDR-платформы:
● Злоумышленник инициирует целевую рассылку, содержащую зашифрованный архив с вредоносным вложением.
● Почтовое средство защиты не детектирует вредоносное вложение, разрешая доставку конечным пользователям.
● Пользователь расшифровывает архив, запускает вложение.
● Вредоносное ПО начинает проявлять подозрительное поведение, в результате чего EDR фиксирует вредоносную активность.
● EDR осуществляет реагирование на конечной точке, блокируя развитие атаки.
● EDR отправляет алерты и собранную информацию на XDR-платформу.
● XDR осуществляет анализ собранной информации для выявления всех затронутых инфраструктурных элементов в ходе атаки:
● поиск получателей письма;
● поиск вредоносных индикаторов в событиях SIEM/EDR.
● XDR осуществляет реагирование на основании собранной информации:
● удаление вредоносных писем из ПЯ пользователей;
● блокировка писем по артефактам отправителя и вложениям;
● добавление выявленных индикаторов компрометации в список IoC на предотвращение запуска в EDR.
● XDR осуществляет обогащение алерта и регистрацию инцидента в SOAR.
Как EDR помогает предотвращать атаки с использованием эксплойтов?
Эксплойт — это обычный инструмент для достижения определенной цели на конечном устройстве. По сути, единственное его отличие от других инструментов — это использование уязвимостей и мисконфигураций.
Современные EDR противодействуют эксплойтам двумя основными способами.
Первый — это поиск небезопасных конфигураций, уязвимого ПО и любых других объектов, которые злоумышленники могут использовать для проведения атаки, за счет тонко и гибко настраиваемых механизмов инвентаризации операционной системы. Выявление таких паттернов позволяет превентивно оповещать аналитиков кибербезопасности о слабых местах инфраструктуры, которые могут быть использованы злоумышленником для развития атаки. Своевременное исправление выявленных недостатков значительно усложняет злоумышленнику продвижение по инфраструктуре и заставляет его выполнять более шумные действия, по которым он будет обнаружен быстрее.
Второй способ связан с тем, что зачастую (но не всегда!) процесс эксплуатации уязвимостей проявляется в виде статических или поведенческих паттернов в операционной системе. Это позволяет обнаружить угрозу и своевременно отреагировать на нее. Однако в силу специфики работы некоторых видов эксплуатируемого ПО такой вариант не всегда возможен. На такой случай в EDR существует множество детектирующих логик, которые нацелены на обнаружение постэксплуатационных действий, что, в свою очередь, так или иначе раскрывает факт присутствия атакующего в инфраструктуре.
Использование эксплойтов в ходе атаки встречается регулярно, поэтому эти процессы необходимо детектировать, как и любую другую вредоносную активность. Современные EDR отлично с этим справляются.
Используются ли в современных EDR технологии машинного обучения и анализа данных?
Да, технологии машинного обучения применяются и эффективно проявляют себя в EDR-решениях.
Один из ярких примеров — алгоритмы обнаружения аномального поведения устройств в инфраструктуре, которые невозможно реализовать с использованием детерминированной логики в детектирующих правилах. А вот детектирующая логика, реализованная при помощи машинного обучения, позволяет осуществлять как глобальный мониторинг аномальной активности по поведенческим профилям пользователей, устройств и групп устройств, так и более точное детектирование, которое нацелено на обнаружение определенной категории техник, используемых злоумышленниками.
Помимо механизмов обнаружения угроз, можно также выделить появление ИИ-ассистентов, которые улучшают пользовательский опыт. За счет использования больших языковых моделей (LLM) решаются разные задачи — от суммаризации и объяснения алертов до написания исключений или детектирующих правил. Это снижает порог входа в профессию для аналитиков кибербезопасности и помогает сократить временные затраты на процессы мониторинга и реагирования.
Какие механизмы защиты от ложных срабатываний предусмотрены в EDR?
Каждая инфраструктура уникальна. Поэтому для правильной работы решения необходимо в процессе внедрения адаптировать EDR под ее особенности.
Процесс адаптации подразумевает исследование штатного поведения инфраструктуры и внесение в правила ряда исключений при помощи гибких и автоматизированных инструментов EDR. Это значительно снижает вероятность ложных срабатываний.
Помимо процесса внедрения, в современных EDR существуют и другие возможности снизить количество ложных срабатываний и улучшить пользовательский опыт. Например, это агрегационные механизмы, которые позволяют связывать алерты и инциденты в сгруппированную сущность. Также существуют алгоритмы обнаружения растущего потока срабатываний, обращая внимание на которые аналитик кибербезопасности может выделить закономерности и внести соответствующие исключения в правила. Все это значительно снижает трудозатраты на обработку срабатываний и повышает качество работы аналитиков.
EDR помогает бороться с атаками с использованием легитимного ПО?
Да. Более того, использование злоумышленниками легитимных инструментов и стало одной из важнейших причин создания EDR как класса решений. Это связано с тем, что решения класса EPP не обладают достаточной гибкостью, функциональностью и информативностью для защиты от подобного рода угроз, поскольку проектировались для совершенно иных задач.
Сама суть EDR как класса решений — осуществлять мониторинг любой активности на ОС, в том числе и активности легитимного ПО. Современные EDR имеют богатую детектирующую логику, которая формируется в результате экспертного анализа, который проводит вендор, выявляя «штатное» и «аномальное» поведение ПО в инфраструктуре.
Помимо этого, легитимное ПО может по-разному проявлять себя в различных инфраструктурах. По этой причине процесс профилирования и определения стандартного поведения ПО в инфраструктуре также помогает выделить нестандартные паттерны и в результате обнаруживать вредоносную активность, для которой используется легитимное ПО.
Какие механизмы EDR предлагает для расследования инцидентов?
В составе любого EDR присутствует хранилище данных. Помимо собственно хранения данных, собираемых с конечных точек (событий, результатов инвентаризации, сгенерированных алертов и многого другого), оно также позволяет выполнять поиск по этим данным. В процессе расследования инцидентов всегда возникает необходимость в оперативном поиске информации по различным критериям и с различными подходами к самому поиску (агрегации, сортировка, фильтрация и т. д.).
В современных EDR присутствует функциональность сбора forensics-артефактов из операционной системы по требованию. Такие артефакты позволяют на глубоком уровне исследовать состояние файловой системы, ресстра ОС, различных кешей и т. д.
В ходе расследования инцидентов также часто используют механизмы для произвольного взаимодействия с ОС. Среди этих механизмов — запуск произвольных команд и скриптов, получение произвольных файлов, запуск инвентаризации произвольной области ОС, отправка и запуск произвольного файла, изоляция устройства в сети, поиск объектов в файловой системе по имени, содержимому файла и многое другое.
Расскажите о метриках, используемых для оценки эффективности работы EDR.
Перед внедрением решения в инфраструктуру эксперты команды проводят его комплексное тестирование, в рамках которого критерии исчисляются сотнями. Можно выделить несколько ключевых категорий этих критериев.
Detection rate и False positive rate, обеспечиваемый решением, — один из важнейших показателей качества продукта. Зачастую оценка решения сводится к использованию Breach and Attack simulator (BAS) — фреймворков, которые позволяют осуществить симуляцию атаки и таким образом проверить эффективность и чувствительность детектирующих алгоритмов. К этой же категории критериев можно отнести и качество собираемой телеметрии, поскольку этот фактор напрямую влияет на уровень Detection rate и расширяет возможности по снижению False positive rate.
Наполненность инструментарием для гибкого и эффективного реагирования на инциденты — еще один важный критерий для оценки того, как работает EDR. Response, или реагирование — одна из центральных составляющих EDR-решений, поскольку именно функциональные возможности по реагированию позволяют аналитикам кибербезопасности быстро и эффективно останавливать процесс развития атаки, собирать необходимые для анализа артефакты, исследовать состояние устройства в режиме реального времени и многое другое.
Следующий критерий — необходимое оборудование для работы решения. Современные EDR собирают значительный объем информации с конечных точек. Учитывая, что коммерческие инфраструктуры могут состоять из большого числа устройств, обрабатывать, хранить и коррелировать приходится большие потоки телеметрии. В связи с этим возникает острая необходимость в оптимизации механизмов и технологий обработки данных, чтобы сократить потребность в вычислительных ресурсах. Чем меньше их требуется для работы решения, тем ниже общая стоимость владения решением или его эксплуатации.
Ключевым критерием также является наполнение решения функциональными возможностями. Используя EDR, специалисты получают распределенную и подконтрольную сеть устройств, которую можно использовать в самых разных процессах IT и кибербезопасности. Чем более гибким является EDR, тем шире область его применения, а значит, оно позволит решить больше задач. Среди этих задач можно выделить управление уязвимостями, deception, инвентаризацию инфраструктуры и ее активов, обнаружение небезопасных конфигураций, профилирование поведенческих профилей пользователей, паттернов используемого ПО и т. д. Чтобы использовать имеющиеся функциональные возможности эффективно, также необходима гибкость и функциональность в интеграционных возможностях решения, что реализуется за счет наличия API-интерфейсов, которые могут предоставить полный набор функций, доступный из сторонних средств управления и оркестрации.
Какие сложности могут возникнуть при эксплуатации EDR в крупной распределенной сети?
Основные сложности возникают не на этапе эксплуатации решения, а во время его внедрения и адаптации в инфраструктуре. В частности, в условиях неподготовленной инфраструктуры одной из самых сложных задач является покрытие. Для полноценной работы решения нужно осуществить инсталляцию на всю инфраструктуру конечных точек, а значит, свою инфраструктуру требуется хорошо знать. Также следует иметь набор необходимых инструментов для централизованной инсталляции решения.
Более того, в каждой IT-инфраструктуре, куда внедряется EDR, уже существуют свои процессы кибербезопасности, в рамках которых реализуются сценарии мониторинга, реагирования и расследования инцидентов. При внедрении EDR необходимо разработать процессную составляющую, которая хорошо впишется в уже существующие процессы кибербезопасности и не окажет на них негативного влияния. Зачастую это оказывается весьма нетривиальной задачей.
EDR-решения адаптируются к гибридным и удаленным средам?
Стоит отметить, что с точки зрения мониторинга событий безопасности не имеет значения, является устройство удаленным рабочим местом или нет. Согласно подходу Zero Trust, никакие устройства нельзя считать доверенными на постоянной основе. Доверие к устройству может существовать только в моменте.
Тот же принцип действует и в отношении категорий устройств. В рамках Zero Trust недопустимо считать одни категории устройств более доверенными, чем другие. Сразу оговоримся, что речь сейчас только о пользовательских устройствах. В случае с гибридными и удаленными рабочими средами модели нарушителя могут различаться, но способы реализации тех или иных этапов атаки будут идентичны.
Именно по этой причине не стоит разделять политики мониторинга угроз в зависимости от категории устройств. Все устройства необходимо инспектировать на равных условиях, не исключая детектирующие сценарии для определенных категорий.
Однако вместе с тем современные EDR предоставляют гибкий инструментарий для реализации различных политик мониторинга и сбора событий в зависимости от устройств, а также для применения разных политик комплаенс-проверок, которые используются как источник принятия решения о доверии к устройству.
Как EDR-решения помогают соблюдать различные законы и стандарты по информационной безопасности?
Часто компании сталкиваются со следующей проблемой: для соблюдения различных законов и стандартов по кибербезопасности приходится использовать разрозненные инструменты и подходы. Это затрудняет управление процессами комплаенса, снижает их эффективность и увеличивает риск ошибок из-за человеческого фактора.
Установка EDR-агента на каждом хосте значительно упрощает выполнение технических требований и стандартов кибербезопасности, а также контроль за этим. Такие требования могут включать в себя множество пунктов от обеспечения полноты и целостности записей событий в журналах до проверки корректности настроек операционной системы и контроля состояния используемых средств защиты. Благодаря постоянному мониторингу и сбору данных EDR обеспечивает точное соответствие требованиям стандартов, таким как ведение логов, их регулярный анализ, обеспечение их доступности для аудита и т. д.
Одно из ключевых преимуществ EDR — возможность глубокого анализа телеметрии, собираемой агентом. Она включает в себя данные о событиях, активности пользователей, состоянии операционной системы и установленного программного обеспечения. Такой подход позволяет не только фиксировать инциденты, но и выявлять потенциальные уязвимости в инфраструктуре. Это дает возможность своевременно устранять слабые места, предотвращая таким образом возможные нарушения стандартов безопасности.
Кроме того, большинство современных EDR-решений оснащены централизованной консолью управления, которая предоставляет полный обзор состояния всех конечных точек в режиме реального времени. Такая консоль может обеспечивать наглядную отчетность, в том числе детализированные отчеты о состоянии безопасности, активности пользователей и уязвимостях системы. Это упрощает процесс аудита и позволяет легко и быстро проверить уровень соответствия требованиям стандартов безопасности.
Есть ли российские аналоги международных EDR‑решений, и как они конкурируют на рынке?
Да, российские аналоги западных EDR существуют. Стоит отметить, что западные решения этого класса начали развиваться значительно раньше, и по этой причине может сложиться мнение, что отечественные аналоги находятся на «догоняющих позициях». Но это справедливо лишь отчасти.
EDR — это сложный с точки зрения разработки продукт. Это связано в первую очередь с большими объемами системной, драйверной разработки. В ходе нее приходится учитывать значительное количество факторов, в том числе стабильность, производительность. Западные вендоры были в рядах первопроходцев и одними из первых сталкивались с возникающими проблемами и сложностями и преодолевали их. К тому моменту, когда российские вендоры начали разрабатывать EDR, значительная часть этих проблем была уже решена. Поэтому российский путь разработки EDR короче и быстрее иностранного, хоть и стартовал значительно позже.
Сравнивая глобально российские и иностранные EDR, можно отметить, что первые не уступают западным с точки зрения детектирующих возможностей. Другими словами, основную задачу — обнаружение угроз и защиту устройств — российские EDR решают так же хорошо, как и западные. Однако, вынося за скобки детектирующую составляющую, можно отметить, что западные решения опережают российские в платформенной части за счет различных интеграционных сценариев, «коробочности», интенсивного применения ИИ, гибкости самих решений и пользовательских возможностей.
Сейчас на российском рынке отсутствуют западные игроки и конкурентное поле занимают отечественные. Однако это не значит, что российские вендоры не исследуют международные решения на предмет появления новых трендов, фич и идей, которые могли бы помочь эффективнее развивать продукты.
Материал получился объёмным, а тема оказалась специфической, но я надеюсь, что материал смог передать основные идеи EDR и ответить на вопрос, нужен ли он на периметре у разных компаний. Думаю, что можно будет углубить какой‑то из вопросов с другими спикерами, как это было у меня с NGFW, так что надеюсь, материал о EDR у меня будет не последним. Спасибо за прочтение!