Endpoint Detection and Response — что необходимо знать о решениях

В последнее время бизнес, да и государственные структуры вынуждены все больше уделять внимания вопросам кибербезопасности, которые могут быть сопряжены с серьезными проблемами и потерями. Для этого беспокойства есть все основания: стоимость потерь от киберпреступности варьируется по разным оценкам от 600 млрд. долл. до нескольких триллионов долл. в год. Программа-вымогатель может остановить деятельность организации на продолжительный период, а восстановление может обойтись в миллионы долларов, и эти угрозы становятся все более изощренными и детектировать их все сложнее.

Безусловно, обычные решения безопасности полезны и обеспечивают некоторый уровень защиты. Различные антивирусы, брандмауэры, веб-шлюзы безопасности, системы для управления инцидентами и событиями безопасности (SIEM), решения для защиты от программ-вымогателей, инструменты облачной безопасности и пр. обеспечивают защиту от большинства угроз.
Однако защита начинается с конечных точек, и все больше организаций разворачивают решения EDR как дополнение к существующей системе безопасности.
В числе важных преимуществ EDR — непрерывный мониторинг конечных точек внутри и вне корпоративной сети. Кроме того, эти средства используют ИИ для выявления активности вредоносного кода, а также обеспечивают упреждающую охоту за индикаторами атак, чтобы увидеть признаки, которые еще не обнаружены.

Рассмотрим  детально, что же такое современные EDR. Аналитики Gartner обозначают их следующим образом:

• эти инструменты, в основном сосредоточены на обнаружении и расследовании подозрительной активности (и ее отслеживании) других задач на хостах и конечных точках;
• эти инструменты фокусируются на конечных точках (в противовес охвату всей сети), угрозах (а лишь на вредоносном коде и официально декларируемых инцидентах), и инструменты, основное назначение которых как обнаружение, так и ответ на инцидент;
• эти инструменты записывают множество детализированных событий на конечных точках и в сети и сохраняют эту информацию в централизованной БД для глубокого определения, анализа, расследования и оповещения.

 Важно отметить, что EDR не может рассматриваться как простой продукт, который добавляется в инфраструктуру безопасности и затем может быть оставлен для выполнения своей работы без управления. Хотя средства EDR могут в некоторой степени использовать автоматизацию, все же необходимы инвестиции в обеспечение безопасности, чтобы в полной мере использовать их возможности и функции.

VMware Carbon Black

Прежде всего рассмотрим, каковы предпосылки возникновения EDR- решений?

Примерно до 2005 г. защищался только периметр сети, для защиты которого использовались брандмауэры, традиционные антивирусы и не было необходимости в продвинутых индивидуальных средствах защиты. Сегодня с распространением облачных технологий, ростом мобильных пользователей и популярности концепции BYOD каждая конечная точка по сути представляет собой элемент периметра, и ее также нужно защищать. Решение VMware Carbon Black предназначено как раз для защиты конечных точек от вредоносного кода, атак нулевого дня, эксплойтов и много другого.

Характерной особенностью VMware Carbon Black является его работа с процессами, которые выполняются как на рабочих станциях, так и на серверах. Уникальность решения заключается в постоянном мониторинге всех процессов, в анализе поведения конечных точек. В зависимости от задач, анализ процессов может выполняться как в облаке Big Data производителя (VMware Carbon Black Cloud), так и на локальных серверах заказчика. При этом в облако отсылаются только нефильтрованные данные (метаданные, не содержащие конфиденциальной информации и соответствующие PCI DSS Compliance). В облако передаются данные всех пользователей VMware Carbon Black, и производитель декларирует порядка 500 млрд. событий в день. Если выявляется новая аномалия или новый вредоносный код, которые ранее не были известны, то полученная информация загружается на все конечные точки через облако вендора. При этом с каждым годом наблюдается положительная динамика роста пользователей облачных вычислений.

К преимуществам VMware Carbon Black можно отнести обеспечение наглядности выявленной и заблокированной атаки в консоли управления, к примеру, что являлось стартовым событием, как развивалась атака, на каком этапе она была заблокирована, какая политика сработала, какие были применены триггеры.

Архитектурно, система представляет собой web-консоль управления (менеджмент), серверы Big Data (анализ полученных метаданных) и агенты, которые устанавливаются на конечные устройства.

Система осуществляет непрерывный поведенческий анализ. Если по какой-то причине пропало соединение с Интернетом, то данные накапливаются локально и синхронизируются с облаком при восстановлении соединения.

Решение открыто и позволяет интеграцию с существующей инфраструктурой заказчика. Имеется открытый API, есть более 120 готовых коннекторов к различным классам решений, которые позволяют настроить обмен данными с существующей ИБ-инфраструктурой, и также есть достаточно большое комьюнити, которое развивает продукт и делится накопленными знаниями.

FireEye

Решение называется FireEye Endpoint Security (FireEye HX). Вначале предполагалось только локальное развертывание, поскольку заказчиком было Министерство обороны США. Но отзываясь на запросы рынка, была выпущена и облачная версия, и сегодня компания предлагает обе.

Интересным является то, что для каждой конечной точки создается так называемое дело, по сути БД, содержащую информацию по всем аномальным вредоносным активностям, которая называется Triage Package. В ней хранится информация обо всех вредоносных родительских процессах, которые запускали дочерние процессы. Triage Package также предоставляет информацию о том, запустилась ли атака с помощью скрипта или выполняется хакером. Естественно, FireEye Endpoint Security оперативно блокирует все зараженные конечные точки и помещает их в карантин.

Следует еще отметить механизм MVX (Multi-Vector Virtual Execution), предназначенный для распознавания атак нулевого дня, АРТ и многовекторных атак. Это специально разработанный компанией FireEye гипервизор, который не распознается злоумышленником. В нем можно одновременно запустить до 196 различных машин с разными ОС.

FireEye HX является мультиплатформенным решением и работает со всеми версиями Windows, Linux и MacOS. Оно удовлетворяет всем требованиям NIAP Common Criteria, FIPS140-2 и NSA.

Cybereason

Решение разработано для обнаружения, анализа и реагирования на неизвестные целевые атаки в режиме реального времени для рабочих станций, поскольку основное количество атак в корпоративных сетях приходится именно на них.

Оно использует поведенческий анализ, который позволяет создать базовый уровень нормального поведения сети для дальнейшего детектирования отклонений в сети и фиксирования угроз. Заложенные в Cybereason алгоритмы поведенческого анализа, гибридного машинного обучения и экспертного исследования предоставляют возможность обнаруживать угрозы и аномалии в режиме реального времени с минимальными ложными срабатываниями.

При работе Cybereason обеспечивается качественная визуализация всей хронологии событий атаки, что гарантирует расследование инцидентов и обнаружение их первопричины в течение кратчайшего времени.

Портфель решений данного вендора предлагает полную защиту конечных устройств, как рабочих станций, так и смартфонов, позволяя не только распознать угрозу, но и смягчить последствия.

Отдельно хотим отметить гибкость Cybereason в части формирования пакетов услуг, позволяя компании получить нужный функционал, не переплачивая за второстепенные функции.

Работа Cybereason построена таким образом, чтобы определить приоритетные угрозы, отфильтровать ложные срабатывания и показать визуально результаты автоматизированного поиска угроз. Такой подход позволяет команде кибербезопасности эффективно сосредоточиться на реагировании на наиболее актуальные угрозы с минимальной затратой усилий и времени.

По всем вопросам IT безопасности вам поможет команда Softprom!