Антивирус, EPP, EDR и XDR… Многие слышали эти термины, но далеко не все понимают, чем они различаются и почему одного только антивируса сегодня уже недостаточно. В этой статье эксперты из Positive Technologies — Паша Попов, лидер практики по управлению уязвимостями, Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, и Кирилл Черкинский, руководитель практики защиты конечных устройств, — разбираются с помощью наглядных аналогий в средствах киберзащиты и их роли в управлении уязвимостями.

Как трансформировалась киберзащита: от «злой собаки» до «ЧОПа»

Чтобы наглядно увидеть все различия систем и виды их взаимодействия, мы решили представить их на примере коттеджного поселка, состоящего из частных домов с прилегающими участками. Допустим, это будет ИТ-инфраструктура…

Антивирус — это злая собака на цепи.

Она готова напасть на всех, чей запах покажется ей подозрительным, особенно если он уже есть в ее памяти с пометкой «угроза». Увидела злоумышленника из своей «базы» — и мгновенно кидается кусать его за штанину. Просто и эффективно против известных зловредов, но беспомощно перед теми, кого нет в списке или кто перелезет через забор в другом месте.

EPP, endpoint protection platform — полноценный забор с крепким замком.

Кроме собаки (антивируса) территорию защищает ограждение и замок на воротах, ключи от которого есть не у всех (дополнение в виде механизмов контроля доступа). Более того, существует перечень тех, кто может и не может заходить на участок (черные и белые списки приложений), и опись того, что можно проносить на территорию (контроль подключаемых устройств). Таким образом, EPP — это про превентивную базовую защиту, чтобы не пустить угрозу на порог.

EDR, endpoint detection and response — это умная система охраны.

Помимо вышеперечисленных защитных мер по всему участку установлены камеры, датчики движения и микрофоны, а все события непрерывно записываются и анализируются. К примеру, сработал датчик движения в гостиной, а датчик на калитке — нет. Система фиксирует аномалию, ведь кто-то проник на территорию неизвестным способом, и это подозрительно. После такого сигнала может прийти охранник (функция реагирования) и избавиться от нарушителя.

Главная фишка EDR — обнаруживать сложные атаки по поведению, даже если злоумышленник аккуратно перелез через забор в слепой зоне и собака его не заметила.

XDR, extended detection and response — это частная охранная организация, которая координирует всю округу.

XDR выходит далеко за пределы одного дома (конечной точки). Система собирает и коррелирует события, происходящие не только на вашем участке, но и на соседских территориях, а также в общественных местах (данные от сетевых устройств, серверов, облачных сред, почтовых шлюзов). Так, если мимо вашего дома проехала подозрительная машина, а через час кто-то попытался взломать дверь соседа — XDR сможет связать эти события и предупредить об угрозе до того, как она доберется до вас.

Почему классические антивирусы до сих пор живы

Представим: умная охранная система (EDR), фиксируя малейшие движения и без дополнительной настройки, может срабатывать и на пролетевшую муху, и на пробежавшую кошку, и на качнувшуюся от ветра ветку. Чтобы система работала точно и без ошибок, каждый раз на это должен кто-то реагировать — смотреть запись, анализировать, принимать решение. На это требуются время, эксперты-аналитики и определенные компетенции.

У каждой ли компании есть такой сотрудник, который будет разбирать ложные срабатывания? Нет, далеко не у каждой. Многим организациям нужно простое, понятное и надежное решение, которое работает по принципу «включил и забыл». В связи с этим можно выделить следующие причины, по которым антивирусы остаются востребованными:

• Решение не генерирует шум из ложных сработок, которые нужно разбирать вручную. Процесс защиты от известных угроз происходит в автоматическом режиме.

• Антивирус демонстрирует высокую скорость реакции на массовые угрозы. К примеру, программы-вымогатели действуют достаточно быстро: шифрование данных начинается сразу после запуска. Антивирусный сканер останавливает подобные вредоносы на самом старте, еще до нанесения ущерба, тогда как EDR-системе нужно чуть больше времени, чтобы собрать телеметрию, проанализировать цепочку событий и сработать по поведенческому признаку.

• Внедрение и эксплуатация полноценного EDR — это инвестиции не только в софт, но также в людей и процессы. Для некоторых компаний это избыточно. Для кого-то может быть экономически выгоднее установить надежный антивирус, который отлично справляется с массовым вредоносным ПО и спамом, закрывая большую часть повседневных задач ИБ, а углубленный анализ происходящего в инфраструктуре при необходимости поручить сервис-провайдеру.

Понимание этих преимуществ подталкивает вендоров не отказываться от классических методов, а интегрировать их в более сложные решения. К примеру, дополнить мощь и глубину анализа EDR скоростью и автоматичностью антивируса решила Positive Technologies: компания приобрела долю белорусского вендора «ВИРУСБЛОКАДА» и уже представила раннюю версию собственной антивирусной технологии для своей EDR-системы. Теперь благодаря антивирусному ядру, блокирующему большую часть подозрительных процессов, которые к тому же усиливают количество шума, мешающего работе аналитика, — EDR-компонент может сосредоточиться на поиске злоумышленника, который уже мог проникнуть в инфраструктуру. Это снимает нагрузку с аналитиков, уменьшает количество ложных срабатываний и в конечном итоге повышает общий уровень безопасности.

LLM в современных EDR: пилот или помощник?

Представим, что алгоритм на основе large language models обнаруживает критическую угрозу и автоматически изолирует сервер от сети. С одной стороны, это может остановить атаку, с другой — вызвать сбой в важном бизнес-процессе (что особенно обидно, если срабатывание было ложным). Логика модели при принятии решений не всегда очевидна, к тому же в некоторых случаях настроить LLM под конкретные требования политики безопасности не представляется возможным. Здесь мы сталкиваемся с фундаментальным вопросом — кто несет ответственность. И пока в реагировании доминирует жесткая логика, предсказуемая и управляемая.

Однако после детектов аналитики SOC получают гору сырых событий, разбор которых вручную составляет часы кропотливой работы. В свою очередь, LLM может выступить в роли ассистента: проанализирует всю цепочку событий и автоматически сгенерирует сводку по инциденту, при этом обогатив контекст. Делегирование рутины искусственному интеллекту освобождает время специалистов для решения более важных задач, что ускоряет процессы борьбы с инцидентами.

Прямо сейчас большие языковые модели не произвели кардинальных перемен в технологическом ландшафте EDR-решений, но стали неплохими co-pilots на этапе расследования инцидента.

Кроме того, пока AI содействует специалистам по ИБ в борьбе с киберпреступностью, другой AI помогает хакерам совершать атаки. В скором времени для взлома инфраструктуры все чаще будут использоваться AI-агенты: они автономны, адаптивны, способны создавать уникальный вредоносный код. Это новый вызов для систем класса EDR и XDR — уметь распознавать не только «человеческие» техники атак, но и паттерны, характерные для искусственного интеллекта. И мы уже движемся в эту сторону.

EDR и его роль в управлении уязвимостями: универсальный солдат против зоопарка агентов

Традиционная инфраструктура безопасности часто представляет собой разнообразие агентов: для антивируса, системы управления уязвимостями (vulnerability management), активами (asset management), патч-менеджмента и т. п. Это создает ощутимую нагрузку на системы и усложняет администрирование, а коллеги из ИТ вынуждены заниматься установкой и настройкой каждого нового агента.

К тому же процесс управления уязвимостями часто напоминает полосу препятствий: нужно получить сетевые доступы, привилегированные учетные записи, договориться с ИТ-отделом о времени сканирования и мириться с тем, что данные об активах быстро устаревают. Кроме того, сетевые сканеры, лежащие в основе большинства VM-процессов, имеют ряд ограничений: для доступа к системам требуется открытие дополнительных портов и привилегированные учетки, что само по себе является угрозой; данные актуальны только на момент сканирования; недоступные устройства или изолированные сегменты сети выпадают из поля зрения скана.

И здесь EDR, с уже установленным приложением на конечных точках, помогает решить проблему слепых зон и разрозненности агентов, становясь универсальным источником данных для смежных процессов.

Поскольку EDR-агент работает локально под системными привилегиями, он может без дополнительных учетных записей и сетевых доступов собрать исчерпывающую информацию о хосте. Так EDR помогает поддерживать непрерывный мониторинг состояния активов.

Следующий логичный шаг — использовать решение для установки исправлений. Так как агент уже имеет права для инсталляции ПО, он может проверить совместимость, скачать и запустить патч, а затем проконтролировать результат. Но, как и любой инструмент, ERD требует тонкой настройки, ведь неправильная политика автообновления на критически важном сервере может привести к сбоям.

В ситуациях, когда патч установить невозможно, EDR используется как компенсирующая мера. Если известен конкретный способ эксплуатации уязвимости, можно создать правило для детектирования такой попытки, а при сработке запустить автоматическое реагирование: заблокировать процесс, изолировать хост от сети, оповестить аналитика. Уязвимость в этом случае не устраняется — но эксплуатировать ее становится крайне сложно.

Кроме того, EDR представляет собой источник контекста для управления уязвимостями. Решение помогает определить, какие хосты подвержены наибольшему риску (куда часто заходят администраторы или где хранятся критически важные данные), а также совершались ли попытки эксплуатации данной конкретной уязвимости. Обогащение VM-системы подобной информацией позволяет приоритизировать риски и эффективно распределять ресурсы. Помимо прочего, ценность интеграции VM и EDR, если мы это делаем одним агентом: это удобнее, чем если мы имеем отдельные приложения.

?️ Если вам интересна эта тема и вы хотите узнать подробнее, как мы применяем передовые антивирусные технологии для полной защиты конечных устройств, — подключайтесь к стриму 8 октября на Positive Security Day.