Endpoint Detection and Response (EDR)
Endpoint Detection and Response (далее — EDR) — это технология защиты конечных точек. Разработанные на её основе решения (системы и платформы) предназначены для обнаружения киберугроз и реагирования на них в режиме реального времени.
Принцип работы EDR
В архитектуру всех решений EDR включены компоненты:
- мониторинг сетевой активности;
- агент;
- фреймворк с базовым функционалом, выступающий в качестве ядра системы;
- фильтр файловой системы, работающий с запросами ввода-вывода, защитой компонентов и мониторингом доступа к системному реестру;
- библиотека динамической компоновки.
Сбор данных
С помощью агента, в роли которого выступает небольшое приложение, осуществляется сбор данных со всех конечных точек (ноутбуков, планшетов, смартфонов, персональных компьютеров и серверов). Оно запускается на устройствах и собирает с них данные (даже без подключения к интернету).
Агент собирает с конечных точек важную для безопасности телеметрию:
- выполняемые процессы;
- случаи использования съёмных носителей информации;
- подключенные серверы;
- файлы, к которым осуществляется доступ;
- учётные записи пользователей, в том числе и удалённых сотрудников;
- внешние и локальные адреса, которые подключались к хосту;
- созданные файлы, в том числе архивные папки;
- случаи использования административных возможностей внесения изменений в исполняемые файлы и ключи ASP;
- другая информация, полезная для обнаружения киберугрозы и проведения расследования в случае состоявшейся атаки.
Обнаружение и реагирование на угрозу
Происходит автоматически в режиме реального времени двумя способами. Первый применяется для обнаружения уже известных угроз, а второй для неизвестных.
В первом случае специалисты по информационной безопасности (далее — ИБ) осуществляют сбор индикаторов компрометации, чтобы получить уникальный след вредоносного программного обеспечения (вроде отпечатка пальца). Далее решение EDR по этим отпечаткам блокирует злоумышленникам доступ в ИТ-инфраструктуру.
Во втором случае обнаружение угроз (неизвестных ранее) осуществляется при помощи специализированных алгоритмов, которые находят общие черты поведения с уже известными угрозами.
Ни одно решение EDR не остановит 100% атак. Но, собирая большое количество важной для ИТ-безопасности информации, оно помогает специалистам ИБ понять, насколько успешными были атаки и как изменить свой подход, чтобы гарантировать их обнаружение и блокировку в будущем. Оно также позволяет им вручную принимать меры для снижения риска вторжения, заранее исследуя все конечные точки на наличие новой угрозы, которая ещё не обнаружена автоматически.
Интеграция и создание отчётности
EDR интегрируется со всеми существующими возможностями ИБ и передаёт дополнительные телеметрические данные на платформы управления: SIEM для обнаружения угроз, SOAR для реагирования на инциденты, или XDR.
Поскольку специалист ИБ часто перегружен оповещениями, интеграция EDR в существующий рабочий процесс позволяет расставлять приоритеты в инцидентах, которые нуждаются в срочном рассмотрении, и показывать всю потенциально значимую информацию в интуитивно понятном интерфейсе.
Также EDR предоставляет отчёты, как об эффективности среднего времени реагирования на атаки, так и о соблюдении нормативных требований.
Достоинства и возможности
EDR может:
- выявлять подозрительные события и реагировать на них в режиме реального времени;
- интегрироваться с другими решениями ИБ;
- собирать и предоставлять криминалистическую информацию об инцидентах;
- использовать белые и чёрные списки;
- осуществлять непрерывный сбор данных об уникальных следах злоумышленников;
- осуществлять централизованную настройку агента;
- хранить информацию о событиях в конечных точках;
- проводить мониторинг конечных точек;
- одновременно выполнять действия в разных системах;
- вести журналы событий ИБ;
- исправлять последствия вторжений путём отката конечного устройства до первоначального безопасного состояния;
- оптимизировать видимость всей ИТ-инфраструктуры.
Достоинствами EDR являются:
- проведение непрерывного мониторинга конечных точек, что даёт возможность обнаружить киберугрозы не только извне, но и изнутри корпоративной среды со стороны сотрудников компании (например: кража информации, майнинг);
- запись большого количества информации о сетевой активности;
- совместимость с другими продуктами информационной защиты для выполнения расширенного списка задач (например, интеграции с песочницей для обнаружения спящих киберугроз);
- применение возможностей искусственного интеллекта для мониторинга, обнаружения и предотвращения кибервторжений;
- поиск ещё не обнаруженных угроз;
- обеспечение безопасности конечных устройств сотрудников, работающих в удалённом режиме;
- детализация политик обработки USB-носителей.
Внедрение EDR
Существуют два варианта работы с EDR: через провайдера сервисов EDR или самостоятельное развёртывание в уже существующей корпоративной ИТ-инфраструктуре.
В первом случае вся работа передаётся на аутсорсинг провайдеру сервисов EDR. Для организаций небольших размеров, в штате которых нет работающих специалистов ИБ, такой вариант может быть наиболее экономически целесообразным.
Во втором случае компания приобретает платформу EDR, внедряет её в корпоративную ИТ-инфраструктуру. Управление ею берёт на себя служба ИБ или компетентные специалисты, работающие в ИТ-департаменте компании. Так вся обрабатываемая информация остаётся внутри организации.
Выбор EDR
Современная система безопасности конечных точек должна облегчать рабочую нагрузку специалистов ИБ и в то же время быть простой в использовании. Вот чего должны достичь современные и эффективные решения EDR:
- Обнаружение в режиме реального времени. Скорость кибератак растет. Кибератаки, которые раньше длились часами, теперь могут произойти за считанные минуты. Полностью автоматизированная защита конечных точек, включающая функции искусственного интеллекта и машинного обучения и максимально не требующая вмешательства человека, гарантирует возможность обнаруживать и блокировать угрозы в режиме реального времени.
- Сокращение MTTR (среднего времени реагирования). Быстрое выявление угрозы и наличие инструментов управляемых исправлений, помогают специалистам ИБ эффективно реагировать на вредоносное программное обеспечение и устранять угрозы одним щелчком мыши.
- Снижение усталости от оповещений. Количество оповещений безопасности растёт вместе с увеличением количества конечных точек, атак и данных. Приняв инновационные и продвинутые инструменты, использующие алгоритмическое принятие решений, можно удалить большую часть ложноположительных оповещений. Это позволяет специалистам ИБ сосредоточиться на расследованиях более высокого уровня и реальных оповещениях.
- Снижение порога входа. Учитывая продолжающуюся нехватку сотрудников службы безопасности, малое количество времени на их обучение и внедрение в рабочий процесс, специалисты ИБ могут развернуть автоматизированное решение, которое обеспечивает интуитивно понятный единый пользовательский интерфейс. Таким образом, даже начинающие специалисты смогут быстро понять тактику и методы злоумышленников. Эффективное программное обеспечение EDR должно быть одновременно мощным и простым в использовании.
Российские решения EDR
На отечественном ИТ-рынке представлены следующие разработки класса EDR:
- Kaspersky EDR Expert,
- Kaspersky EDR для бизнеса Оптимальный,
- MaxPatrol EDR,
- R-Vision Endpoint,
- UserGate Client,
- RT Protect EDR.
Получить консультацию
Опишите ваши задачи и сроки, и мы подберём для вас решение и рассчитаем его стоимость.