Cloud Networks • Информационная безопасность • EDR — обнаружение и реагирование на угрозы конечной точки
Технология EDR
Endpoint Detection and Response (EDR) – продвинутая система безопасности, представляющая собой интегрированное решение для обеспечения безопасности конечных точек (компьютерных аппаратных устройств) от потенциальных угроз. Технология сочетает в себе непрерывный мониторинг и сбор данных о конечных точках в режиме реального времени и решает проблему постоянного мониторинга и реагирования на сложные угрозы.
EDR постоянно контролирует конечные точки, обеспечивая быстрое реагирование и немедленный ответ. Решение осуществляет мониторинг событий конечной точки и сети. Информация записывается в центральную базу данных, где происходит анализ, составление отчетности и дальнейшие исследования.
Система для сбора данных о конечных точках повышает уровень защиты пользователей, работающих за пределами защиты периметра компании, а также защищает от бесфайловых и других видов атак и даже зараженных USB-накопителей. Чтобы устранить недостатки в безопасности корпоративной сети, организации развертывают решения для обнаружения и реагирования конечных точек (EDR) в качестве дополнения к существующим средствам защиты.
«Автономный» EDR на службе SOC
Разница между EPP и EDR
Защита конечных точек (EPP) направлена на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.
Например, если вторжение уже произошло, хакер может незаметно украсть важные данные. Точно так же регистраторы ключей или новые формы программ-вымогателей могут обмениваться данными с серверами управления и контроля без ведома кого-либо. То есть EPP необходима, но очень ограничена.
В отличие от EPP, Обнаружение конечной точки и ответ (EDR) позволяет клиентам обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. Это обеспечивает уровень видимости конечных точек, недоступный для EPP. EDR может обнаруживать неизвестные угрозы с помощью инструментов криминалистической экспертизы, распознающих аномальное поведение. В то время как EPP защищает компании от известных угроз, EDR идентифицирует и интерпретирует «необычное» на конечной точке.
Однако у EDR есть проблемные зоны:
- EDR не может обеспечить видимость конечной точки без агента EDR.
- Для EDR требуется персонал службы безопасности, обученный обнаружению и реагированию.
- EDR не обеспечивает прозрачности сети. Внутренние угрозы могут перемещаться по сети в поперечном направлении и незаметно общаться с удаленным сервером.
Для чего нужен EDR?
Поиск и исследование данных.
Обнаружение подозрительной активности.
Расследование инцидентов.
Зачем развертывать EDR?
Рынок EDR-решений растет быстро, особенно в отношении к более зрелому и медленно растущему рынку EPP (платформы защиты конечных точек). Это связано с разнообразием преимуществ, предлагаемых решениями EDR.
Kaspersky EDR для бизнеса Оптимальный. Первое знакомство.
Согласно Osterman Research, наиболее важными причинами для развертывания решения EDR является его способность защита от бесфайловых вредоносных программ, возможность улучшения восстановления после взлома возможности и обеспечение улучшенной телеметрии угроз по сравнению с обычными решения безопасности. На рисунке отображены другие причины развертывания Endpoint Detection and Response.
Типичный вариант использования EDR — когда активная угроза проявляется в нескольких формах на конечной точке, глядя на шаблоны действий, а не на более простые сигналы, такие как конкретный вирус или нарушение брандмауэра. Например, злоумышленник, который крадет действительные учетные данные с помощью фишинговой атаки, может войти в систему в обычном режиме, не вызывая никаких сигналов тревоги или используя какое-либо вредоносное ПО.
Первоначально у них будет свободное управление конечной точкой, но их действия после этого, такие как попытки повысить привилегии или горизонтальный переход к другим системам, скорее всего, будут отмечены хорошей системой EDR или, по крайней мере, оставят следы в данных, которые эксперт по информационной безопасности может заметить.
Какие проблемы решает EDR?
EPP обнаруживает угрозы, но не вторжения и скрытые атаки. Злоумышленники могут проникать в сети незамеченными и оставаться в корпоративной сети в течение долгого времени в поисках конфиденциальных данных. Также киберпреступники научились избегать обнаружения антивируса, и они могут управлять скомпрометированным активом, не вызывая подозрений. Ключевой проблемой, которую необходимо решить предприятиям, является отображение критических предупреждений для легкого понимания проблемы / угрозы и расставления приоритетов для следующих шагов.
При использовании традиционных решений и средств для защиты сети аналитикам безопасности зачастую не хватает информации, необходимой для полного понимания нарушения. Сотрудникам также не хватает способности анализировать угрозы и проводить тщательные расследования. Из-за отсутствия необходимых инструментов устранение угроз занимает длительное время.
Во многих традиционных решениях безопасности не записывается достаточный объем информации об активности конечных точек. Данная информация не сохраняется или недоступна, а инструменты анализа отсутствуют. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.
EDR основаны на возможностях традиционных решений безопасности, помогая с проблемами:
- отсутствия обнаружения угроз после взлома,
- отсутствия возможности глубокого обзора и анализа.
Решения EDR решают каждую из перечисленных проблем благодаря мониторингу всех действий конечных точек для обнаружения: целевых и сложных угроз, горизонтального перемещения в сети, использования краденых учетных данных, инсайдерской активности и иных аномальных действий со стороны злоумышленников.
Endpoint Detection and Response записывает все события, происходящие на конечных точках и в сети, для предоставления исчерпывающих данных для дальнейших расследований и исправлении инцидентов безопасности. Система EDR решает не только технические проблемы, связанные с мониторингом и анализом угроз, но обеспечивает и ряд преимуществ для бизнеса.
Преимущества EDR
Решения EDR предлагают важные преимущества:
- Непрерывный мониторинг широкого диапазона конечных устройств в корпоративных сетях и за их пределами позволяет организациям отслеживать не только злонамеренные атаки из внешних источников (например, постоянные угрозы APT, которые могут привести к утечкам данных), но также для отслеживания аномальной активности внутри организации (например, добычи криптовалюты или кражи данных сотрудниками).
- Использование искусственного интеллекта для мониторинга систем на предмет злонамеренной активности с целью предотвращения атак до и по мере их выполнения.
- Запись огромных объемов активности в сети, в отличие от других инструментов, таких как SIEM и платформы защиты конечных точек, которые не осуществляют запись или сохраняют малое количество информации.
- Интеграция с расширенными функциями, такими как песочница (Sandbox), для поиска спящих угроз.
- Включение упреждающего поиска индикаторов атаки, чтобы увидеть угрозы, которые еще не были обнаружены.
- Расширенные возможности анализа, позволяющие командам безопасности быстрее оценивать и блокировать последующие атаки. К ним относятся поиск индикаторов компрометации; упреждающий поиск индикаторов атаки и определение первопричины заражения; кибер-инцидент и включение защиты от него.
- Исправление последствий осуществленных атак с возможностью отката конечных точек до ранее известного исправного состояния.
- Создание детализированных политик для обработки USB-устройств с целью блокировки неизвестных и потенциально вредоносных USB-ключей.
- Включение защиты для удаленных сотрудников, которые не могут полагаться на защиту периметра.
Более того, решения EDR могут обеспечить бизнес-преимущества, убедив регулирующих органов, сотрудников отдела нормативно-правового соответствия, клиентов и других лиц, что организация, развертывающая решение EDR, серьезно относится к своей безопасности. Решение EDR может продемонстрировать, что угрозы будут тщательно отслеживаться, очень подробная информация о событиях конечных точек будет храниться в течение соответствующего периода времени, а устранение угроз безопасности будет происходить как можно быстрее.
Растущее использование EDR представляет собой потребность в расширении и расширении основы традиционных антивирусных решений и решений EPP, работая вместе с ними, чтобы обеспечить лучшую защиту, отчетность и другие расширенные возможности.
Возможности EDR
Зачем компаниям нужны решения для обнаружения и реагирования конечных точек? Решения EDR выходит за рамки антивируса, выявляя подозрительную активность и реагируя на нее, а также предоставляя криминалистические данные аналитикам безопасности. EDR очень эффективны для сбора непрерывной информации о следах вредоносных программ и других типах киберугроз в сети. Такие данные хранятся в конечных точках сети, что помогает в разработке подходящих стратегий реагирования на инциденты и управления ими. У EDR следующие возможности:
Источник: cloudnetworks.ru
Kaspersky EDR для вашего бизнеса
Давно прошли те времена, когда для проведения сложной хакерской атаки необходимо было привлекать серьезные ресурсы и компетентных специалистов. Сейчас продвинутое вредоносное ПО можно без особых усилий приобрести в даркнете, а то и вообще арендовать на время по модели MaaS (Malware-as-a-service).
Создатели таких сервисов не только предлагают своим клиентам удобную консоль управления инструментами для несанкционированного вторжения в чужую ИТ-инфраструктуру, но и всегда готовы оказать техническую поддержку, если пользователь сервиса «путается в педалях». Эта практика сделала порог применения сложных целевых атак минимальным, причем целью нападающих, как правило, становятся те, с кого есть что взять. И это, конечно, в первую очередь компании.
Решения класса EDR
Шквал целевых атак привел к появлению особого типа инструментов обеспечения информационной безопасности, получивших название EDR (Endpoint Detection and Response). Активность EDR направлена на защиту конечных узлов корпоративной сети, которые чаще всего и становятся входными воротами атаки. Главными задачами EDR является обнаружение признаков вторжения, формирование автоматического ответа на атаку, предоставление специалистам возможности оперативно определить масштаб угрозы и ее источник, а также собрать данные для последующего расследования инцидента.
Функциональность EDR основана на способности этого типа ПО проводить подробный анализ событий и проактивный поиск угроз, автоматизировать повторяющиеся повседневные задачи по защите, проводить централизованный сбор данных мониторинга состояния конечных устройств. Все это помогает поднять производительность труда специалистов по ИБ, работающих, например, в SOC (Security operations center) крупной компании.
Также
по теме
Kaspersky Endpoint Detection and Response
Несколько лет назад «Лаборатория Касперского» вышла на рынок EDR с собственным решением Kaspersky Endpoint Detection and Response (KEDR), которое успело заработать себе хорошую репутацию в глазах отраслевых экспертов. Компании, серьезно заботящиеся об информационной безопасности, как правило применяют KEDR в составе комплексного решения, в которое входят собственно сам KEDR, платформа Kaspersky Anti Targeted Attack (KATA) и сервис Managed Detection and Response (MDR).
Такая связка позволяет специалистам по кибербезопасности эффективно противостоять самым продвинутым и передовым типам современных атак. Как правило, к подобным решениям прибегают организации уровня Enterprise имеющие собственный SOC или хотя бы отдельный небольшой департамент безопасности. Стоимость необходимых лицензий на ПО и сервисы достаточно высока, но если речь идет, например, о банке национального масштаба, то потенциальные риски многократно превышают расходы на обеспечение ИБ.
Оптимальный EDR для среднего бизнеса
Зачастую компании среднего размера не могут позволить себе содержать собственный SOC или держать в штате несколько профильных специалистов. При этом они, конечно же, также заинтересованы в возможностях, предоставляемых решениями EDR. Специально для таких клиентов «Лаборатория Касперского» совсем недавно выпустила продукт «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ».
Всего за полгода данный продукт снискал заслуженную популярность. Он является частью т.н. «Оптимального фреймворка ИТ-безопасности», разработанного вендором именно для заказчиков, которые не могут позволить себе дорогостоящие специализированные программы для борьбы со сложными кибератаками.
Помимо вышеупомянутого «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ», включающего технологии класса EPP (Endpoint Protection Platform) и базовые технологии EDR, в состав фреймворка входят также инструмент Kaspersky Sandbox и сервис Kaspersky MDR Optimum.
Перечислим ключевые возможности «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ». Основной его функцией является мониторинг конечных устройств, обнаружение возникающих угроз и сбор сведений о них. Для каждого выявленного инцидента составляется граф развития атаки, дополненный информацией об устройстве и активности его операционной системы. Для поиска угроз или следов прежних атак продукт может использовать индикаторы компрометации (IoC), выявленные в ходе проведенного расследования или загруженные из внешних источников.
Реакция защитных механизмов на выявленную угрозу может быть настроена исходя из характера атаки: изоляция сетевых хостов, карантин или удаление зараженных объектов файловой системы, блокирование или запрет на запуск определенных процессов в операционной системе и пр.
Функциональность продукта может быть существенно расширена, благодаря средствам интеграции с другими продуктами «Лаборатории Касперского» — облачным сервисом Kaspersky Security Network, информационной системой Kaspersky Threat Intelligence Portal и базой данных Kaspersky Threats. Данные технологии и сервисы входят в стоимость лицензии (KSN) или предоставляются бесплатно (OpenTIP, Kaspersky Threats).
Также
по теме
Архитектура и развертывание
Для развертывания в корпоративной сети «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» не требуется больших вычислительных ресурсов. На всех конечных устройствах должен быть установлен Kaspersky Endpoint Security с включенным компонентом Endpoint Agent, совместимый с любыми операционными системами Windows, начиная с Windows 7 SP1/Windows Server 2008 R2 и занимающий не более 2 Гбайт дискового пространства. Для его полноценной работы достаточно одноядерного процессора с тактовой частотой 1,4 ГГц и 1 Гбайт (x86), 2 Гбайт (x64) оперативной памяти.
Несколько выше системные требования к компьютеру, с которого будет осуществляться управление решением. Речь идет о локальном сервере Kaspersky Security Center, оснащенном консолью администрирования, но можно воспользоваться и облачным сервисом Kaspersky Security Center Cloud Console. В обоих случаях доступ к управлению продуктом осуществляется через веб-браузер. Для работы локального сервера Kaspersky Security Center потребуется доступ к СУБД Microsoft SQL Server или MySQL.
Развертывание Kaspersky Security Center происходит при помощи мастера инсталляции и не занимает много времени. В процессе установки создается папка для хранения установочных пакетов и обновлений, а также конфигурируется сервер администрирования.
Установка Kaspersky Endpoint Security с включенным компонентом Endpoint Agent выполняется централизованно, при помощи мастера развертывания защиты. В процессе инсталляции администратору предлагается определить перечень защищаемых хостов, скачать установочные файлы, настроить политику уведомлений о событиях безопасности и пр. После этого, собственно, начнется развертывание в соответствии с выбранными опциями. Альтернативным способом распространения Kaspersky Endpoint Security с включенным компонентом Endpoint Agent по сети может быть использование групповых политик Windows.
С выходом «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» компании получили возможность использовать современные инструменты обнаружения и реагирования на угрозы без необходимости инвестирования в собственную службу ИБ. Решение вполне может обслуживаться силами системных администраторов заказчика, для повышения квалификации которых «Лаборатория Касперского» подготовила соответствующие тренинги.
Источник: www.syssoft.ru
Хосты под защитой: почему компаниям нужен EDR
Всё чаще основным методом проникновения хакеров в инфраструктуру жертвы становятся фишинговые рассылки со сложными вредоносными программами, которые обычно не распознаются стандартным антивирусом. Для защиты от подобных угроз требуется более совершенное решение — система выявления атак на конечные хосты, она же EDR (Endpoint Detection
Использование различных техник для обхода классических средств защиты, применение многоступенчатой обфускации, стеганографии, проверки окружения реализуется для гарантированной доставки вредоносных программ на конечные хосты компании и последующего их заражения.
С точки зрения развития инструментария злоумышленников фиксируется рост количества установщиков вредоносных программ, использующих цепочки вызовов легальных утилит (rgsvr32.exe, wmic.exe, hh.exe и т. п.), уже установленных на хосте и исполняющих код, который был передан им через командную строку напрямую либо как интернет-ссылка или файл приведённый как аргумент. При подобном подходе процесс установки вредоносных программ разделяется между вызовами легальных утилит и, как результат, автоматические средства детектирования не могут свести их в единую цепочку установки вредоносного объекта. В рамках инструментального расследования инцидентов (forensics) эксперты центра противодействия атакам Solar JSOC часто находят признаки обхода белых списков хакерами именно с помощью этой технологии.
Как контролировать хосты?
Для эффективной борьбы с подобного рода угрозами и минимизации последствий атаки требуются дополнительные средства обнаружения и реагирования, например Endpoint Detection при этом отличить реальную атаку с использованием данной техники от штатной работы весьма сложно, что опять же возвращает нас к необходимости держать в штате высококвалифицированных специалистов, а это крайне непросто в условиях существующего кадрового дефицита в отрасли.
Для использования функциональности реагирования тоже необходима разноплановая экспертиза — в частности, для отладки существующих правил выявления атак, чтобы снизить количество ложных срабатываний. Не у всех компаний есть такие эксперты, и в итоге функциональность, которая отвечает за реагирование, в системе EDR попросту не будет использоваться, потому что некорректная настройка может нарушить бизнес-процессы (например, если завершить подозрительный процесс, который на самом деле был вызван штатным ПО).
EDR как сервис
При сервисном подходе администрированием EDR и расследованиями занимаются специалисты подрядчика, поэтому заказчику не нужно нанимать собственных специалистов и расширять существующую ИБ-службу. Но сервисная модель не снижает значимости штатных безопасников, поскольку провайдер не всегда имеет необходимые полномочия при реагировании на инцидент. Принятие решения, внутреннее расследование и наказание провинившихся (то есть ликвидация последствий) всё равно, как правило, остаются за ИБ-службой заказчика.
Кроме этого, подрядчик (например, Solar JSOC) обеспечивает обогащение фиксируемых инцидентов дополнительной информацией, поступающей из базы киберразведки (Threat Intelligence), коммерческих подписок на сведения об актуальных угрозах, а также по результатам работы комплементарных сервисов, таких как NTA (Network Traffic Analysis).
Контент для EDR, предоставляемый специалистами SOC в рамках сервиса, постоянно обновляется исходя из информации об актуальных угрозах из различных источников, в том числе коммерческих ресурсов. Таким образом, при использовании сервиса нет необходимости приобретать дополнительные подписки на фиды и Threat Intelligence.
Благодаря инфраструктуре крупнейшего SOC в России появляется возможность гибкого масштабирования сервиса. Если у заказчика возникают новые компоненты инфраструктуры, открываются дополнительные филиалы или офисы, расширяется парк серверов или рабочих станций, их можно оперативно подключить к EDR.
Но сервисная модель также вызывает и опасения у некоторых владельцев бизнеса и безопасников. Во-первых, это — доступ сторонней организации к ценной корпоративной информации. Но важно отметить, что в случае с сервисом подрядчик видит только срабатывания системы EDR и не имеет доступа ко критически важным данным, хранящимся на рабочей станции или сервере.
Также опасения может вызывать корректность настройки правил для EDR, из-за которых могут встать важные бизнес-процессы. Такие ошибки могут допустить и штатные сотрудники, но, когда речь идет про сервис, у некоторых заказчиков складывается ощущение, что аутсорсер недостаточно погружён в процессы заказчика и может не знать каких-то особенностей работы систем. Поэтому все вопросы ответственности сервис-провайдера и SLA должны быть прописаны в договоре, чтобы исключить спорные ситуации.
Цена вопроса
С экономической точки зрения, традиционно сервисная модель позволяет избежать больших капитальных затрат на старте и равномерно спланировать бюджет на длительное время, так как сервис предоставляется по ежегодной подписке. Если сервис используется по гибридной модели, то на старте надо оплатить лицензию и стоимость внедрения системы, а услуги специалистов провайдера по настройке правил, экспертизе, реагированию будут оплачиваться по подписке.
Также в случае использования сервиса EDR компании не нужно держать большой штат высокооплачиваемых экспертов, что снижает затраты на оплату труда.
Выводы
Современные угрозы и квалификация злоумышленников требуют от организаций и провайдеров ИБ-услуг применять дополнительные средства защиты информации. На первый план выходит проблема безопасности рабочих станций, которые чаще всего становятся точкой закрепления и развития атаки злоумышленника. Для эффективной борьбы с подобными угрозами уже недостаточно стандартного набора инструментов, таких как SIEM или антивирусы. Детектирование многих атак требует более глубокого аудита, который позволяет обнаружить действия хакеров, даже тщательно замаскированные под легальные процессы. Системы выявления атак на конечные хосты — EDR — ускоряют сбор первичных улик, сокращая общее время реагирования с нескольких часов до считаных минут.
Однако для обработки этих данных и грамотного реагирования на инциденты нужна профессиональная команда аналитиков. Компания может собрать собственный штат экспертов, что крайне сложно на фоне кадрового дефицита и высокой стоимости подобных специалистов. Альтернативный вариант — сервисная модель. Тогда обслуживанием и аналитикой займётся сервис-провайдер, предоставляющий услугу. За счёт собственной экспертизы, доступа к базам TI, подпискам, данным регуляторов эксперты подрядчика смогут обогащать зафиксированные EDR инциденты дополнительной информацией и эффективнее вести расследования.
Источник: www.anti-malware.ru