`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Endpoint Detection and Response — что необходимо знать о решениях

+11
голос

Обнаружение конечной точки и ответ — именно так переводится категория инструментов и технологий, которые используются для защиты компьютеров пользователей от потенциальных угроз. Однако в данной публикации для удобства будем использовать более привычную для профессионалов аббревиатура EDR.

В последнее время бизнес, да и государственные структуры вынуждены все больше уделять внимания вопросам кибербезопасности, которые могут быть сопряжены с серьезными проблемами и потерями.

Для этого беспокойства есть все основания: стоимость потерь от киберпреступности варьируется по разным оценкам от 600 млрд. долл. до нескольких триллионов долл. в год. Программа-вымогатель может остановить деятельность организации на продолжительный период, а восстановление может обойтись в миллионы долларов, и эти угрозы становятся все более изощренными и детектировать их все сложнее.

Почти восемь из десяти успешных атак на протяжении 2017-2018 гг. были связаны с бесфайловыми вредоносными программами, которые могут уклоняться от обнаружения антивирусом.

Более того, несмотря на огромные суммы, расходуемые каждый год на решения в области безопасности, ситуация не улучшается, а зачастую становится только хуже для многих компаний. И за примерами далеко ходить не нужно, отголоски громких атак программ-вымогателей на ряд крупные организации слышны с завидной регулярностью в последнее время.

Безусловно, обычные решения безопасности полезны и обеспечивают некоторый уровень защиты. Различные антивирусы, брандмауэры, веб-шлюзы безопасности, системы для управления инцидентами и событиями безопасности (SIEM), решения для защиты от программ-вымогателей, инструменты облачной безопасности и пр. обеспечивают защиту от большинства угроз. В то же время исследования многих аналитических фирм показывают, что нынешний уровень защиты во многих случаях просто неадекватен из-за улучшения тактики маскировки, из-за конечных пользователей, которые работают за пределами защиты периметра (например, из аэропортов, кафе, магазинов или из дома), зараженных USB, бесфайловых атак и т.д.

Однако защита начинается с конечных точек, и все больше организаций разворачивают решения EDR как дополнение к существующей системе безопасности.

В числе важных преимуществ EDR — непрерывный мониторинг конечных точек внутри и вне корпоративной сети. Кроме того, эти средства используют ИИ для выявления активности вредоносного кода, а также обеспечивают упреждающую охоту за индикаторами атак, чтобы увидеть признаки, которые еще не обнаружены.

В пользу разворачивания EDR говорит и изменившаяся поверхность атак. Так, 15 лет назад большинство организаций имело локальную инфраструктуру, совсем небольшую в контексте своей вычислительной среды. Они управляли локальной системой, электронной почтой и другими критически важными для бизнеса приложениями, используя собственные серверы, которые администрировались их ИТ-специалистами. Работа велась главным образом с настольными компьютерами и ноутбуками, принадлежащими компании. Более того, сравнительно немного сотрудников, у которых были мобильные устройства — в эпоху до появления смартфонов — предоставлялись работодателем, и большая часть данных и вычислительных активов находилась в рамках периметра. Периметра, который можно было защитить достаточно эффективно с помощью обычной инфраструктуры безопасности.

Но в наши дни ситуация радикально изменилась. Огромное количество организаций пользуются разнообразными облачными сервисами внутри гибридной среды как для критических, так и стандартных бизнес-приложений. По различным оценкам, в среднем крупная компрания использует около 1200 облачных сервисов, и большинство из них не адаптировано для корпораций. Для доступа к корпоративным ресурсам и чувствительным данным широко используются мобильные устройства, которые принадлежат и управляются сотрудниками. Эти устройства, как правило, содержат большое количество приложений, многие из которых могут быть использованы для получения учетных данных пользователя. Тенденция BYOD распространилась с персональных и управляемых устройств на персональные и управляемые облачные, мобильные и настольные приложения многих типов. В итоге — фактически больше не существует защитного периметра, который может полностью обезопасить корпоративные данные.

Стоит также учитывать, что современные злоумышленники хорошо финансируются, располагают техническими ресурсами, необходимыми для создания новых и эффективных методов атак, активно обмениваются новыми методами и процессами. Недавнее исследование Bromium показало, что большинство успешных киберпреступников могут «зарабатывать» до 2 млн. долл. ежегодно. Деньги являются мотиватором и киберпреступники создают новые и сложные методы взлома корпоративной защиты.

Как следствие, чтобы противостоять нарастающей волне атак в последние годы активно развивался сегменте EDR-решений — от 238 млн. долл. в 2015 г. до прогнозируемых в 2020 г. 1,54 млрд. долл. При этом наиболее важными причинами активного роста этих решений является их способность противостоять бесфайловому вредоносному коду, а также встроенные механизмы телеметрии угроз поверх традиционных решений в области безопасности.

Рассмотрим более детально, что же такое современные EDR. Аналитики Gartner обозначают их следующим образом:

  • эти инструменты, в основном сосредоточены на обнаружении и расследовании подозрительной активности (и ее отслеживании) других задач на хостах и конечных точках;

  • эти инструменты фокусируются на конечных точках (в противовес охвату всей сети), угрозах (а лишь на вредоносном коде и официально декларируемых инцидентах), и инструменты, основное назначение которых как обнаружение, так и ответ на инцидент;

  • эти инструменты записывают множество детализированных событий на конечных точках и в сети и сохраняют эту информацию в централизованной БД для глубокого определения, анализа, расследования и оповещения.

Одним словом, EDR-решения осуществляют непрерывный мониторинг, запись и анализ любой активности и события на конечной точке. В то время как традиционные решения EPP (Endpoint Protection Platform) позволяют или блокируют конкретную деятельность на основе сигнатур или идентификации подозрительной активности, EDR обеспечивает постоянный мониторинг и возможность записывать и хранить информацию о действиях конечных точек для целей проведения расследований и будущего анализа. Аналитические возможности являются важным элементом решений EDR, так как они помогают исследователям безопасности, аналитикам безопасности и охотникам за угрозами понять, что пошло не так и как предотвратить будущие угрозы.

Хотя EDR для всех намерений и целей является решением после взлома, поскольку в нем анализируются атаки, которые уже произошли (или были предприняты), его также можно использовать для анализа угроз и источников на предмет их будущей склонности к атакам. Конечной целью EDR является не только обнаружение и устранение угроз, но и их упреждающий поиск. В то же время некоторые поставщики пытаются дополнить свои EDR возможностями отслеживания и видимости так называемыми функциями «последней линии защиты», нацеленными на блокирование повреждений после взлома.

Системы EDR основываются на возможностях традиционных решений безопасности. Несмотря на способность многих решений EPP обнаруживать угрозы, они, как правило, не могут обнаруживать вторжения, когда те происходят, как и решения EDR из-за растущей сложности субъектов угроз. Фактически, многие злоумышленники могут проникать в сети незамеченными и оставаться необнаруженными в течение значительных промежутков времени, пока они ищут и извлекают активы корпоративных данных. Время, которым киберпреступники располагают между первоначальным вторжением и моментом их обнаружения — известное как время задержки, — существенно сократилось за последние несколько лет. Например, FireEye Mandiant сообщает, что среднее время задержки уменьшилось с 416 дней в 2011 г. до 78 дней в 2018 г., тогда как как доля расследований, в которых время ожидания превышало 700 дней, сократилась с 21% от общего числа в 2017 г. до 12% в 2018. Хотя тенденция сокращения времени ожидания, безусловно, является хорошей новостью, важно иметь в виду, что для «плохого парня» 78 дней на охоту в корпоративной сети — это все еще очень много, и что за это время можно загрузить много терабайт конфиденциальных данных.

Основной причиной отсутствия обнаружения угроз после взлома для многих современных решений в области безопасности является то, что в них не предусмотрено какое-либо предупреждение о том, что произошло что-то подозрительное. Поскольку злоумышленники способны обойти существующий антивирус, они могут командовать и контролировать взломанный актив, не вызывая подозрений. В то время как некоторые организации наводнены предупреждениями и иногда игнорируют или не в состоянии должным образом реагировать на них, оповещения, основанные на статических индикаторах компрометации, могут никогда не вызываться изощренными взломщиками. Ключевая проблема, которую необходимо решить, — это появление критических предупреждений таким образом, чтобы группы безопасности могли понять проблему и расставить приоритеты для следующих шагов.

Во многих традиционных решениях аналитикам безопасности часто не хватает информации, необходимой для понимания того, как произошло нарушение или как его предотвратить в будущем, и им часто не хватает возможности анализировать угрозы и проводить тщательные расследования. Результатом является длительное время устранения многих угроз, потому что у исследователей нет всех инструментов, необходимых для понимания первопричины, того, как возникли проблемы, кто был затронут, что необходимо сделать и так далее. Также не записывается достаточное количество информации об активности конечных точек, а информация, которая захватывается, не сохраняется или не доступна надлежащим образом, инструменты анализа отсутствуют. SIEM устраняют эти недостатки в некоторой степени, но не так полно, как решения EDR. Последние обходят эту нехватку глубокой видимости, предоставляя возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.

Решения EDR справляются с каждой из этих проблем. Они осуществляют непрерывный мониторинг активности всех конечных точек, чтобы определить направленные и сложные атаки типа ATP, латеральное движение в сети, необычную активность инсайдеров и аномалии и активности, совершаемые злоумышленниками. Они также записывают все события, которые имели место на конечных точках и в сети, чтобы обеспечить полный набор данных для последующего анализа.

Важно отметить, что EDR не может рассматриваться как простой продукт, который добавляется в инфраструктуру безопасности и затем может быть оставлен для выполнения своей работы без управления. Хотя средства EDR могут в некоторой степени использовать автоматизацию, все же необходимы инвестиции в обеспечение безопасности, чтобы в полной мере использовать их возможности и функции.

Решению EDR необходимо уделить то внимание, которого оно заслуживает в общем контексте инфраструктуры безопасности. Оно не является технологией «установил и забыл», а должно быть интегрировано в существующую и будущую инфраструктуру безопасности, и ему должны быть предоставлены трудовые и другие ресурсы, необходимые для его эффективности. Например, EDR будет генерировать объемы данных, которые исследователи в области безопасности могут использовать для понимания угроз, анализа первопричин и т. п. Организация нуждается в соответствующем уровне персонала и опыта в области безопасности, чтобы гарантировать, что решение EDR обеспечивает ту ценность, для которой оно было реализовано.

На отечественном рынке предлагаются продукты EDR нескольких производителей. Далее приводятся некоторые особенности этих продуктов, о которых рассказали сотрудники Softprom, компании которая занимается их поставкой.

VMware Carbon Black

Артемий Кабанцов, менеджер по развитию бизнеса.

Прежде всего рассмотрим, каковы предпосылки возникновения EDR- решений?

Примерно до 2005 г. защищался только периметр сети, для защиты которого использовались брандмауэры, традиционные антивирусы и не было необходимости в продвинутых индивидуальных средствах защиты. Сегодня с распространением облачных технологий, ростом мобильных пользователей и популярности концепции BYOD каждая конечная точка по сути представляет собой элемент периметра, и ее также нужно защищать. Решение VMware Carbon Black предназначено как раз для защиты конечных точек от вредоносного кода, атак нулевого дня, эксплойтов и много другого.

Endpoint Detection and Response — что необходимо знать о решениях

Характерной особенностью VMware Carbon Black является его работа с процессами, которые выполняются как на рабочих станциях, так и на серверах. Уникальность решения заключается в постоянном мониторинге всех процессов, в анализе поведения конечных точек. В зависимости от задач, анализ процессов может выполняться как в облаке Big Data производителя (VMware Carbon Black Cloud), так и на локальных серверах заказчика. При этом в облако отсылаются только нефильтрованные данные (метаданные, не содержащие конфиденциальной информации и соответствующие PCI DSS Compliance). В облако передаются данные всех пользователей VMware Carbon Black, и производитель декларирует порядка 500 млрд. событий в день. Если выявляется новая аномалия или новый вредоносный код, которые ранее не были известны, то полученная информация загружается на все конечные точки через облако вендора. При этом с каждым годом наблюдается положительная динамика роста пользователей облачных вычислений.

К преимуществам VMware Carbon Black можно отнести обеспечение наглядности выявленной и заблокированной атаки в консоли управления, к примеру, что являлось стартовым событием, как развивалась атака, на каком этапе она была заблокирована, какая политика сработала, какие были применены триггеры.

Архитектурно, система представляет собой web-консоль управления (менеджмент), серверы Big Data (анализ полученных метаданных) и агенты, которые устанавливаются на конечные устройства.

Endpoint Detection and Response — что необходимо знать о решениях

Система осуществляет непрерывный поведенческий анализ. Если по какой-то причине пропало соединение с Интернетом, то данные накапливаются локально и синхронизируются с облаком при восстановлении соединения.

Решение открыто и позволяет интеграцию с существующей инфраструктурой заказчика. Имеется открытый API, есть более 120 готовых коннекторов к различным классам решений, которые позволяют настроить обмен данными с существующей ИБ-инфраструктурой, и также есть достаточно большое комьюнити, которое развивает продукт и делится накопленными знаниями.

FireEye

Владимир Семенчук, инженер FireEye по предпродажам.

Решение называется FireEye Endpoint Security (FireEye HX). Вначале предполагалось только локальное развертывание, поскольку заказчиком было Министерство обороны США. Но отзываясь на запросы рынка, была выпущена и облачная версия, и сегодня компания предлагает обе.

Основное назначение всех решений FireEye, в том числе и FireEye HX, это защита от атак нулевого дня, АРТ и многовекторных атак. В то же время оно является и антивирусом, так что компаниям не необходимости приобретать антивирусную защиту отдельно.

Решение содержит две компоненты: агент, устанавливаемый на конечную точку, и центр управления, который может располагаться как в облаке, так и локально, причем в последнем случае это должен быть специализированный компьютер от FireEye. И в облачной, и в локальной версиях реализована так называемая технология Agent Anywhere, с помощью которой можно защитить всех мобильных пользователей.

Интересным является то, что для каждой конечной точки создается так называемое дело, по сути БД, содержащую информацию по всем аномальным вредоносным активностям, которая называется Triage Package. В ней хранится информация обо всех вредоносных родительских процессах, которые запускали дочерние процессы. Triage Package также предоставляет информацию о том, запустилась ли атака с помощью скрипта или выполняется хакером. Естественно, FireEye Endpoint Security оперативно блокирует все зараженные конечные точки и помещает их в карантин.

Следует еще отметить механизм MVX (Multi-Vector Virtual Execution), предназначенный для распознавания атак нулевого дня, АРТ и многовекторных атак. Это специально разработанный компанией FireEye гипервизор, который не распознается злоумышленником. В нем можно одновременно запустить до 196 различных машин с разными ОС.

FireEye HX является мультиплатформенным решением и работает со всеми версиями Windows, Linux и MacOS. Оно удовлетворяет всем требованиям NIAP Common Criteria, FIPS140-2 и NSA.

Cybereason

Владимир Петрусь, менеджер по развитию бизнеса.

Решение разработано для обнаружения, анализа и реагирования на неизвестные целевые атаки в режиме реального времени для рабочих станций, поскольку основное количество атак в корпоративных сетях приходится именно на них.

Оно использует поведенческий анализ, который позволяет создать базовый уровень нормального поведения сети для дальнейшего детектирования отклонений в сети и фиксирования угроз. Заложенные в Cybereason алгоритмы поведенческого анализа, гибридного машинного обучения и экспертного исследования предоставляют возможность обнаруживать угрозы и аномалии в режиме реального времени с минимальными ложными срабатываниями.

Endpoint Detection and Response — что необходимо знать о решениях

При работе Cybereason обеспечивается качественная визуализация всей хронологии событий атаки, что гарантирует расследование инцидентов и обнаружение их первопричины в течение кратчайшего времени.

Портфель решений данного вендора предлагает полную защиту конечных устройств, как рабочих станций, так и смартфонов, позволяя не только распознать угрозу, но и смягчить последствия.

Отдельно хотим отметить гибкость Cybereason в части формирования пакетов услуг, позволяя компании получить нужный функционал, не переплачивая за второстепенные функции.

Работа Cybereason построена таким образом, чтобы определить приоритетные угрозы, отфильтровать ложные срабатывания и показать визуально результаты автоматизированного поиска угроз. Такой подход позволяет команде кибербезопасности эффективно сосредоточиться на реагировании на наиболее актуальные угрозы с минимальной затратой усилий и времени.

SentinelOne

Андрей Голиневич, менеджер по развитию бизнеса.

EDR от SentinelOne предоставляет богатую криминалистическую информацию и может автоматически уменьшать угрозы, выполнять сетевую изоляцию, автоматически защищать конечные точки от вновь обнаруженных угроз. В качестве окончательной меры безопасности SentinelOne может даже восстановить защищаемый хост до состояния, предшествующему до атаки вредоносным ПО.

Endpoint Detection and Response — что необходимо знать о решениях

Обеспечивает широкую защиту конечных точек от различных видов атак, таких как:

  • Трояны, malvare, черви, бэкдоры, пейлоды;

  • защиту от «бесфайловых» атак;

  • защищает от эксплойтов, основанных на документах MS Office, Adobe, различных макросах;

  • защиту от фишинговых е-мейл;

  • от различных браузерных атак;

и многое другое.

Вендор готов так же предложить и сервисную модель, предложив решение Vigilance — мониторинг всех событий и процессов внутри периметра будет осуществляться инженерами SentinelOne. Это позволит сократить время на защиту, благодаря постоянному мониторингу угроз и реагированию на них опытными специалистами ИБ.

Платформа в настоящее время имеет более 15 готовых коннекторов с другими решениями информационной безопасности, такие как Splunk, Fortinet, Okta, BigFix и Tanium и многие другое. В случае отсутствия коннектора — есть документированный API для интеграции SentinelOne в существующую ИБ — инфраструктуру.

Дізнайтесь більше про мікро-ЦОД EcoStruxure висотою 6U

+11
голос

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT