erid 2SDnje4KwUm

Защита конечных точек: а достаточно ли одного антивируса?

erid 2SDnjdR8BoP
Защита конечных точек: а достаточно ли одного антивируса?
Защита конечных точек: а достаточно ли одного антивируса?
13.02.2023

Современная компания в техническом плане состоит из сотен устройств: от ПК и АСУ ТП, до принтеров и смартфонов, которые подключаются к сети. Каждое из этих устройств может быть как точкой входа в инфраструктуру компании, так и целью хакерской атаки, эксплуатация которой сама по себе может быть недопустимым событием.

Это только повышает необходимость интеграции средств защиты конечных точек. Endpoint-защита позволяет как обеспечить безопасность каждого конкретного устройства в сети, так и « связать» все девайсы в единую сеть.

В этой статье будут разобраны основные методы защиты конечных точек компании от хакерской активности, возникающие в рамках этой задачи проблемы и инструменты, которые позволяют выстроить максимально эффективную защиту endpoint.

Какое оборудование относится к конечным точкам

Анастасия Винчевская

Руководитель платформы кибербезопасности TheWall

Как правило, отделы ИБ в организациях контролируют процесс установки и обновления антивирусов на ПК сотрудников. 

Но, как и везде, появляется человеческий фактор, когда антивирус выключают, “чтобы не мешал работать”. Антивирусы выключают на компьютерах, чтобы было удобно качать файлы с торрентов, всевозможные взломщики платных программ, переходить по ссылкам рекламы и фишинга. После таких действий люди часто забывают активировать работу антивируса. 

Даже если антивирус активировали, то в промежуток времени, пока скачивались файлы из интернета или пользователи переходили по ссылкам, система Endpoint находилась без защиты.

В современных реалиях конечной точкой принято называть любое оборудование и девайсы, которые подключены к сети компании. При этом, ввиду ряда объективных и субъективных факторов, внимание к разным типам устройств выделяется разное, несмотря на тот факт, что любой девайс может стать точкой входа для хакера.

Например, традиционно отмечается проблема с мобильными устройствами сотрудников. Далеко не всякая компания может, по аналогии с атомной промышленностью, просто убрать физическую возможность подключить свое устройство к сети, поскольку смартфон нередко является одним из инструментов, который сотрудник использует для выполнения своих должностных функций.

Петр Куценко

Руководитель компонента Endpoint экосистемы R-Vision

Автоматизированные средства не всегда могут быть эффективными при защите конечных устройств, если игнорируются ключевые правила кибербезопасности. Что часто происходит из-за расхожести интересов ИБ-служб и конечных пользователей: одни отстаивают четкое соблюдение всех правил ИБ и частом сканировании систем, затормаживающее работу компьютера, а другие стремятся к быстрому и легкому выполнению своих задач. И для этого даже могут устанавливать сторонний софт. Поэтому для решения задач эффективной защиты Endpoint крайне важно выстроить этот процесс максимально комфортно для всех сторон и повышать уровень осведомленности сотрудников в вопросах ИБ. В таком случае конечные пользователи, будучи подготовленными к фишинговым атакам или социальному инженерингу, вряд ли станут открывать неизвестные ссылки.

Также, есть ряд устройств, которые традиционно находятся внизу таблицы приоритетного оборудования компании у службы ИБ. Как правило, это разная «умная» бытовая техника, от шредеров и принтеров, до кондиционеров и кофеварки на офисной кухне. Очевидно, что их приоритетность относительно, например, АСУ ТП, на порядок ниже, но это не отменяет того факта, что они могут стать целью или одним из этапов атаки.

Ввиду обширного списка устройств, которые можно отнести к категории Endoint, возникают четыре краеугольные проблемы, которые вызывают наибольшие сложности:

  1. Дисбаланс между интересами службы ИБ и остальными сотрудниками.

  2. Неизбежные проблемы приоритизации защиты, поскольку какая-то группа оборудования всегда будет находиться «внизу списка».

  3. «Реактивный» подход, когда работа по обеспечению ИБ конечных точек ведется несистемно и компания не всегда имеет актуальный перечень оборудования, имеющегося в ее сети.

  4. Наличие «мобильных» устройств, в первую очередь ноутбуков и смартфонов, которые взаимодействуют не только с корпоративной сетью, но и с другими сетями, от домашней до вай-фая в кафе.

Весь разрозненный «парк устройств», помимо всего прочего, нужно еще и регулярно обновлять, проверять и пополнять новыми девайсами, либо вовремя отключать старые устройства, что только дополняет уже имеющуюся нагрузку.

Актуальность Endpoint-защиты

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Наличие антивирусного ПО с централизованным управлением не является стопроцентным средством для защиты конечных точек. Особенно это актуально в текущих условиях, когда атаки стали более изощренными и растянутыми во времени. Конечные точки могут обладать набором уязвимостей, которые могут быть использованы в качестве точек входа в корпоративную сеть при взломе. 

Поэтому, защита должна быть устроена как всесторонняя, в том числе должно быть обеспечено обновление ПО, контроль за уровнями привилегий для учетных записей, регулярное обновление ОС, правильные настройки ОС и многое другое. Как один из вариантов повышения защищенности можно использовать продукты класса UEBA, которые позволяют анализировать поведение пользователя конечной точки.

Основной ошибкой при защите конечных точек является несистемный подход к организации такой защиты. Пользователи зачастую имеют повышенные привилегии, лишнее ПО на АРМ, ПО не обновляется систематически. Все это ведет к комплексному снижению уровня защищенности корпоративной ЛВС.

Умные устройства могут быть не только одним из пунктов в цепочке атак, но и самоцелью. Например, для пополнения сети ботнета и последующего использования ресурсов девайса для майнинга или DDoS-атак.

Помимо этого, важно отметить, что с прошлого года инфраструктура российских компаний попала «на бесплатный пентест» с кратно возросшим количеством кибератак. В этих условиях любая брешь в инфраструктуре достаточно быстро приводит к киберинциденту и реальным последствиям для компании, от кражи данных до установки шифровальщика.

Дмитрий Артеменков

Руководитель центра информационной безопасности RAMAX Group

Современные атаки на конечные точки уже давно не ограничиваются одними вирусами: фишинг, бесфайловые атаки, вредоносные скрипты или эксплойты уже давно не редкость, эти угрозы и векторы атак требуют новых мер защиты.

Долгое время традиционный антивирус, использующий сигнатурный метод анализа, использовался как самостоятельное решение для защиты конечных точек, но сейчас это лишь один из механизмов защиты.

К защите конечных точек следует подходить комплексно, учитывая безопасность всей инфраструктуры компании, включая мобильные устройства.

В условиях, когда сотрудник может « принести» вредонос на своем планшете или смартфоне « из дома», важность выстроенных процессов защиты конечных точек особенно возрастает. Особенно это актуально для компаний, которые представляют интерес для АПТ-группировок и могут подвергнуться таргетированной атаке.

Проблемы защиты конечных точек

Для Endpoint-защиты характерны все системные проблемы кибербезопасности в целом: отсутствие практик и регламентов, дефицит кадров для распределения задач, высокая роль человеческого фактора и ряд других.

Если акцентировать внимание на самых острых, то это «вчерашний подход», когда компания обеспечивает кибербезопасность своих устройств по устаревшим стандартам, которые были актуальны для совершенно других реалий.

Никита Аршинов

Руководитель отдела прикладных систем Angara Security

Когда-то основным подходом, используемым для защиты конечных точек, было использование сигнатурного анализа вредоносного кода, или же просто антивируса. В те периоды средний объем сигнатур такого антивируса составлял около 100-500 правил обнаружения. Сейчас злоумышленники практически всегда при проведении атак на конечные точки оперируют легитимными корпоративными инструментами. То есть сценарии новых угроз максимально похожи на обычные действия пользователей или процессов, и сигнатурные антивирусы с ними практически не справляются.

Все это делает необходимым применение таких инструментов как анализ поведения, защита от веб-угроз, сетевой экран, ограничение программной среды, контроль устройств и так далее, входящих в состав современных продвинутых антивирусов. Выходя на более высокий уровень зрелости в области информационной безопасности, компаниям хочется собирать телеметрию, видеть последовательность вредоносной активности, отправлять файлы в песочницу для получения дополнительного контекста.

К проблеме «вчерашнего подхода» можно отнести и политику обновления ПО. Она достаточно комплексна, поскольку причин отказа от регулярных патчей может найтись множество – от банального нежелания «трогать то, что и так работает», до физической невозможности обновиться до актуальной версии ввиду санкций и ухода вендора.

Однако, важность правильно выстроенной политики обновлений трудно переоценить, поскольку она позволяет обеспечить защиту устройства от большинства актуальных угроз «руками разработчика» и не заниматься этим самостоятельно. Все «авторские» патчи – это в любом случае «костыль».

Александр Герасимов

CISO Awillix

Актуально не только использование устаревшего ПО, но и использование устаревших сторонних компонентов, использованных для работы этого ПО. Ключевая причина этого — отсутствие качественных средств централизации активов или неспособность оперативно применять обновления для сложных систем. На практике встречался случай, когда на успешно проэксплуатированной через CVE машине были обнаружены патчи для других CVE, которые применялись вручную, как раз в силу сложности режима эксплуатации системы. 

К традиционным проблемам можно также отнести и неосведомленность самой компании о том, что находящееся внутри периметра оборудование уязвимо. Как правило, для выявления таких уязвимостей нужен регулярный аудит защищенности, в идеальном случае – комплексный, то есть включающий в себя и автоматизированное сканирование, и «ручную» проверку, от пентестов до bug bounty.

Эта проблема особенно актуальна для тех компаний, работа которых напрямую не привязана к оборудованию, как, например, в промышленном секторе. При этом, условный ПК далеко не самого высокоуровневого сотрудника может привести к реализации недопустимого события – от вывода денег со счета компании, до утечки данных.

Иван Кадыков

Руководитель продуктового направления ИнфоТеКС

Использование устаревшего и снятого с поддержки ПО чревато проблемами. К примеру, при выпуске актуальных версий продуктов разработчики совершенствуют код, часто исправляя в нём ошибки или обнаруженные уязвимости. Если своевременно не обновлять софт, это может привести к «дыре в безопасности». Именно через такие уязвимости злоумышленники часто попадают в сети заказчиков и/или выполняют заражение компьютеров. 

Приведу несколько широко обсуждаемых в последнее время примеров:

- Уязвимость Proxylogon – позволяла подключаться к Exchange посредством порта 443 без аутентификации и «разбрасывать» вредоносы в корпоративных сетях;

- Уязвимость log4Shell – позволила злоумышленникам произвести огромное количество атак на веб-серверы по всему миру;

- API-уязвимости из Твиттера – используя стандартное API злоумышленник похитил данные более 400 млн пользователей. 

Другая распространенная проблема, косвенно связанная с конечными точками, заключается в отсутствии политики доступа и привилегий. До сих пор распространены случаи, когда в компании высокий процент «рут-пользователей», которые имеют доступ к большому количеству ИС и активов компании. При этом, ограничение этого доступа не всегда ведет к усложнению бизнес-процессов. 

Из этой проблемы вытекает целый пласт сложностей, связанных с человеческим фактором. Большинство сотрудников, не связанных с кибербезопасностью, продолжают воспринимать все политики и программные средства не как элементы защиты, а как « кактус», который мешает работать, не дает скачивать те или иные файлы, переходить по нужным ссылкам и совершать другие действия, прямо или косвенно ведущие к реализации недопустимого события.

Сергей Опивалов

Senior Software Engineer в Gradle Inc.

а) Отсутствие комплексного подхода: полагаться на одно решение для обеспечения безопасности, такое как антивирус, недостаточно для обеспечения полной безопасности конечных точек. Требуется комплексный подход, включающий несколько уровней технологии безопасности.

б) Игнорирование обновлений программного обеспечения: отсутствие регулярного обновления программного обеспечения на конечных устройствах может сделать их уязвимыми для атак, использующих известные уязвимости в устаревшем программном обеспечении.

в) Пренебрежение обучением пользователей: пользователи могут непреднамеренно подвергать конечные устройства угрозам из-за своих действий, таких как фишинговые атаки или загрузка вредоносного программного обеспечения. Регулярные тренинги по безопасности могут помочь пользователям понять риски и принять соответствующие меры для защиты своих устройств.

г) Игнорирование облачных сервисов: все больше и больше конечных устройств подключаются к облачным сервисам, поэтому важно учитывать безопасность этих подключений и обеспечивать надлежащую защиту конфиденциальных данных в облаке.

д) Недооценка угрозы мобильных устройств. Мобильные устройства, такие как смартфоны и планшеты, становятся все более распространенными и создают уникальные проблемы безопасности. Важно иметь надежную стратегию безопасности мобильных устройств.

е) Не проводить регулярные аудиты безопасности: регулярные оценки безопасности могут помочь выявить и устранить уязвимости в безопасности конечных точек и обеспечить защиту устройств от новых угроз.

Совокупность всех проблем и факторов ведет к необходимости внедрения средств защиты конечных точек, какими бы малозначимыми они не казались. Любое оборудование, подключенное к сети, должно быть «в поле зрения» службы ИБ.

Специфика серверного оборудования

Отдельно стоит осветить вопрос обеспечения безопасности серверов. С одной стороны – их можно отнести к Endpoint-оборудованию, поскольку они подключены к сетевой инфраструктуре и могут быть проэксплуатированы хакером. С другой стороны, это не совсем корректно, поскольку для серверного оборудования актуальна совсем другая модель угроз.

Александр Галдобин

Менеджер по развитию бизнеса MONT 

Серверы некорректно относить к конечным точкам, так как у них другая модель угроз. В случае конечных точек угрозы исходят от активности/действий пользователя (открывают файлы, используют внешние накопители, интернет сёрфинг и т.д.). В случае сервера угрозы лежат в сетевой плоскости. Необходимо защищать ОС, приложения, которые работают на сервере, контролировать права. Потери от остановки работы серверов и приложений, работающих на них – несоизмеримо выше, чем от потерь на конечных точках. Поэтому защищать сервера необходимо специализированным ПО.

Сервер компании – это привлекательная цель для киберпреступников, поскольку дает возможность реализовать наиболее чувствительные для бизнеса события, вплоть до шифрования большей части инфраструктуры и парализования всех бизнес-процессов на несколько недель.

Отдельную привлекательность представляют тестовые сервера разработчиков, которые, как правило, защищены слабо, но могут хранить огромное количество информации, в первую очередь – персональных данных о сотрудниках или части клиентской базы организации.

Беззатеев Сергей Валентинович

Д-р техн. наук, доцент, заведующий кафедрой информационной безопасности ГУАП

Самая распространенная проблема — администраторы не заглядывают на сервера и недостаточно следят за инфраструктурой. Необходимо своевременно обновлять ПО на устройстве до последней версии (и здесь нужно понимать, что речь идет не только об  ОС, но и о встроенном ПО (их прошивки), драйверах для взаимодействия с устройствами, прикладных программах)своевременно вносить правки в настройки прав доступа сотрудников к ресурсам в случае увольнения/отпуска/перевода в другой отдел. Необходимо использовать надежные сложные пароли, а там где возможно — использовать многофакторную аутентификацию или аутентификацию по ключам, чтобы избежать брутфорс-атак. К сожалению, пароли типа passpassword12 и qwqwerty до сих пор оказываются в числе самых популярных.  Необходимо корректно настроить Firewall и балансировщики нагрузки, настроить мониторинг. Настроить автоматическую блокировку IP при подозрении на DDoS. Необходимо своевременно осуществлять резервное копирование и настроить кластеризация для критичных узлов инфраструктуры. Желательно организовать несколько подсетей, если сотрудников много — доступ к WiFi со смартфонов должен идти через отдельную подсеть (лучше даже несколько провайдеров завести).

Роль антивируса в защите конечных точек

Исторически, антивирус – это самое известное и массовое средство защиты ПК или любой другой конечной точки. Это обусловлено его универсальностью и доступностью, ориентацией на обычных пользователей.

Ориентация на массовую аудиторию привела к тому, что современное антивирусное ПО – это целый пакет софта и услуг, который может включать в себя множество решений, от менеджера паролей до контроллера обновлений. Однако, в основе (и большинстве бесплатных версий) лежит все тот же антивирус из прошлого, который просто умеет сканировать устройство и сопоставлять найденные файлы с библиотекой вредоносов.

Александр Горячев

Эксперт компании Доктор Веб

Необходимо иметь в виду, что под термином "антивирус" в настоящее время все чаще скрывается не самостоятельная программа-антивирус, как многие привыкли ее видеть, а комплекс различных компонентов, работающих в связке. Сочетания могут быть различными, но обычно это тот самый классический антивирус (сканер и резидентный монитор), облачный и веб-антивирус, фаервол, всевозможные поведенческие анализаторы, превентивная защита, защита от эксплойтов, программ-вымогателей и т. д. Несмотря на то, что даже такой комплекс не гарантирует стопроцентной защиты – он позволяет ее значительно усилить.

Важно понимать, что в современных реалиях новые вредоносы и обновления для старых появляются с поражающей скоростью. Это приводит к тому, что производители вредоноса и команда поддержки АВ буквально «бегут наперегонки» – одни создают новые версии ВПО, другие – их идентифицируют и задают правила детекции. И в этой гонке, сугубо логически, операторы антивируса не могут двигаться быстрее, поскольку не могут задать правила детектирования вредоноса, который еще не изучили.

Помимо этого, достаточно большой пласт вредоносных активностей не предполагает использование ВПО. Распространены так называемые LoTL-атаки, которые ведутся с использованием легитимных программ, маскируются под «белые» действия. Это только актуализирует роль систем и средств, которые нацелены на идентификацию хакерской активности по другим маркерам.

Дмитрий Бондаренко

Руководитель проектов по информационной безопасности, CESCA

Основные векторы: взлом сервисов, доступных на периметре, фишинговые рассылки, атаки через подрядчиков, обычное вредоносное ПО. Недостаточная или отсутствие защиты мобильных устройств имеющих доступ к инфраструктуре организации. Недостаточная осведомленность работников в вопросах информационной безопасности, защита ПДн, использование открытого кода и недостаточная его проверка на предмет уязвимостей в процессе разработки.

Также, важно учитывать факт существования АПТ-групп, для которых характерна растянутость атаки во времени, использование 0-day уязвимостей и продолжительное горизонтальное перемещение, когда цепочка атаки складывается из трудно сопоставимых между собой событий.

Но главный недостаток антивирусного ПО с точки зрения корпоративной ИБ заключается в том, что сотрудник может его отключить или нажать кнопку «игнорировать». Даже в тех компаниях, где регулярно ведется обучение сотрудников разным аспектам обеспечения кибербезопасности, и доносится важность этих процессов для компании, всегда найдется сотрудник, который посчитает уведомление антивируса об опасности запуска скачанного с торрента файла избыточными.

Никифорова Ольга

старший пресейл-менеджер Group-IB Managed XDR  

Антивирусные решения могут бороться только с тем, что изучено и описано, то есть – с конкретными экземплярами и семействами вредоносного ПО. Они могут обеспечить должный уровень защиты от различного ПО класса riskware/greyware и даже от непосредственно вредоносного, однако не дадут защиты от различных техник скрытия вредоносной нагрузки, нового ВПО и различных техник, при которых вредоносные действия выполняются без использования непосредственно ВПО. Для обнаружения подобных угроз необходимо смотреть на все происходящее на уровне конечной станции и выявлять паттерны вредоносного поведения. Такого результата можно достичь как раз с помощью решений класса Endpoint - находясь на конечной станции, они собирают информацию о происходящем, тем самым обеспечивая контекст и выявляя цепочки вредоносных действий. В нашем решении  Group-IB Managed XDR   один из ключевых компонентов — это как раз Endpoint Detection & Response (EDR).

Таким образом, антивирус – это базовое средство защиты конечных точек, которое хорошо решает задачу обеспечения ИБ конкретного устройства в пользовательском сегменте, но не может быть достаточно для корпоративного.

Средства защиты конечных точек

Если говорить о лучших практиках, то для конечных точек, как и для обеспечения информационной безопасности в целом, наиболее оптимален комплексный подход, который включает в себя не только набор практик, но и регламенты.

Василий Гурьев

Руководитель проекта iTMan (ГК Softline)

Самая частая ошибка – надеяться на один инструмент при обеспечении комплексной защиты конечных точек, так как она включает совокупность мер. Например, регулярную инвентаризацию для понимания количества конечных точек и установленного на них ПО. Также контроль работы самой конечной точки и проверка на уязвимости нулевого дня с помощью инструментов доступа к данным конечной точки в реальном времени.

Также, высокую роль играет степень осознанности сотрудников, поскольку на всякое программное решение «пытливый ум» найдет способ обхода, чтобы установить сторонний браузер или другую программу, которая может быть небезопасна, но облегчит работу сотрудника или же просто будет его развлекать.

Вместе с повышением осознанности высока роль и понимания ответственности каждого конкретного специалиста компании. Это позволяет сделать кибербезопасность личным интересом сотрудника.

Если говорить о программных решениях, то наиболее эффективны те, в основе работы которых лежит комплексный анализ событий как на самой конечной точке, так и в ее окружении, основанные на поиске аномалий и поведенческом анализе.

Роман Ламинин

Ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress.

По-хорошему чтобы полноценно защитить рабочую станцию необходимо использовать целый комплекс решений:

1. EDR/TDR системы – для обнаружения, изучения и реагирования на вредоносную активность. 

2. HIPS, система предотвращения вторжений – чтобы своевременно отреагировать на угрозу запуска малвари на компьютере. 

3. Песочницы – для безопасной загрузки файлов из сети. 

4. Решения веб-изоляции – для безопасного просмотра контента в сети.

Только использование связки инструментов позволяет сказать о высоком уровне защиты рабочей станции. Одного антивируса мало, здесь один в поле – не воин.

При этом, нельзя отрицать и эффективность антивирусных решений, которые могут защитить инфраструктуру компании от эксплуатации давно живущих в сети вредоносов и деятельности так называемых «скрипткидди» и начинающих хакеров, хактивистов.

Итоги

В контексте обеспечения безопасности конечных точек много системных проблем, связанных с объективной реальностью, в частности – ростом самого парка таких устройств и обилия девайсов, которые функционируют не только с защищенной корпоративной инфраструктурой, но и с другими сетями, и могут стать средством доставки вредоноса внутрь защищенного периметра.

Разнообразие и обилие устройств, вкупе с ограниченностью ресурсов ИБ-штата компании, ведет к неизбежной расстановке приоритетов: что нуждается в особом внимании, а с чем можно работать «по остаточному принципу». Однако, у хакеров такой системы приоритетов нет, поэтому развитие атаки может произойти через «неважное» устройство.

Рустэм Хайретдинов

Заместитель генерального директора компании «Гарда Технологии»

Клиентское устройство – соблазнительная цель для хакера. Если стационарное оборудование, серверы и рабочие станции, ещё можно защищать системным образом, то мобильные устройства, особенно личные, – проблематично. Хотя на рынке присутствуют системы защиты конечных устройств, они сильно затрудняют привычную работу с мобильными устройствами. Многие, особенно топ-менеджеры, отказываются их ставить или меняют настройки в сторону ослабления контроля. 

К тому же сегодня невозможно оценить полнофункциональный контроль аномалий на клиентском уровне – слишком маломощно для таких задач клиентское устройство и просто поставить на смартфон или ноутбук антивирус и DLP-агент недостаточно – нужно анализировать корреляции событий во всей цифровой системе с поведением пользователя. Поэтому среди частых ошибок хотелось бы упомянуть излишнее доверие к владельцу устройства при удалённой работе, ослабление или отключение защиты пользователями под предлогом неудобства, а также надежда на то, что установленное на устройство защитное ПО само от всего защитит.  

При этом, антивирус остается одним из основных средств защиты конечной точки. Его возможности достаточно обширны и позволяют снизить риски реализации самых простых атак, но не снимают необходимости наличия других решений для обеспечения комплексной безопасности. 


Читайте также


Комментарии 0