Что такое Endpoint Detection and Response? Топ-3 лучших EDR решений
14 мая 2021
Для подавляющего большинства коммерческих и государственных организаций основной проблемой становятся целенаправленные атаки на всю сетевую инфраструктуру. Целенаправленные атаки это целый комплекс разноплановых угроз, начиная с уникальных методов распространения вредоносного ПО, до уязвимостей "нулевого дня" и распространенных способов причинения вреда. Последние несколько лет большой популярностью стали пользоваться методы бесфайловых атак, что тоже доставляет немало проблем.
О противодействии
Целенаправленная атака практически всегда оказывается неожиданностью для отдела информационной безопасности, и лишь с небольшой вероятностью такое "нападение" можно заметить вовремя. Кстати, именно на это и нацелена основная концепция информационной безопасности, главенствующая на рынке сегодня. Технологии обеспечения безопасности сегодня несут превентивный характер воздействия. Всё это дополняется системами для детектирования:
- Точечной вредоносной активности с которыми активно могут бороться обычные антивирусы(EPP).
- Ключевых уязвимостей которые сканируют продукты от Tenable.
Однако, даже таких решений порой не хватает для обеспечения полной безопасности. Особенно если речь идет о целенаправленных и сложносоставных атаках, с несколькими заложенными сценариями и адаптивной тактикой.
В конце концов, отдельные точки доступа к системе (серверное оборудование, ноутбуки, рабочие ПК и смартфоны, а также планшеты) тоже должны быть защищены от несанкционированного доступа со стороны третьих лиц. И как раз для злоумышленников эти конечные точки доступа являются приоритетной целью. Потому что это самый простой способ проникновения в систему, ведь с физическим доступом (или удаленным) к устройству, авторизованному в сети, можно сделать очень многое. Отчасти, эта проблема решается жесткой политикой разграничения прав доступа для пользователей.
Но и в этом случае 100-процентного уровня безопасности достичь не удастся. Чтобы ограничить вероятность возникновения угрозы, приходится использовать Endpoint Detection & Response (сокращенно EDR).
Что такое EDR?
Это отдельный кластер решений, позволяющих обнаружить вредоносную активность в конечны точках:
- Гаджеты ассоциированные с интернетом вещей.
- Рабочие станции.
- Терминалы.
- Портативные устройства для доступа к системе и т.п.
Антивирусное ПО позволяет решить ряд типовых задач. Это устранение массовых угроз. Тогда как EDR-инструменты применяются для детектирования целевых угроз и атак. Иными словами, EDR это инструмент узкой специализации, предназначенный для выявления целенаправленных атак и сложносоставных угроз, которые не детектируются обычным антивирусным программным обеспечением. Не стоит ударяться в крайности и выбирать что-то одно. Дело в том, что защита должна быть комплексной. И EDR никак не решает задачи, стоящие перед антивирусным программным обеспечением(EPP).
Справедливо и обратное утверждение: EPP не может заменить EDR. Дело в том, что EPP и EDR это 2 технологии, нацеленные на обеспечение безопасности. Но технологии не взаимозаменяемые, они должны использоваться комплексно.
С архитектурой решений EDR не все так просто, как может показаться. Традиционно, вся система состоит из целевых агентов. Они устанавливаются на сервере и в конечных точках доступа к системе. Именно агент будет осуществлять мониторинг всех инфицированных процессов, действий всех пользователей и коммуникационных сетевых каналов. Агент же передаст информацию в облачное хранилище или на локальный сервер.
Серверный модуль EDR сканирует всю полученную информацию алгоритмами, выстроенными на технологиях машинного обучения. Модуль сопоставляет все данные с БД IoC (база индикаторов компрометации) и другими доступными базами данных. Если система обнаружила событие с признаками, детектирующими инцидент, то представители службы безопасности организации тут же будут оповещены о случившемся.
Ключевые возможности продуктов EDR
Современное программное обеспечение EDR позволяет решить сразу целый список задач:
- Интеграция.
- Блокировка атак.
- Выявление подозрительной активности.
- Запись информации.
- Сбор информации с конечных устройств.
Интеграция с другими защитными решениями очень важна, ведь она позволяет организовать безопасность в тех компаниях, где используется "разношерстный" набор программного обеспечения. Это не только SIEM-комплексы, но и другое ПО для обеспечения защиты. Кроме того, EDR-решения могут изолировать любой подозрительный файл, вовремя остановить нетипичный процесс и даже разорвать сетевое соединение, пресекая доступ злоумышленникам.
Выявление и классификация подозрительной активности это еще один мощный инструмент. Естественно, в EDR-решениях есть модули, уведомляющие сотрудников, занимающихся вопросами безопасности. Поведение любых программ и пользователей также отслеживается отдельными компонентами EDR. Это позволяет вовремя обнаружить перехваченную учетную запись пользователя и отключить ее. Более того, решения EDR могут использоваться в случаях, когда доступ к учетной записи был получен методами СИ (социальная инженерия).
Грубо говоря функционал EDR не ограничивается стандартным инструментарием EPP.
Преимущества EDR в сравнении с EPP
EPP это платформа для защиты конечных точек. Такое программное обеспечение традиционно присутствует во всех компаниях, и оно позволяет защититься от известных угроз. Актуальное обновление баз данных позволяет исключить вероятность возникновения неизвестной угрозы, но абсолютного рецепта нет и здесь. И ключевым недостатком комплексов EPP является их неспособность обнаружения вредоносной активности, не соответствующей сигнатуры. Вот как раз с этой задачей EPP справиться не удастся. Уместно будет привести несколько примеров:
- Вирусное ПО, не сохраняющее тела файлов в системе.
- Ранее неизвестная программа, для которой нет уже подготовленных сигнатур.
- Доступ через легальные учетные записи пользователей (детектирование на уровне поведения и действий).
EPP с этим не справится. Это задача для EDR. 2 комплекса дополняются друг другом, и позволяют организовать защиту практически любой инфраструктуры.
Топ EDR-решений в 2021 году
Не так давно компания Gartner составила рейтинг самых популярных продуктов в номинации Peer Insights Customers’ Choice. Это выбор пользователей, и все представленные в этой категории программные продукты были широко оценены разноплановой аудиторией.
Mcafee
Решение Endpoint Threat Defense and Response от разработчика Mcafee подойдет для предпринимателей. Этот программный комплекс облегчает работу специалистов, занимающихся вопросами информационной безопасности. Современные технологии, продвинутые инструменты и простой интерфейс для администрирования: всё это есть в Endpoint Protection от Malwarebytes. Ключевыми преимуществами можно считать:
- Возможность централизованного управления и реагирования.
- Встроенное ядро для нейтрализации угроз.
- Интеллектуальный алгоритм обмена информацией между разными уровнями.
- Простоту использования.
- ePolicy Orchestrator
Кроме того у Mcafee есть целый набор информационных панелей, позволяющих быстро обнаружить возникающую угрозу или уязвимость. Участия конечного пользователя в обеспечении безопасности практически нет, всё осуществляется в автоматическом режиме.
SentinelOne
Крайне интересное программное решение для защиты. Сравнительно недавно, а именно в 2013 решение вышло на рынок и уже сегодня это лидер рынка по версии Gartner. Отличается быстрым циклом разработки и потрясающим API. Основным преимуществом решения можно считать возможность дешифровки файлов после атаки программы-вымогателя. Это единственное решение на рынке, позволяющее сделать что-то подобное. Среди преимуществ этого решения можно также выделить:
- Эффективность развертывания в системе.
- Кроссплатформенность (можно развернуть ПО практически на любом устройстве).
- Механизм глубинной аналитики.
Решение уже успело себя зарекомендовать, и активно используется в большом количестве крупных компаний по всему миру.
Sophos
Intercept X от Sophos это программный продукт, сочетающий в себе богатый функционал и тонкую настройку механизма детектирования. Ключевыми преимуществами этого решения можно считать:- Функционал, объединяющий все потоки данных (начиная от телеметрии, и заканчивая сетевой информацией пользователя и даже его e-mail).
- Систему эффективного обнаружения угроз.
- Алгоритм, отслеживающий следы различных атак.
- Остановит вымогателей
Заключение
Злоумышленники продолжают использовать серверное оборудование и рабочие станции для проникновения в систему. Программное обеспечение EPP разрабатывалось в те времена, когда ландшафт угроз был совершенно другим. И систем класса EPP сегодня откровенно не хватает для обеспечения полной безопасности. Поэтому в дополнение к EPP-системам сегодня нужно использовать еще и EDR-решения. Чтобы обеспечить высокий уровень защиты для инфраструктуры любой сложности.