Endpoint Detection and Response (EDR)

Endpoint Detection and Response (далее — EDR) — это технология защиты конечных точек. Разработанные на её основе решения (системы и платформы) предназначены для обнаружения киберугроз и реагирования на них в режиме реального времени.

Принцип работы EDR

В архитектуру всех решений EDR включены компоненты:

  • мониторинг сетевой активности;
  • агент;
  • фреймворк с базовым функционалом, выступающий в качестве ядра системы;
  • фильтр файловой системы, работающий с запросами ввода-вывода, защитой компонентов и мониторингом доступа к системному реестру;
  • библиотека динамической компоновки.

Сбор данных

С помощью агента, в роли которого выступает небольшое приложение, осуществляется сбор данных со всех конечных точек (ноутбуков, планшетов, смартфонов, персональных компьютеров и серверов). Оно запускается на устройствах и собирает с них данные (даже без подключения к интернету).

Агент собирает с конечных точек важную для безопасности телеметрию:

  • выполняемые процессы;
  • случаи использования съёмных носителей информации;
  • подключенные серверы;
  • файлы, к которым осуществляется доступ;
  • учётные записи пользователей, в том числе и удалённых сотрудников;
  • внешние и локальные адреса, которые подключались к хосту;
  • созданные файлы, в том числе архивные папки;
  • случаи использования административных возможностей внесения изменений в исполняемые файлы и ключи ASP;
  • другая информация, полезная для обнаружения киберугрозы и проведения расследования в случае состоявшейся атаки.

Обнаружение и реагирование на угрозу

Происходит автоматически в режиме реального времени двумя способами. Первый применяется для обнаружения уже известных угроз, а второй для неизвестных.

В первом случае специалисты по информационной безопасности (далее — ИБ) осуществляют сбор индикаторов компрометации, чтобы получить уникальный след вредоносного программного обеспечения (вроде отпечатка пальца). Далее решение EDR по этим отпечаткам блокирует злоумышленникам доступ в ИТ-инфраструктуру.

Во втором случае обнаружение угроз (неизвестных ранее) осуществляется при помощи специализированных алгоритмов, которые находят общие черты поведения с уже известными угрозами.

Ни одно решение EDR не остановит 100% атак. Но, собирая большое количество важной для ИТ-безопасности информации, оно помогает специалистам ИБ понять, насколько успешными были атаки и как изменить свой подход, чтобы гарантировать их обнаружение и блокировку в будущем. Оно также позволяет им вручную принимать меры для снижения риска вторжения, заранее исследуя все конечные точки на наличие новой угрозы, которая ещё не обнаружена автоматически.

Интеграция и создание отчётности

EDR интегрируется со всеми существующими возможностями ИБ и передаёт дополнительные телеметрические данные на платформы управления: SIEM для обнаружения угроз, SOAR для реагирования на инциденты, или XDR.

Поскольку специалист ИБ часто перегружен оповещениями, интеграция EDR в существующий рабочий процесс позволяет расставлять приоритеты в инцидентах, которые нуждаются в срочном рассмотрении, и показывать всю потенциально значимую информацию в интуитивно понятном интерфейсе.

Также EDR предоставляет отчёты, как об эффективности среднего времени реагирования на атаки, так и о соблюдении нормативных требований.

Достоинства и возможности

EDR может:

  • выявлять подозрительные события и реагировать на них в режиме реального времени;
  • интегрироваться с другими решениями ИБ;
  • собирать и предоставлять криминалистическую информацию об инцидентах;
  • использовать белые и чёрные списки;
  • осуществлять непрерывный сбор данных об уникальных следах злоумышленников;
  • осуществлять централизованную настройку агента;
  • хранить информацию о событиях в конечных точках;
  • проводить мониторинг конечных точек;
  • одновременно выполнять действия в разных системах;
  • вести журналы событий ИБ;
  • исправлять последствия вторжений путём отката конечного устройства до первоначального безопасного состояния;
  • оптимизировать видимость всей ИТ-инфраструктуры.

Достоинствами EDR являются:

  • проведение непрерывного мониторинга конечных точек, что даёт возможность обнаружить киберугрозы не только извне, но и изнутри корпоративной среды со стороны сотрудников компании (например: кража информации, майнинг);
  • запись большого количества информации о сетевой активности;
  • совместимость с другими продуктами информационной защиты для выполнения расширенного списка задач (например, интеграции с песочницей для обнаружения спящих киберугроз);
  • применение возможностей искусственного интеллекта для мониторинга, обнаружения и предотвращения кибервторжений;
  • поиск ещё не обнаруженных угроз;
  • обеспечение безопасности конечных устройств сотрудников, работающих в удалённом режиме;
  • детализация политик обработки USB-носителей.

Внедрение EDR

Существуют два варианта работы с EDR: через провайдера сервисов EDR или самостоятельное развёртывание в уже существующей корпоративной ИТ-инфраструктуре.

В первом случае вся работа передаётся на аутсорсинг провайдеру сервисов EDR. Для организаций небольших размеров, в штате которых нет работающих специалистов ИБ, такой вариант может быть наиболее экономически целесообразным.

Во втором случае компания приобретает платформу EDR, внедряет её в корпоративную ИТ-инфраструктуру. Управление ею берёт на себя служба ИБ или компетентные специалисты, работающие в ИТ-департаменте компании. Так вся обрабатываемая информация остаётся внутри организации.

Выбор EDR

Современная система безопасности конечных точек должна облегчать рабочую нагрузку специалистов ИБ и в то же время быть простой в использовании. Вот чего должны достичь современные и эффективные решения EDR:

  • Обнаружение в режиме реального времени. Скорость кибератак растет. Кибератаки, которые раньше длились часами, теперь могут произойти за считанные минуты. Полностью автоматизированная защита конечных точек, включающая функции искусственного интеллекта и машинного обучения и максимально не требующая вмешательства человека, гарантирует возможность обнаруживать и блокировать угрозы в режиме реального времени.
  • Сокращение MTTR (среднего времени реагирования). Быстрое выявление угрозы и наличие инструментов управляемых исправлений, помогают специалистам ИБ эффективно реагировать на вредоносное программное обеспечение и устранять угрозы одним щелчком мыши.
  • Снижение усталости от оповещений. Количество оповещений безопасности растёт вместе с увеличением количества конечных точек, атак и данных. Приняв инновационные и продвинутые инструменты, использующие алгоритмическое принятие решений, можно удалить большую часть ложноположительных оповещений. Это позволяет специалистам ИБ сосредоточиться на расследованиях более высокого уровня и реальных оповещениях.
  • Снижение порога входа. Учитывая продолжающуюся нехватку сотрудников службы безопасности, малое количество времени на их обучение и внедрение в рабочий процесс, специалисты ИБ могут развернуть автоматизированное решение, которое обеспечивает интуитивно понятный единый пользовательский интерфейс. Таким образом, даже начинающие специалисты смогут быстро понять тактику и методы злоумышленников. Эффективное программное обеспечение EDR должно быть одновременно мощным и простым в использовании.

Российские решения EDR

На отечественном ИТ-рынке представлены следующие разработки класса EDR:

Получить консультацию

Опишите ваши задачи и сроки, и мы подберём для вас решение и рассчитаем его стоимость.