Именно злоумышленники указывают направление развития отрасли информационной безопасности (ИБ), так как эта область — всегда реактивная составляющая информационной инфраструктуры предприятия. 

На вопросы, кому стоит внедрять новые технологии и почему, ответят эксперты ARinteg, одного из ведущих российских системных интеграторов.

Почему появился EDR?

Цель кибератак никогда не менялась — кража информации, шифрование данных, вымогательство или просто использование ресурсов компьютеров для бот-сетей и майнинга. Менялись только методы. Однако стратегия по защите информации от различного типа угроз для большинства компаний длительное время остается неизменной.

Многие IT- и ИБ-сотрудники сосредоточены на блокировке и предотвращении атак на рабочих станциях с использованием классических антивирусов. Такой подход имеет множество плюсов, но в современном мире он нежизнеспособен.

Классический антивирус — это автоматическое средство реагирования на вредоносный код, позволяющее слегка менять настройки по управлению автоматическим процессом.

Реагирование антивирусов — реактивное: ответ от них приходит в случае, когда инцидент произошел, и вредоносный файл проник в сеть. Расследование тоже всегда начинается только по факту произошедшего. Однако классические антивирусы не содержат средства для расследования, так что «расследование» в данном случае подразумевает просмотр лог-файлов и перемещение их на карантин. Таким образом, когда вредоносный файл заблокирован, мы не можем сказать, откуда он взялся на компьютере, есть ли он где-то еще в сети и какие последствия могут быть.

Традиционные средства защиты часто не успевают за последним поколением угроз, которые меняются с высокой скоростью, или за специально созданными вредоносными средствами для конкретной организации, так называемыми направленными атаками.

Практически невозможно обнаружить «бесфайловые атаки», при которых зловредное программное обеспечение не размещает никаких файлов на жестком диске компьютера, а вместо этого загружается в оперативную память устройства. Последствия этого — вредоносный код выполняет свою вредоносную функцию при полном попустительстве средств защиты.

Появление более продвинутых технологий было вопросом времени. Дополнительные средства защиты и реагирования на конечных точках, которые помогают выполнить нерешаемые антивирусом задачи, носят название EDR (Endpoint Detection and Respons) и получают все большую популярность как средство защиты от неизвестных атак.

Но не нужно отказываться от классических средств антивирусной защиты, заменяя их системой EDR. Этот класс решений предназначен быть дополнением к антивирусам. 

Архитектурно система класса EDR состоит из агентов, устанавливаемых на конечные точки, и серверной части. Агенты ведут мониторинг запущенных процессов, действий пользователя и сетевых соединений и передают информацию в серверную часть программы. Серверная часть анализирует полученные данные при помощи всех перечисленных технологий. Если EDR-система обнаруживает событие с признаками инцидента, она оповещает об этом уполномоченных сотрудников.

В чем отличие EDR от антивируса?

1. Передовое обнаружение. Постоянный мониторинг, исследование и обнаружение продвинутых угроз. Решение EDR позволяет в режиме реального времени искать свидетельства взлома во всей сети, сопоставлять предупреждения, поступающие из средств управления сетевой безопасностью, с событиями на рабочих местах. Для этого используются комбинации различных механизмов и методов детектирования, таких как статический анализ, машинное обучение, ретроспективный анализ и др. 

2. Предотвращение. Для снижения риска продвинутых угроз решение должно включать в себя не только антивирусные технологии, но и технологии репутации, поведенческого анализа, управления приложениями и устройствами, что позволяет блокировать угрозы самым эффективным способом. Анализ действий пользователя, внезапное открытие порта на устройстве, выполнение процесса в привилегированном режиме — все это должно сразу же насторожить EDR, в результате чего система мгновенно примет меры по блокировке нежелательных процессов. Тогда атака может завершиться, на успев начаться.

3. Реагирование. Это полуавтоматизированное или автоматизированное действие, направленное на глушения атаки в зародыше или на смягчение ее последствий. Такие решения сочетают в себе технологии передового обнаружения и реагирования, что позволяет сократить время жизни угроз с нескольких дней или недель до считанных минут. Оперативное реагирование на инциденты обеспечивается за счет корреляции очень большого количества событий с последующим выделением наиболее подозрительных. Ответные меры могут включать в себя множество заранее запрограммированных реакций: отключение компьютера от сетевого окружения, остановку процесса на компьютере, запрет запуска файла, удаленную модификацию реестра.

4. Расследование. Как было сказано выше, антивирусные средства классического типа не умеют проводить расследования в значимом объеме, поэтому EDR используют в том числе для быстрого сбора и анализа информации. Например, чтобы показать родительский процесс по отношению к обнаруженной угрозе. Таким образом можно пресекать попытки дистрибуции вредоносных файлов через легальные каналы доставки информации в организацию. 

Почему надо переходить на EDR?

Неправильно говорить, что технология EDR — как название и как список методов дополнительной передовой защиты — появилась недавно. Изначально такие методы были доступны за большие деньги и продавались вместе с экспертными сервисами в крупные компании.

Первая причина этого — именно крупные компании часто становятся мишенями для целенаправленных атак с использованием маскирующих средств. Вторая причина — затраты на экспертов и аналитиков, которых неизбежно приходится привлекать, когда технология защиты еще недостаточно обкатана и требует «ручного привода».

На текущий момент технология EDR прошла проверку временем и объемом заблокированных угроз и стала дешевле и доступнее большинству компаний в составе недорогих решений, поэтому советуем присмотреться к внедрению EDR в рамках своей сети.

Помочь выбрать оптимальное ИБ-решение для вашей компании сможет системный интегратор, имеющий широкий опыт работы в этой сфере. ARinteg специализируется на подборе и установке таких решений уже более 25 лет и гарантирует надежность, рентабельность затрат и релевантность внедряемого продукта.