erid: 2SDnjeU7TaZ
EDR-системы как пример ра...

EDR-системы как пример развития инструментов кибербезопасности

erid: 2SDnjc6Ex1F
EDR-системы как пример развития инструментов кибербезопасности
EDR-системы как пример развития инструментов кибербезопасности
07.11.2022

Вредоносные системы и технологии кибератак появляются достаточно часто. Каждый месяц выявляются новые уязвимости в разных продуктах, появляется информация о новых способах атаки на IT-инфраструктуру компаний, создаются новые вредоносы и другой хакерский софт.

Развитие ИБ-продуктов тоже не стоит на месте. Активно внедряются передовые технологии, в том числе методы машинного обучения и другие аспекты ИИ. Один из таких новых продуктов – это EDR-cистемы (Endpoint Detection & Response).

О EDR часто говорят как об инновационном решении в сфере информационной безопасности. В этой статье будут рассмотрены принципы работы этого класса систем, их возможности и недостатки.

Принцип работы

EDR-система – это класс решений для обнаружения и изучения вредоносной активности на конечных точках, которые подключены к сети. Конечной точкой может быть как ПК сотрудника, так и IoT-устройство, сервер или другой элемент инфраструктуры компании.

Состоит система из двух элементов: агента, который устанавливается на устройство, и серверной части, которая выступает в роли центра обработки получаемой информации. В зависимости от конкретного продукта, этим центром может быть как локальный сервер, так и облако.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

Если не углубляться в историю появления самого класса решений, важно понимать, что это логичное продолжение развития антивируса и систем EPP, следящих за подозрительной активностью трафика и поиском вредоносных программ. Но если антивирусы отлавливают вредоносный софт в момент его запуска, инструменты EDR работают глубже и ориентированы на выявление целевых атак и сложных угроз. Помимо этого данный класс решений работает с искусственным интеллектом, который постоянно обучается и создает новые стратегии реагирования. Это, в свою очередь, усиливает защиту инфраструктуры клиента.

Формально, EDR – это синтез EPP, поскольку этот продукт ориентирован на защиту конечного устройства, и SIEM, так как он анализирует данные со всех устройств и «прогоняет» их через единый центр обработки. Как правило, система «ориентируется» на индикаторы компрометаций (IoC) и авторские правила, которые были заданы вендором или специалистами на местах.

EDR, в контексте бизнеса, предпочтительнее чем антивирусы, поскольку ориентирован на защиту инфраструктуры и бизнес-процессов, в рамках сети, а не корпоративного устройства. А также куда эффективнее справляется с детектированием APT-атак.

Возможности

EDR как класс решений нельзя назвать «ноу-хау», поскольку он не привносит дополнительного функционала в уже существующие решения, но объединяет их в единую и эффективную систему, работая комплексно.

Например, если сравнивать EDR и обычный антивирус, то первая система будет эффективнее за счет возможности анализировать события на всех конечной точки сети, их взаимозависимость и корреляцию, чего антивирус не может.

К числу функций современных EDR-систем можно отнести:

  1. Сбор данных с подключенных к сети устройств в онлайн-режиме.
  2. Запись данных обо всех действиях на этих устройствах, от сетевой активности до запуска разного ПО.
  3. Анализ данных и выявление потенциально-опасных процессов.
  4. Вывод информации для уведомления администратора.
  5. Автоматическая реакция на выявленные подозрительные события.

За последний пункт как раз и отвечает машинное обучение системы, которая может самостоятельно разрабатывать сценарии поведения и реагирования на разные инциденты.

Еще один весомый плюс EDR-систем, отличающий их от смежных решений – это возможности для интеграции. Причем как с « низкоуровневыми» решениями типа экранов или антивируса, которые защищают конечные точки, так и с «верхнеуровневыми» решениями класса SIEM.

Вывод

EDR-система – это прерогатива зрелых, с позиции ИБ, компаний. Не только потому что сама система достаточно сложна с точки зрения настройки и эксплуатации, но и потому что есть множество смежных решений, которые выполняют схожие функции и могут быть интегрированы с меньшими затратами.

В то же время, EDR от этих смежных решений качественно отличается, в первую очередь, потому что обеспечивает комплексный подход к безопасности, где мониторинг и защита инфраструктуры ведутся через контроль сразу всех подключенных устройств.

Иван Чернов

Менеджер по развитию UserGate

Во-первых, единственным, на мой взгляд, недостатком EDR можно назвать только то, что это достаточно сложный инструмент, который требует глубокого погружения в контекст и настройку систем информационной безопасности.

Во-вторых, понятие EDR носит, скорее, маркетинговый характер. Например, у нашей компании в рамках экосистемы UserGate SUMMA есть все необходимые компоненты расширенного обнаружения и реагирования, они присутствуют как на конечных станциях в сетях, так и в «облаке», и все наши продукты могут точно так же осуществлять реагирование на угрозы путем блокирования, предотвращения и сигнализации. Поэтому можно сказать, что у UserGate есть полноценный EDR внутри единой экосистемы безопасности, несмотря на то, что такой маркировки решения в ней нет.

Ну, а в-третьих, если говорить о преимуществах, EDR – это комплексное решение, которое работает не только в рамках конкретного устройства, а в контексте всей совокупности бизнес-процессов организации, собирая разную информацию с разных устройств. Сервер, связанный с компьютером, сравнивающий состояния конечных устройств, наблюдающий шаблоны поведения – например, массовую атаку – подгружает свою экспертизу, индикаторы компрометации, проводит ретроспективный анализ. Антивирус и «endpoint protection» защищает каждое конкретное устройство по отдельности, в то время как EDR анализирует общий контекст, позволяя выявлять подозрительную вредоносную активность на ранних этапах.

В данный момент EDR наиболее целесообразно применять в компаниях с большим количеством конечных устройств. Причем подключить к сети можно не только компьютеры, но и все IoT-устройства, от датчиков на производственных линиях и смарт-систем производства, до принтеров и кондиционеров.

Такая «тотальная защита» может показаться избыточной «в моменте», но не кажется такой в контексте стратегического развития, поскольку злоумышленники рано или поздно «доберутся» и до IoT-устройств, как ранее они « перешли» с ПК на смартфоны.

Другие материалы
Разведка боем. Как российский бизнес идет к информационной неуязвимости
04.04.2024
Разведка боем. Как российский бизнес идет к информационной неуязвимости
Физлица смогут подавать налоговые декларации без персональных данных
18.03.2024
Физлица смогут подавать налоговые декларации без персональных данных
Positive Technologies сделала бессрочной свою первую продуктовую программу багбаунти
13.02.2024
Positive Technologies сделала бессрочной свою первую продуктовую программу багбаунти
erid: 2SDnjdbjuoP
Популярные публикации
18.04.2024
В 1 квартале 2024 года хакеры усилили DDoS-атаки на телеком, ритейл и энергетический сектор
18.04.2024
Эксперты «Газинформсервис» примут участие в ИнфоТеКС ТехноФест в Питере
18.04.2024
«Лаборатория Касперского» представила в Дубае новую версию операционной системы Kaspersky Thin Client
18.04.2024
Рекордные DDoS-атаки обрушились на Москву, Урал и Поволжье в начале 2024 года
18.04.2024
Новая хакерская кампании проходит в ручном формате
Показать всё
Читайте также
Комментарии 0