Вредоносные системы и технологии кибератак появляются достаточно часто. Каждый месяц выявляются новые уязвимости в разных продуктах, появляется информация о новых способах атаки на IT-инфраструктуру компаний, создаются новые вредоносы и другой хакерский софт.
Развитие ИБ-продуктов тоже не стоит на месте. Активно внедряются передовые технологии, в том числе методы машинного обучения и другие аспекты ИИ. Один из таких новых продуктов – это EDR-cистемы (Endpoint Detection & Response).
О EDR часто говорят как об инновационном решении в сфере информационной безопасности. В этой статье будут рассмотрены принципы работы этого класса систем, их возможности и недостатки.
EDR-система – это класс решений для обнаружения и изучения вредоносной активности на конечных точках, которые подключены к сети. Конечной точкой может быть как ПК сотрудника, так и IoT-устройство, сервер или другой элемент инфраструктуры компании.
Состоит система из двух элементов: агента, который устанавливается на устройство, и серверной части, которая выступает в роли центра обработки получаемой информации. В зависимости от конкретного продукта, этим центром может быть как локальный сервер, так и облако.
Кирилл Романов
Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»
Если не углубляться в историю появления самого класса решений, важно понимать, что это логичное продолжение развития антивируса и систем EPP, следящих за подозрительной активностью трафика и поиском вредоносных программ. Но если антивирусы отлавливают вредоносный софт в момент его запуска, инструменты EDR работают глубже и ориентированы на выявление целевых атак и сложных угроз. Помимо этого данный класс решений работает с искусственным интеллектом, который постоянно обучается и создает новые стратегии реагирования. Это, в свою очередь, усиливает защиту инфраструктуры клиента.
Формально, EDR – это синтез EPP, поскольку этот продукт ориентирован на защиту конечного устройства, и SIEM, так как он анализирует данные со всех устройств и «прогоняет» их через единый центр обработки. Как правило, система «ориентируется» на индикаторы компрометаций (IoC) и авторские правила, которые были заданы вендором или специалистами на местах.
EDR, в контексте бизнеса, предпочтительнее чем антивирусы, поскольку ориентирован на защиту инфраструктуры и бизнес-процессов, в рамках сети, а не корпоративного устройства. А также куда эффективнее справляется с детектированием APT-атак.
EDR как класс решений нельзя назвать «ноу-хау», поскольку он не привносит дополнительного функционала в уже существующие решения, но объединяет их в единую и эффективную систему, работая комплексно.
Например, если сравнивать EDR и обычный антивирус, то первая система будет эффективнее за счет возможности анализировать события на всех конечной точки сети, их взаимозависимость и корреляцию, чего антивирус не может.
К числу функций современных EDR-систем можно отнести:
За последний пункт как раз и отвечает машинное обучение системы, которая может самостоятельно разрабатывать сценарии поведения и реагирования на разные инциденты.
Еще один весомый плюс EDR-систем, отличающий их от смежных решений – это возможности для интеграции. Причем как с « низкоуровневыми» решениями типа экранов или антивируса, которые защищают конечные точки, так и с «верхнеуровневыми» решениями класса SIEM.
EDR-система – это прерогатива зрелых, с позиции ИБ, компаний. Не только потому что сама система достаточно сложна с точки зрения настройки и эксплуатации, но и потому что есть множество смежных решений, которые выполняют схожие функции и могут быть интегрированы с меньшими затратами.
В то же время, EDR от этих смежных решений качественно отличается, в первую очередь, потому что обеспечивает комплексный подход к безопасности, где мониторинг и защита инфраструктуры ведутся через контроль сразу всех подключенных устройств.
Иван Чернов
Менеджер по развитию UserGate
Во-первых, единственным, на мой взгляд, недостатком EDR можно назвать только то, что это достаточно сложный инструмент, который требует глубокого погружения в контекст и настройку систем информационной безопасности.
Во-вторых, понятие EDR носит, скорее, маркетинговый характер. Например, у нашей компании в рамках экосистемы UserGate SUMMA есть все необходимые компоненты расширенного обнаружения и реагирования, они присутствуют как на конечных станциях в сетях, так и в «облаке», и все наши продукты могут точно так же осуществлять реагирование на угрозы путем блокирования, предотвращения и сигнализации. Поэтому можно сказать, что у UserGate есть полноценный EDR внутри единой экосистемы безопасности, несмотря на то, что такой маркировки решения в ней нет.
Ну, а в-третьих, если говорить о преимуществах, EDR – это комплексное решение, которое работает не только в рамках конкретного устройства, а в контексте всей совокупности бизнес-процессов организации, собирая разную информацию с разных устройств. Сервер, связанный с компьютером, сравнивающий состояния конечных устройств, наблюдающий шаблоны поведения – например, массовую атаку – подгружает свою экспертизу, индикаторы компрометации, проводит ретроспективный анализ. Антивирус и «endpoint protection» защищает каждое конкретное устройство по отдельности, в то время как EDR анализирует общий контекст, позволяя выявлять подозрительную вредоносную активность на ранних этапах.
В данный момент EDR наиболее целесообразно применять в компаниях с большим количеством конечных устройств. Причем подключить к сети можно не только компьютеры, но и все IoT-устройства, от датчиков на производственных линиях и смарт-систем производства, до принтеров и кондиционеров.
Такая «тотальная защита» может показаться избыточной «в моменте», но не кажется такой в контексте стратегического развития, поскольку злоумышленники рано или поздно «доберутся» и до IoT-устройств, как ранее они « перешли» с ПК на смартфоны.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться