Вредоносные системы и технологии кибератак появляются достаточно часто. Каждый месяц выявляются новые уязвимости в разных продуктах, появляется информация о новых способах атаки на IT-инфраструктуру компаний, создаются новые вредоносы и другой хакерский софт.

Развитие ИБ-продуктов тоже не стоит на месте. Активно внедряются передовые технологии, в том числе методы машинного обучения и другие аспекты ИИ. Один из таких новых продуктов – это EDR-cистемы (Endpoint Detection & Response).

О EDR часто говорят как об инновационном решении в сфере информационной безопасности. В этой статье будут рассмотрены принципы работы этого класса систем, их возможности и недостатки.

Принцип работы

EDR-система – это класс решений для обнаружения и изучения вредоносной активности на конечных точках, которые подключены к сети. Конечной точкой может быть как ПК сотрудника, так и IoT-устройство, сервер или другой элемент инфраструктуры компании.

Состоит система из двух элементов: агента, который устанавливается на устройство, и серверной части, которая выступает в роли центра обработки получаемой информации. В зависимости от конкретного продукта, этим центром может быть как локальный сервер, так и облако.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

Если не углубляться в историю появления самого класса решений, важно понимать, что это логичное продолжение развития антивируса и систем EPP, следящих за подозрительной активностью трафика и поиском вредоносных программ. Но если антивирусы отлавливают вредоносный софт в момент его запуска, инструменты EDR работают глубже и ориентированы на выявление целевых атак и сложных угроз. Помимо этого данный класс решений работает с искусственным интеллектом, который постоянно обучается и создает новые стратегии реагирования. Это, в свою очередь, усиливает защиту инфраструктуры клиента.

Формально, EDR – это синтез EPP, поскольку этот продукт ориентирован на защиту конечного устройства, и SIEM, так как он анализирует данные со всех устройств и «прогоняет» их через единый центр обработки. Как правило, система «ориентируется» на индикаторы компрометаций (IoC) и авторские правила, которые были заданы вендором или специалистами на местах.

EDR, в контексте бизнеса, предпочтительнее чем антивирусы, поскольку ориентирован на защиту инфраструктуры и бизнес-процессов, в рамках сети, а не корпоративного устройства. А также куда эффективнее справляется с детектированием APT-атак.

Возможности

EDR как класс решений нельзя назвать «ноу-хау», поскольку он не привносит дополнительного функционала в уже существующие решения, но объединяет их в единую и эффективную систему, работая комплексно.

Например, если сравнивать EDR и обычный антивирус, то первая система будет эффективнее за счет возможности анализировать события на всех конечной точки сети, их взаимозависимость и корреляцию, чего антивирус не может.

К числу функций современных EDR-систем можно отнести:

1. Сбор данных с подключенных к сети устройств в онлайн-режиме.
2. Запись данных обо всех действиях на этих устройствах, от сетевой активности до запуска разного ПО.
3. Анализ данных и выявление потенциально-опасных процессов.
4. Вывод информации для уведомления администратора.
5. Автоматическая реакция на выявленные подозрительные события.

За последний пункт как раз и отвечает машинное обучение системы, которая может самостоятельно разрабатывать сценарии поведения и реагирования на разные инциденты.

Еще один весомый плюс EDR-систем, отличающий их от смежных решений – это возможности для интеграции. Причем как с « низкоуровневыми» решениями типа экранов или антивируса, которые защищают конечные точки, так и с «верхнеуровневыми» решениями класса SIEM.

Вывод

EDR-система – это прерогатива зрелых, с позиции ИБ, компаний. Не только потому что сама система достаточно сложна с точки зрения настройки и эксплуатации, но и потому что есть множество смежных решений, которые выполняют схожие функции и могут быть интегрированы с меньшими затратами.

В то же время, EDR от этих смежных решений качественно отличается, в первую очередь, потому что обеспечивает комплексный подход к безопасности, где мониторинг и защита инфраструктуры ведутся через контроль сразу всех подключенных устройств.

Иван Чернов

Менеджер по развитию UserGate

Во-первых, единственным, на мой взгляд, недостатком EDR можно назвать только то, что это достаточно сложный инструмент, который требует глубокого погружения в контекст и настройку систем информационной безопасности.

Во-вторых, понятие EDR носит, скорее, маркетинговый характер. Например, у нашей компании в рамках экосистемы UserGate SUMMA есть все необходимые компоненты расширенного обнаружения и реагирования, они присутствуют как на конечных станциях в сетях, так и в «облаке», и все наши продукты могут точно так же осуществлять реагирование на угрозы путем блокирования, предотвращения и сигнализации. Поэтому можно сказать, что у UserGate есть полноценный EDR внутри единой экосистемы безопасности, несмотря на то, что такой маркировки решения в ней нет.

Ну, а в-третьих, если говорить о преимуществах, EDR – это комплексное решение, которое работает не только в рамках конкретного устройства, а в контексте всей совокупности бизнес-процессов организации, собирая разную информацию с разных устройств. Сервер, связанный с компьютером, сравнивающий состояния конечных устройств, наблюдающий шаблоны поведения – например, массовую атаку – подгружает свою экспертизу, индикаторы компрометации, проводит ретроспективный анализ. Антивирус и «endpoint protection» защищает каждое конкретное устройство по отдельности, в то время как EDR анализирует общий контекст, позволяя выявлять подозрительную вредоносную активность на ранних этапах.

В данный момент EDR наиболее целесообразно применять в компаниях с большим количеством конечных устройств. Причем подключить к сети можно не только компьютеры, но и все IoT-устройства, от датчиков на производственных линиях и смарт-систем производства, до принтеров и кондиционеров.

Такая «тотальная защита» может показаться избыточной «в моменте», но не кажется такой в контексте стратегического развития, поскольку злоумышленники рано или поздно «доберутся» и до IoT-устройств, как ранее они « перешли» с ПК на смартфоны.

Источник: CyberMedia