Для начала, напомним, что такое ядерная триада. Термин этот обозначает стратегические вооружённые силы государства, оснащенные ядерным вооружением. В триаду входят три компонента: воздушный — стратегическая авиация, сухопутный — межконтинентальные баллистические ракеты, морской — атомные подводные ракетоносцы.

Уважаемый Gartner провел аналогию стратегических вооруженных сил государства с центром мониторинга и оперативного реагирования на инциденты (SOC), выделяя следующие элементы триады SOCа: Security information and event management (SIEM), Network Traffic Analysis (NTA), Endpoint Detection and Response (EDR). Смотря на эту аналогию становится очевидным, что SOC может быть максимально эффективен только в том случае, если будет оснащён всеми компонентами защиты: в «воздухе», на «земле» и в «море».

К сожалению, сегодня большинство организаций используют только «стратегическую авиацию» – SIEM системы. Достаточно редко «межконтинентальные баллистические ракеты» — NTA, заменяя полноценный анализ сетевого трафика лишь сбором логов со стандартных сетевых средств защиты. И уж совсем нечасто «атомные подводные ракетоносцы» — EDR.

В своей сегодняшней заметке, по заветам Gartner, я хочу осветит основные причины важности включения технологии EDR, как одного из элементов современного центра мониторинга и оперативного реагирования на инциденты.

В мире информационной безопасности, технология EDR — это уже гораздо больше, чем просто передовая защита рабочих станций и серверов от сложных угроз. Из года в год рабочие места остаются ключевой целью злоумышленников и самыми распространёнными точками входа в инфраструктуру организаций, что требует должного внимания и соответствующей защиты. А телеметрия является ценной информацией, необходимой для качественного расследования инцидентов, значимость доступа к которой возрастает в еще большей степени с появлением нового протокола шифрования TLS 1.3 и его активного распространения.

EDR стремительно становится движущей силой повышения уровня зрелости и эффективности современных SOC.

Давайте разберемся почему?

Дополнительная видимость


В первую очередь, технология EDR способна предоставить команде SOC видимость там, где большинство организаций остаются сегодня слепы, так как в большинстве своем ориентированы на контроль активностей в сети. Такие компании, в рамках функционирования центра мониторинга и оперативного реагирования на инциденты, редко или только частично подключают конечные точки в качестве источников событий в SIEM систему. Это происходит по причине высокой стоимость сбора и обработки журналов со всех конечных точек, а также из-за генерации огромного количества событий для разбора при достаточно высоком уровне ложных срабатываний, что зачастую приводит к перегрузке специалистов и неэффективному в целом использованию дорогостоящих ресурсов.

Специальный инструмент для обнаружения сложных угроз на хостах


Сложные угрозы и целенаправленные атаки с использованием неизвестного вредоносного кода, скомпрометированных учетных записей, бесфайловых методов, легитимных приложений и действий, не несущих под собой ничего подозрительного, требуют многоуровневого подхода к обнаружению с использованием передовых технологий. В зависимости от того или иного вендора, EDR обычно может включать, различные технологии обнаружения, работающие в автоматическом, полуавтоматическом режиме, и встроенные инструменты, требующие постановки задач вручную, с привлечением высококвалифицированных кадров. Например, это может быть: антивирус, движок поведенческого анализа, песочница, поиск индикаторов компрометации (IoC), работа с индикаторами атак IoA, сопоставление с техниками MITRE ATT&CK, а также автоматическое взаимодействие с Threat Intelligence и ручные запросы в глобальную базу данных об угрозах, ретроспективный анализ, возможность проактивного поиска угроз (Threat Hunting). EDR – это дополнительный инструмент для SOC аналитика с интуитивно понятным интерфейсом для возможности охоты на угрозы в режиме реального времени, который позволяет составлять сложные запросы на поиск подозрительных активностей, вредоносных действий с учетом особенностей защищаемой инфраструктуры.

Все вышеперечисленное позволяет организациям обнаруживать сложные угрозы, нацеленные на обход традиционных средств защиты на хостах, таких как обычные антивирусы, NGAV или решения класса EPP (Endpoint protection platform). Последние сегодня очень тесно взаимодействуют с EDR-решениями и большинство производителей данного класса продуктов предоставляют функциональность EPP и EDR в рамках единого агента, не перегружая машины и в то же время обеспечивая комплексный подход к защите конечных точек от сложных угроз, начиная от автоматической блокировки более простых угроз, заканчивая детектированием и реагированием на более сложные инциденты. Передовые механизмы обнаружения, используемые в EDR, позволяют командам быстро идентифицировать угрозу и оперативно реагировать, предотвращая возможный ущерб для бизнеса.

Дополнительный контекст


Данные с EDR о событиях на хостах являются значимым дополнением к информации, генерируемой другими элементами безопасности и бизнес-приложениями защищаемой инфраструктуры, которые сопоставляются SIEM системой в центре мониторинга и оперативного реагирования на инциденты. EDR обеспечивает быстрый доступ к уже обогащённым дополнительным контекстом данным c инфраструктуры конечных точек, что позволяет, с одной стороны, быстро идентифицировать ложные срабатывания, с другой, использовать эти данные, как драгоценный уже предобработанный материал при расследовании сложносоставных атак, то есть EDR предоставляет релевантные логи для корреляции с событиями от иных источников, тем самым повышает качество глобальных расследований в SOC.

Дополнительная автоматизация


Для организаций, не имеющих EDR, обнаружение сложных угроз на инфраструктуре конечных точек, куда входит: сбор, хранение и анализ данных, а также проведения различных действий на этапах расследования и реагирования на комплексные инциденты, представляется достаточно трудозатратным занятием без применения средств автоматизации.

Сегодня многие аналитики тратят уйму времени на рутинные операции, которые необходимы и важны, но могут быть автоматизированы. Автоматизация этих рутинных ручных задач позволит организациям не только сэкономит дорогостоящее рабочее время аналитика, но и снизить их нагрузку и позволит им сосредоточиться на анализе и реагировании на действительно сложные инциденты. EDR обеспечивают полностью автоматизированный рабочий процесс управления инцидентами, от обнаружения угроз, до анализа и реагирования. Это позволяет SOC команде выполнять более эффективно ежедневные задачи, не тратя времени на ручную работу, тем самым снижая затраты на анализ ненужных журналов.

Быстрый доступ к данным и их наглядное представление информации


Для получения данных, необходимых для расследования, организации могут сталкиваться с некоторыми сложностями, такими как отсутствие возможности оперативного доступа к рабочим местам и серверам при распределенной инфраструктуре или невозможности получения контекстной информации с конкретных машин по причине их уничтожения или зашифровки данных злоумышленниками. Это конечно же приводит к невозможности получения необходимых данных для эффективного процесса расследования и дальнейшего реагирования на инциденты. Когда инцидент уже произошел, использование технологии EDR, включающей непрерывную и централизованную запись, позволяет исключить догадки и экономит время аналитиков.

Злоумышленник зачастую уничтожает свои следы, но EDR, как уже упоминалось, записывает каждое действие атакующих. Вся цепочка событий фиксируется и надежно сохраняется для дальнейшего использования. Когда срабатывает предупреждение любого характера, EDR предоставляет удобный инструментарий, с помощью которого аналитики SOC могут быстро запрашивать информацию для проверки угроз, устранения ложных срабатываний, а также делать запросы на повторное сканирование ретроспективных данных для повышения эффективности расследования и реагирования.

Все действия на хостах представляются в интерфейсе в виде дерева событий, тем самым помогая аналитикам видеть всю картину развития атаки, а также искать нужную им информацию для расследования и принятия оперативных мер по предотвращению угрозы.

Централизованное хранение телеметрии, объектов и ранее сформированных вердиктов позволяет аналитикам работать с ретроспективными данными в рамках расследования угроз, в том числе и растянутых во времени атак. EDR сегодня – это источник ценных данные для современного SOC.

Централизованное реагирование


Когда инцидент обнаружен, EDR предоставляет расширенные возможности для принятия мер на разных этапах его расследования: например, карантин файла, выполнение произвольных команд на хосте удаление объекта, сетевая изоляция хостов и другие действия. EDR позволяет незамедлительно реагировать на инциденты за счет наглядного представления информации и централизованной постановки задач, что не требует выездов на место преступления для поиска улик и принятия мер по реагированию. EDR — это инструмент оптимизации трудозатрат SOC специалистов. Организации значительно уменьшают количество рутинных ручных операций, экономят время SOC аналитиков и сокращают время реагирования с часов до минут.

Вывод


EDR служат бесценным источником данных для SOC, обеспечивая мощные возможности поиска угроз и централизованного реагирования на инциденты, максимально при этом автоматизируя процессы по сбору, анализу и принятию ответных мер на обнаруженные угрозы.

Использование EDR в рамках SOC позволит организациям:

  • повысить эффективность процесса обработки сложных инцидентов за счет дополнительной видимости уровня конечных точек, возможности проактивного поиска угроз и наглядного предоставления информации об обнаруженных событиях на хостах;
  • обогатить SOC предобработанными релевантными данными с рабочих мест и серверов, для сопоставления с логами, предоставляемыми другими источниками для эффективного расследования;
  • значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные со анализом данных с рабочих мест и серверов, а также реагированию на инциденты.

Комментарии (1)


  1. d1g1
    27.06.2019 10:35
    +1

    По мне данная схема логичнее и более полно отображает суть мониторинга за событиями в SOC. Есть механизмы, что собирают информацию с сети, с машин и с пользователей и это уже отправляется в SIEM: image