Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Що таке Endpoint Detection and Response? Топ-3 найкращих EDR рішень

Що таке Endpoint Detection and Response? Топ-3 найкращих EDR рішень

Для переважної більшості комерційних і державних організацій основною проблемою стають цілеспрямовані атаки на всю мережеву інфраструктуру. Цілеспрямовані атаки це цілий комплекс різнопланових загроз, починаючи з унікальних методів поширення шкідливого ПЗ, до вразливостей "нульового дня" і поширених способів заподіяння шкоди. Останні кілька років великою популярністю стали користуватися методи безфайлові атак, що теж завдає чимало проблем.

EDR.jpg

Про протидію

Цілеспрямована атака практично завжди виявляється несподіванкою для відділу інформаційної безпеки, і лише з невеликою ймовірністю такий "напад" можна помітити вчасно. До речі, саме на це і націлена основна концепція інформаційної безпеки, чільна на ринку сьогодні. Технології забезпечення безпеки сьогодні несуть превентивний характер впливу. Все це доповнюється системами для детектування:

  • Точкової шкідливої активності з якими активно можуть боротися звичайні антивіруси (EPP) .
  • Ключових вразливостей які сканують продукти від Tenable .

Однак, навіть таких рішень часом не вистачає для забезпечення повної безпеки. Особливо якщо мова йде про цілеспрямованих і складених атаках, з декількома закладеними сценаріями і адаптивною тактикою .

Зрештою, окремі точки доступу до системи (серверне обладнання, ноутбуки, робочі ПК і смартфони, а також планшети) теж повинні бути захищені від несанкціонованого доступу з боку третіх осіб. І якраз для зловмисників ці кінцеві точки доступу є пріоритетною метою. Тому що це найпростіший спосіб проникнення в систему, адже з фізичним доступом (або віддаленим) до пристрою, який є найважливішим в мережі, можна зробити дуже багато. Почасти, ця проблема вирішується жорсткою політикою розмежування прав доступу для користувачів.

Але і в цьому випадку 100-відсоткового рівня безпеки досягти не вдасться. Щоб обмежити ймовірність виникнення загрози, доводиться використовувати Endpoint Detection & Response (скорочено EDR ).

Що таке EDR?

Це окремий кластер рішень, що дозволяють виявити шкідливу активність в кінцеві точках:

  • Гаджети асоційовані з інтернетом речей.
  • Робочі станції.
  • Термінали.
  • Портативні пристрої для доступу до системи і т.п.

Антивірусне ПЗ дозволяє вирішити ряд типових задач. Це усунення масових загроз. Тоді як EDR-інструменти застосовуються для детектування цільових загроз і атак. Іншими словами, EDR це інструмент вузької спеціалізації, призначений для виявлення цілеспрямованих атак і складені загроз, що не детектируются звичайним антивірусним програмним забезпеченням. Не варто заглиблюватися в крайності і вибирати щось одне. Справа в тому, що захист має бути комплексною. І EDR ніяк не вирішує завдання, що стоять перед антивірусним програмним забезпеченням ( EPP ) .

Справедливо і зворотне твердження: EPP не може замінити EDR . Справа в тому, що EPP і EDR це 2 технології, націлені на забезпечення безпеки. Але технології не взаємозамінні, вони повинні використовуватися комплексно.

З архітектурою рішень EDR не все так просто, як може здатися. Традиційно, вся система складається з цільових агентів. Вони встановлюються на сервері і в кінцевих точках доступу до системи. Саме агент здійснюватиме моніторинг всіх інфікованих процесів, дій всіх користувачів і комунікаційних мережевих каналів. Агент ж передасть інформацію в хмарне сховище або на локальний сервер.

Серверний модуль EDR сканує всю отриману інформацію алгоритмами, збудованими на технологіях машинного навчання. Модуль зіставляє всі дані з БД IoC (база індикаторів компрометації) і іншими доступними базами даних. Якщо система виявила подія з ознаками, детектуючих інцидент, то представники служби безпеки організації тут же будуть сповіщені про те, що трапилося.

Ключові можливості продуктів EDR

Сучасне програмне забезпечення EDR дозволяє вирішити відразу цілий список завдань:

  • Інтеграція.
  • Блокування атак.
  • Виявлення підозрілої активності.
  • Запис інформації.
  • Збір інформації з кінцевих пристроїв.

Інтеграція з іншими захисними рішеннями дуже важлива, адже вона дозволяє організувати безпеку в тих компаніях, де використовується "різношерстий" набір програмного забезпечення. Це не тільки SIEM-комплекси , а й інше програмне забезпечення для забезпечення захисту . Крім того, EDR-рішення можуть ізолювати будь підозрілий файл, вчасно зупинити нетиповий процес і навіть розірвати з'єднання з мережею, припиняючи доступ зловмисникам.

Виявлення і класифікація підозрілої активності це ще один потужний інструмент. Природно, в EDR-рішеннях є модулі, що повідомляють співробітників, що займаються питаннями безпеки. Поведінка будь-яких програм і користувачів також відстежується окремими компонентами EDR. Це дозволяє вчасно виявити перехоплену обліковий запис користувача і відключити її. Більш того, рішення EDR можуть використовуватися у випадках, коли доступ до облікового запису було отримано методами СІ (соціальна інженерія).

Грубо кажучи функціонал EDR не обмежується стандартним інструментарієм EPP.

Переваги EDR в порівнянні з EPP

epp-edr.png

EPP це платформа для захисту кінцевих точок. Таке програмне забезпечення традиційно присутній у всіх компаніях, і воно дозволяє захиститися від відомих загроз. Актуальне оновлення баз даних дозволяє виключити ймовірність виникнення невідомої загрози, але абсолютного рецепта немає і тут. І ключовим недоліком комплексів EPP є їх нездатність виявлення шкідливої ​​активності, що не відповідає сигнатури. От саме з цим завданням EPP впоратися не вдасться. Доречно буде навести кілька прикладів:

  • Вірусне ПО, що не зберігає тіла файлів в системі.
  • Раніше невідома програма, для якої немає вже підготовлених сигнатур.
  • Доступ через легальні облікові записи користувачів (детектування на рівні поведінки і дій).

EPP з цим не впорається. Це завдання для EDR. 2 комплексу доповнюються один одним, і дозволяють організувати захист практично будь-який інфраструктури.

Топ EDR-рішень в 2021 році

Не так давно компанія Gartner склала рейтинг найпопулярніших продуктів в номінації Peer Insights Customers 'Choice. Це вибір користувачів, і всі представлені в цій категорії програмні продукти були широко оцінені різнопланової аудиторією.

487974-mcafee-logo.png

Mcafee

Рішення Endpoint Threat Defense and Response від розробника Mcafee підійде для підприємців. Цей програмний комплекс полегшує роботу фахівців, що займаються питаннями інформаційної безпеки. Сучасні технології, просунуті інструменти і простий інтерфейс для адміністрування: все це є в Endpoint Protection від Malwarebytes. Ключовими перевагами можна вважати:

  • Можливість централізованого управління і реагування.
  • Вбудоване ядро ​​для нейтралізації загроз.
  • Інтелектуальний алгоритм обміну інформацією між різними рівнями.
  • Простоту використання.
  • ePolicy Orchestrator 

Крім того у Mcafee є цілий набір інформаційних панелей, що дозволяють швидко виявити виникає загрозу або вразливість. Участі кінцевого користувача в забезпеченні безпеки практично немає, все здійснюється в автоматичному режимі.

sentinelone-endpoint-protection-platform.png

SentinelOne

Вкрай цікаве програмне рішення для захисту. Порівняно недавно, а саме в 2013 рішення вийшло на ринок і вже сьогодні це лідер ринку за версією Gartner. Відрізняється швидким циклом розробки і приголомшливим API. Основною перевагою рішення можна вважати можливість дешифрування файлів після атаки програми-здирника. Це єдине рішення на ринку, що дозволяє зробити щось подібне. Серед переваг цього рішення можна також виділити:

  • Ефективність розгортання в системі.
  • Кросплатформеність (можна розгорнути ПО практично на будь-якому пристрої).
  • Механізм глибинної аналітики.

Рішення вже встигло себе зарекомендувати, і активно використовується у великій кількості великих компаній по всьому світу. 

sophos-home.png

Софос

Intercept X від Sophos це програмний продукт, що поєднує в собі багатий функціонал і тонке налаштування механізму детектування. Ключовими перевагами цього рішення можна вважати:
  • Функціонал, який об'єднує всі потоки даних (починаючи від телеметрії, і закінчуючи мережевий інформацією користувача і навіть його e-mail).
  • Систему ефективного виявлення загроз.
  • Алгоритм, що відслідковує сліди різних атак.
  • Чи зупинить вимагачів
Більш того, за допомогою Sophos ви зможете отримувати файли з віддалених пристроїв, щоб піддати їх аналізу.

висновок

Зловмисники продовжують використовувати серверне обладнання та робочі станції для проникнення в систему. Програмне забезпечення EPP розроблялося в ті часи, коли ландшафт загроз був зовсім іншим. І систем класу EPP сьогодні відверто не вистачає для забезпечення повної безпеки. Тому на додаток до EPP-системам сьогодні потрібно використовувати ще і EDR-рішення. Щоб забезпечити високий рівень захисту для інфраструктури будь-якої складності.