Когда компания выбирает решение Endpoint Detection and Response (EDR), она неизбежно сталкивается с рядом проблем. В их числе — обеспечение надлежащего уровня защиты, простота развертывания и управления, совместимость с существующей инфраструктурой, а также стоимость внедрения и обслуживания. Эти факторы бывает трудно сбалансировать, особенно для малых и средних предприятий с ограниченными ресурсами. Вдобавок, решение должно быть достаточно гибким и масштабируемым, чтобы адаптироваться к изменяющимся потребностям организации в области безопасности.
Сложностей добавляет и перенасыщение рынка решениями EDR, из-за чего компаниям непросто определить, какой продукт предлагает лучшее соотношение цены и качества и сможет удовлетворить конкретно их потребности.
Мы подготовили статью, где рассказали о проблеме перенасыщения рынка, а также предоставили рекомендации по выбору оптимального решения EDR с учетом ROI (Return on Investment).

Да здравствует антивирус

Около десяти лет назад утверждение «Антивирус мертв» стало предметом многочисленных споров. И вот, десять лет спустя мы живем в мире, где технология антивируса стала основным сегментом безопасности конечных точек, включая такие компоненты, как предотвращение, обнаружение и реагирование.

Защита на основе сигнатур (еще одно обозначение антивируса) — это то, что даже сегодня помогает предприятиям отфильтровывать известные угрозы, с которыми сталкивается большинство организаций. Чтобы обнаружить атаки, эта технология может выполнять эту работу в режиме реального времени, разгружая другие механизмы, которые используют современные методы, выходящие за рамки сигнатур.

Решений не бывает слишком много. Или бывает? 

Двадцать лет назад на рынке было представлено около трех компаний с решениями для защиты конечных точек предприятия. Но сегодня рынок насчитывает не менее тридцати поставщиков, каждый из которых предлагает самые актуальные решения и пестрит аббревиатурами вроде EPP, EDR или XDR.

За последнее десятилетие ИТ-ландшафт сильно изменился. Гибридный формат работы делает рабочие станции чуть ли не главным вектором атаки, который иногда может находиться за пределами всех корпоративных границ безопасности. Бешеный рост количества устройств — от настольных до мобильных — с новыми операционными системами усложнил традиционную стратегию защиты конечных точек. Еще одна проблема — кибербезопасность развивается с головокружительной скоростью, как с точки зрения ландшафта угроз, так и экономики. Злоумышленники постоянно используют новые методы, чтобы обойти средства защиты. С финансовой точки зрения производителю специализированных решений в области кибербезопасности чрезвычайно сложно выжить на рынке, если у него нет солидной клиентской базы и притока новых клиентов.

Но все же единственным проигравшим в любом сценарии являются организации, которые бездумно устанавливают пакет решений. В погоне за «волшебной пилюлей‎» такие компании внедряют все больше решений кибербезопасности, но при этом не следят за их эффективностью. Как итог: бюджет потрачен, но результата не видно.‎

Влияние такого неразумного шага ощущается как на эндпоинте с точки зрения плохого взаимодействия с пользователем, так и в группе SOC (Security Operations Center), где аналитики берут в работу несколько консолей с разрозненной информацией. Больше времени на попытки собрать всю информацию воедино означает меньше времени на то, что действительно важно: мониторинг обнаружений, анализ угроз, поиск пробелов и постоянная настройка среды.

Оповещения с конечных точек — золотая жила для SOC 

Эндпоинт стал важным элементом управления для организаций, где гибридная рабочая сила становится нормой. Именно в смешанном формате работы угрозы демонстрируют свои возможности на полную мощность.

Когда-то антивирусное решение применялось сугубо desktop-командой, которая устанавливала и обновляла файлы DAT. При ограниченном объеме зашифрованного трафика большая часть обнаружения происходила на уровне брандмауэра, системы предотвращения вторжений или контроля доступа в Интернет.

Сегодня же оповещения безопасности конечных точек находятся в центре внимания групп кибербезопасности и SOC. В связи со все более зашифрованным трафиком мы наблюдаем огромный рост числа угроз на конечных точках, которые генерируют значительное количество предупреждений от сенсоров. Угроза, появляющаяся на конечной точке, означает, что она на каком-то уровне обошла IPS, брандмауэр, контроль загрузок из Интернета и электронную почту. Каждая угроза на конечной точке должна быть тщательно проанализирована аналитиками SOC, чтобы помочь команде безопасности улучшить существующие средства контроля сети и контента.

Индикативные предупреждения, успешно обработанные технологиями безопасности, не должны оставаться без анализа. Речь идет о сканере или инструменте, связанном с учетными данными, который сам по себе может не являться предупреждением высокой степени серьезности во время обработки, но может быть частью долгосрочной целевой кампании, которая в конечном итоге достигнет своей цели, если все оставить как есть. У большинства продвинутых атак есть утилиты, с помощью которых можно месяцами собирать ключевую информацию об организации перед тем, как запустить основную фазу атаки. Доверенный уровень SOC — важный фактор, позволяющий организациям узнавать про такие атаки на ранних этапах их жизненного цикла, а оповещения с конечных точек, содержащие ключевую информацию, являются критически важным каналом.

С ростом нехватки специалистов в области кибербезопасности мы видим рост внедрения ИИ не только для улучшения обнаружения в серверной части, но и для помощи аналитику в сосредоточении внимания на основных задачах. Интеграция в интерфейс аналитика технологии искусственного интеллекта, вроде ChatGPT, значительно повысит эффективность SOC в будущем.

Как правильно выбрать вендора 

Ключевых критериев при выборе поставщика решений в области безопасности должно быть несколько.

Некоторые организации выбирают вендоров исключительно на основе рекомендаций аналитиков или сравнительных тестов. Но важно понимать, что каждый бизнес уникален, и выбор поставщиков должен основываться конкретно на ваших запросах, а не на глобальном анализе или результатах испытаний. Если аналитик высоко оценивает вендора в облаке и многопользовательских средах, но по факту его продукты не закрывают требования конкретной организации, очевидно, что эта компания не станет покупать такие решения. Крайне важно читать мелкий шрифт в аналитических отчетах и результатах сторонних тестов, чтобы понять, актуальны ли они для вашей организации.

Чтобы снизить риски, лучше отдавать предпочтение вендору, который специализируется на EDR-решениях и в течение длительного времени ведет активную деятельность на вашем рынке. Наличие управляемой сервисной экосистемы, которую в наши дни ищут многие компании, также должно быть частью оценки, если это применимо для вашего бизнеса.

У выбранного вами вендора должен быть сильный исследовательский отдел. Таким образом, исследовательская группа будет обладать достаточными возможностями для раннего обнаружения атак и уязвимостей, чтобы затем учесть их в своих разработках. Сотрудничество исследовательской группы вендора с правоохранительными органами и разведывательными организациями является ключом к предоставлению действенной информации для устранения киберпреступников. Клиенты вендора, в свою очередь, должны иметь возможность подключаться к исследовательской группе для обогащения данных об угрозах, чтобы реагировать на инциденты на ранних этапах.

Чек-лист хорошей платформы безопасности конечных точек 

Чтобы построить надежную защиту безопасности конечных точек, мы рекомендуем использовать модульный подход, который на высоком уровне включает:
● Датчики предотвращения, которые могут устранить известные вредоносные файлы в режиме реального времени с помощью сигнатур, политик защиты доступа, содержимого предотвращения эксплойтов, защиты памяти, репутации файлов и любых других методов, действующих на лету.
● Датчики расширенного предотвращения, которые могут выполнять расширенную проверку — с использованием искусственного интеллекта, интеграции с песочницей, анализа сценариев и т. д. — и со временем улучшать свое обучение. Некоторые из них могут происходить не в режиме реального времени, особенно если угроза оказывается в среде впервые. Однако датчики добавляют защиту без вмешательства пользователя, как только механизм понимает, что столкнулся с вредоносным ПО — обычно это происходит в течение нескольких секунд. Любые данные также передаются датчикам, что позволяет им блокировать угрозу в режиме реального времени, когда она в следующий раз появится в окружающей среде.
● Датчики расширенного обнаружения, которые команды SOC используют, чтобы сосредоточиться на стратегической защите, а также собрать, обобщить и визуализировать доказательства по запросу или по графику. Поскольку данные здесь имеют гораздо больший масштаб, при их реализации широко используются ИИ и облако. Подводя итог, можно сказать, что эти датчики могут быть чрезвычайно полезны, когда атака находится в активной стадии.
● Датчик по сбору форензики, который используется группой IR (реагирование на инциденты) для сбора необходимых аналитических данных и маркеров компрометации, чтобы постоянно анализировать оперативную память, тактику, методы и процедуры поведения при атаке в сочетании с запланированными и автоматизированными методами. Эти датчики очень эффективны при сборе доказательств, а также анализе после инцидента.
Все названные датчики также должны быть подкреплены мощной аналитикой, чтобы опережать меняющийся ландшафт угроз, выявлять и сокращать возможности для атак. Если ваш бизнес включает физическое, виртуальное и облачное оборудование, крайне важно, чтобы выбранный вендор предоставил гибридную архитектуру развертывания и управления. Поставщики систем безопасности должны не заставлять вас менять вашу бизнес-модель, а адаптироваться к существующей.
У каждого из названных датчиков есть свое назначение, но они используются взаимозаменяемо, что приводит к путанице на рынке решений. Важно отметить, что все решения должны иметь возможность обмениваться информацией друг с другом, так как изолированная работа сводит на нет всю цель.
Мы предлагаем вам ознакомиться с подходом Trellix к защите конечных точек. Платформа Trellix XDR позволяет быть на шаг впереди актуальных угроз благодаря постоянному развитию с помощью Machine Learning и встроенного киберинтеллекта. Компоненты для защиты конечных точек:

Trellix Endpoint Security (ENS) – Датчики предотвращенияENS ATP + IVX (Sandbox) – Датчики расширенного предотвращения Trellix EDR – Датчики расширенного обнаружения Trellix HX – Форензика Trellix Agent – Единый агент для всех вышеперечисленных датчиков EPO / XConsole – Централизованное управление и отчетность Trellix XDR – Платформа Trellix XDR с интеграцией с AI Insights – Аналитика Trellix Advanced Research Center – Исследовательский отдел
Чтобы узнать больше о платформе, напишите нам: moc.hcetokab%40xillert