Как выбрать систему защиты конечных точек

Управление рисками требует соответствующей корпоративной культура, которая эффективно объединяет процессы, технологии и сотрудников, и позволяет бизнесу принимать правильные решения. Причем немаловажную роль в этом играет выбор эффективной системы защиты информации.

Выбор такой системы — не всегда прост. Нужно перелопатить спецификации множества решений, да и производители зачастую используют одни и те же термины для обозначения разных понятий. Что вносит еще больше сумятицы в процесс. Как подобрать действительно инновационный продукт, да еще и решающий именно те задачи, которые стоят перед вами?

Сегодня даже такой, казалось бы устоявшийся термин, как «конечная точка» стал гораздо шире, чем, скажем 10-15 лет назад. Раньше у организаций были рабочие станции, сервера и межсетевой экран, и они приобретали те решения, которые подходили под эту инфраструктуру. Однако со временем к десктопам и ноутбукам добавились планшеты и смартфоны, а в след за этим - виртуальные машины, контейнеры, да, плюс еще IoT-устройства.

Можно сказать, что конечная точка - это то, что находится на одном из концов канала связи. Проще говоря, это то место, откуда исходят сообщения и где они принимаются. Очевидно, что конечные точки могут подключаться через локальную сеть, облачные SaaS-платформы или публичный Интернет.

В силу понятных причин, сегодня компании испытывают гораздо больше трудностей, чем раньше. Растет потребность не только в безопасности, но и в непрерывности бизнеса и постоянной поддержке многочисленных конечных точек и источников данных, которые могут находиться где угодно.

Новая культура работы, когда пользователи конечных точек могут получать доступ к конфиденциальным данным независимо от своего местоположения, вынуждает компании полагаться на их киберграмотность и целостность конечной точки как на последний, а иногда и единственный рубеж защиты. К сожалению, о несостоятельности этой стратегии говорят многочисленные случаи успешных кибератак.

Несмотря на то, что продукты по защите конечных точек используются уже более 20 лет, количество успешных атак растет. Почему же практики киберзащиты постоянно терпят провал?

За успехом киберпреступников, в особенности их программ-вымогателей, стоит несколько факторов. Прежде всего необходимо отметить, что многие организации используют Windows, которая содержит множество уязвимостей. Будь то антивирус Windows Defender, служба печати Print Spooler, протокол аутентификации NTLM, сервер Exchange или любые другие программы Microsoft, злоумышленники, вложив силы и средства, уже нашли способы использовать их слабые места для атаки. Даже если в организации нет Windows-систем (что большая редкость), то почти наверняка кто-нибудь из ее поставщиков или партнеров использует эту ОС.

Проблемы усугубляются и тем, что инструменты для киберпреступников становятся все доступнее. Например, идет активная подпольная торговля вредоносными программами специального назначения, а программы-вымогатели как услуга (Ransomware-as-a-Service) имеются в наличии по низким ценам в больших количествах.

Но ситуацию обостряет еще и тот факт, что организации пытаются противостоять современным угрозам с помощью устаревших технологий или используют неверные подходы. Например, полагаются либо на старые антивирусные программы, которые злоумышленники научились обходить в первую очередь, либо на решения «нового поколения», в которых многое зависит от человеческого фактора. Взлом SolarWinds наглядно продемонстрировал, что компании, следующие какому-либо из вышеперечисленных принципов, не могут в полной мере обеспечить свою информационную безопасность.

Конечные точки лежат в основе каждой корпоративной инфраструктуры, и их защита — единственный способ обеспечить кибербезопасность организации. На современном рынке информационной безопасности есть решения, которые базируются на 20-летнем опыте борьбы с киберпреступностью и продемонстрировали свою эффективность против самых изощренных угроз. Как же отличить эффективный продукт от неэффективного? Разберем пять основных характеристик, которые должны помочь в этом вопросе. Но для начала остановимся на первых двух.

Проактивный подход к обнаружению новых угроз

Самым большим недостатком предыдущих поколений систем защиты информации была зависимость от сигнатур. Основная проблема таких решений заключается в том, что они реактивны. Процесс создания сигнатуры начинается с момента обнаружения вредоносной активности (то есть вирус уже взламывает организации), и только после этого выстраивается защита. Затем начинается гонка на время: сигнатуру нужно написать и отправить на все конечные точки для обновления. При столкновении с 0-day угрозой такой защитный продукт становится абсолютно бесполезным.

Последние пять лет борьбы с программами-вымогателями показали, что этот подход, появившийся еще в 1990-х, не может обеспечить безопасность организаций сегодня. По этой причине некоторые вендоры начали внедрять в свои сигнатурные антивирусы модели машинного обучения и поведенческий ИИ, которые позволяют выявлять общие закономерности вредоносного поведения и образцы вредоносных файлов независимо от их происхождения.

Модели машинного обучения можно обучить эффективно бороться с большинством современных типовых вредоносов, многие из которых написаны не с нуля, а с использованием успешного кода из более ранних сэмплов. И хотя такой подход не способен выявить все вредоносное ПО до его запуска, это отличный способ защитить конечные точки от типовых атак без необходимости постоянно обновлять вирусные сигнатуры.

Поведенческий ИИ дополняет модели машинного обучения, выявляя образцы поведения, характерные для вирусов. Например, почти все программы-вымогатели в какой-то момент будут действовать по следующей схеме:

• поиск резервных и теневых копий данных и попытка их удаления;
• шифрование большого количества файлов;
• обращение к пользователю (например, вывод сообщения с требованием выкупа);
• связь с удаленным сервером.

Поведенческий ИИ может распознавать подобные паттерны или шаблоны поведения, даже если кажется, что активность исходит изнутри сети или из какого-либо другого бесфайлового источника.

Способность защитного решения заблаговременно обнаруживать неизвестные программы с помощью машинного обучения и поведенческого ИИ - это первая характеристика, на которую нужно обращать внимание при выборе системы защиты. Однако следует избегать решений, которые зависят от подключения к облаку, поскольку киберпреступники могут легко прервать это соединение. Необходимо выбирать продукт с механизмами машинного обучения, которые работают локально на конечной точке и способны за секунды принимать решения для ее максимальной защиты.

Автоматическое устранение последствий без вмешательства человека

Обнаружение вредоносной программы - это лишь половина проблемы. Решение, которое только детектирует угрозы, но полагается в их устранении на человека, не принесет большую пользу. Необходимо такое, которое способно автоматически устранять вредоносную активность на устройстве и ликвидировать ее последствия, чтобы пользователь мог спокойно продолжать работать, а не проводить остаток дня, общаясь с ИТ-отделом для решения проблемы.

Многие разработчики систем защиты информации, в том числе лидеры рынка, увы, не справляются с этой задачей. Некоторые производители предлагают инструменты удаленного доступа, интегрированные в хостовые агенты, что несколько снижает нагрузку на ИТ-отдел, но по-прежнему требует выполнения операций вручную, из-за чего возникают задержки и работа пользователя прерывается. Но если бы защитное решение могло обнаруживать инциденты безопасности и устранять их последствия без участия человека? Компьютеры были созданы для автоматизации рутинных процессов в нашей жизни, поэтому функция автоматического устранения обнаруженных угроз должна обязательно входить в состав решения, которое претендует называться «новым поколением».

Нужно обязательно уточнять у вендоров, какие функции автоматического устранения угроз присутствуют в их продукте и что произойдет, если вдруг угроза будет пропущена. Хорошая система защиты конечных точек должна уметь возвращать из карантина ложные угрозы так же легко, как и помещать в карантин реальные.

Гибкость для распределенных организаций

Эффективное управление большим парком устройств и объемом данных - крайне непростая задача. Прибавим к этому географическое распределение офисов, разные часовые пояса и языковой барьер (если речь идет о международных командах) - и получим проблему, с которой крайне трудно справиться, поскольку реальная структура организации редко вписывается в представление вендора о том, какой она должна быть.

Для управления, реагирования и сбора данных с устройств в разных частях мира нужно решение, которое поддерживает мультитенантность и мультисайтовость. Это позволяет командам на местах не только не отклоняться от основной политики организации, но и принимать собственные решения с учетом локальных потребностей, не ущемляя интересов других команд.

Мультитенантность нужна не только крупным международным компаниям. При нынешнем темпе развития даже небольшие и быстрорастущие команды нуждаются в такой гибкости гораздо больше, чем раньше.

Устранение пробелов безопасности с помощью автоматической установки агентов

Взломать систему проще всего через незащищенные устройства. К сожалению, современные реалии таковы, что администраторы и сотрудники, отвечающие за ИБ, просто не могут уследить за всеми процессами, которые протекают в сетях их организации. Многие взломы случались из-за того, что злоумышленник находил незащищенный сервер, о котором все забыли, и использовал его для атаки.

В свое время CISO Австралийского национального университета, проанализировав кибератаку на свою организацию, так объяснял происшедшее. Злоумышленник создал теневую экосистему из скомпрометированных машин, инструментов и сетевых соединений в корпоративной среде и таким образом остался незамеченным. Используя некоторые такие машины, он смог закрепиться в сети. С помощью других элементов, например, так называемых станций атаки, злоумышленник получил плацдарм, с которого мог видеть структуру сети, определять важные цели, запускать свои инструменты и взламывать другие машины.

Если речь идет о большой организации с многочисленными филиалами и подсетями, то единственное эффективное решение — это построить карту сети и снять цифровой отпечаток с устройств таким образом, чтобы можно было увидеть не только хосты, подключенные к сети, но и определить те из них, на которых нет хостовой защиты. Из этого следует, что нужно выбирать такую систему защиты, которая выполнит кропотливую работу по установке агентов на те машины, где их еще нет, для устранения пробелов в охвате конечных устройств. Команды ИБ часто работают на пределе возможностей и нуждаются в разумной автоматизации, которая поможет им выполнять задачи более эффективно.

Таким образом, необходимо убедиться, что система защиты конечных точек имеет автоматизированные средства поиска машин, на которых не установлены агенты, и быстрой установки агентов на них.

Мониторинг

Даже если все вышеперечисленные проблемы были решены, еще предстоит детально разобраться в том, что происходит на каждой конечной точке. Мониторинг- это стандартная задача для ИБ-отделов, но с учетом перехода к цифровизации обработка больших объемов генерируемых данных требует все более эффективных способов индексации, корреляции и выявления вредоносных действий в любом масштабе.

По этой причине лучшие системы защиты конечных точек теперь переходят от EDR к XDR, что позволяет организациям решать проблемы кибербезопасности унифицировано. Благодаря единому пулу исходных данных со всей экосистемы XDR-решение может быстрее и эффективнее обнаруживать угрозы и реагировать на них, собирая и сопоставляя данные из многочисленных источников.

При выборе поставщика XDR-решения небходимо обратить внимание на несколько вещей. Эффективная платформа должна бесшовно интегрироваться со всеми системами защиты информации в организации, используя встроенные инструменты с возможностями API. Она должна иметь встроенный функционал корреляции, предотвращения угроз и их устранения по всему технологическому стеку. Кроме того, система должно позволять пользователям создавать свои собственные правила обнаружения и реагирования. Стоит обходить десятой дорогой вендоров, предлагающих незрелые или разработанные на скорую руку решения: новый продукт может оказаться просто набором из нескольких старых с шильдиком «XDR». Полноценное XDR-решение должно быть единой платформой, которая позволяет быстро получать полное представление о состоянии безопасности в организации.

Заключение

Ну, и в завершение, необходимо отметить, что рынок решений для защиты конечных точек  растет очень стремительно и на нем появляются все новые предложения. При организации правильной структуры киберзащиты организации нужны не только более эффективные инструменты, но и более направленное взаимодействие с другими уровнями обеспечения безопасности.

Старайтесь уделять должное внимание выбору XDR-системы, которая бы позволила бы проводить мониторинг всей организации, могла бы предоставить мощную аналитику и автоматическое реагирование на угрозы по всему технологическому стеку.

В этом контексте предлагаем вам обратить внимание на решения компании SentinelOne, которые отвечают всем параметрам и требованиям, описанным выше.

Узнайте, как платформа SentinelOne XDR обеспечивает мониторинг всей организации, мощную аналитику и автоматическое реагирование на угрозы по всему технологическому стеку.

Вы можете заказать демо и задать возникшие вопросы по решениям вендора специалистам компании NWU, дистрибьютора SentinelOne на территории Украины.

Публикуется на правах рекламы