Коли компанія обирає рішення Endpoint Detection and Response (EDR), вона неминуче стикається з низкою проблем. Серед них — забезпечення належного рівня захисту, простота розгортання та управління, сумісність з наявною інфраструктурою, а також вартість впровадження та обслуговування. Ці чинники буває важко збалансувати, зокрема для малих і середніх підприємств з обмеженими ресурсами. До того ж рішення має бути досить гнучким і масштабованим, щоб адаптуватися до потреб організації в галузі безпеки.

Складнощів додає і перенасичення ринку рішеннями EDR, через що компаніям непросто визначити, який продукт пропонує найкраще співвідношення ціни та якості і зможе задовольнити саме їхні потреби.

Ми підготували статтю, де розповіли про проблему перенасичення ринку, а також надали рекомендації щодо вибору оптимального рішення EDR з урахуванням ROI (Return on Investment).

Хай живе антивірус 

Близько десяти років тому твердження «‎Антивірус помер»‎ стало предметом численних суперечок. І ось, через десять років ми живемо у світі, де технологія антивірусу стала основним сегментом безпеки кінцевих точок, включно з такими компонентами як запобігання, виявлення та реагування.

Захист на основі сигнатур (ще одне позначення антивірусу) — це те, що навіть сьогодні допомагає підприємствам відфільтровувати відомі загрози, з якими стикається більшість організацій. Щоб виявити атаки, ця технологія може виконувати цю роботу в режимі реального часу, знімаючи навантаження з інших механізмів, які використовують сучасні методи, що виходять за межі сигнатур.

Рішень забагато не буває. Чи буває? 

Двадцять років тому на ринку було представлено близько трьох компаній із рішеннями для захисту кінцевих точок підприємства. Але сьогодні ринок налічує не менше тридцяти постачальників, кожен з яких пропонує найактуальніші рішення і рясніє абревіатурами на кшталт EPP, EDR або XDR.

За останнє десятиліття ІТ-ландшафт дуже змінився. Гібридний формат роботи перетворює кінцеву точку на чи не головний вектор атаки, який іноді може бути за межами всіх корпоративних кордонів безпеки. Шалене зростання кількості пристроїв — від настільних до мобільних — з новими операційними системами ускладнило традиційну стратегію захисту кінцевих точок. Ще одна проблема — кібербезпека розвивається з карколомною швидкістю, як з погляду ландшафту загроз, так і економіки. Зловмисники постійно використовують нові методи, щоб обійти засоби захисту. З фінансової точки зору виробнику спеціалізованих рішень у галузі кібербезпеки надзвичайно складно вижити на ринку, якщо він не має солідної клієнтської бази та припливу нових клієнтів.

Але все ж таки єдиними, хто програв у будь-якому сценарії, є ті організації, які бездумно встановлюють пакет рішень. У гонитві за «чарівною пігулкою» такі компанії впроваджують все більше рішень кібербезпеки, але при цьому не стежать за їхньою ефективністю. У підсумку, бюджет витрачено, але результату не видно.

Вплив такого нерозумного кроку відчувається як на ендпоінті з точки зору поганої взаємодії з користувачем, так і в групі SOC (Security Operations Center), де аналітики беруть у роботу кілька консолей із розрізненою інформацією. Більше часу на спроби зібрати всю інформацію до купи означає менше часу на те, що дійсно важливо: моніторинг виявлень, аналіз загроз, пошук прогалин та постійне налаштовування середовища.

Оповіщення з кінцевих точок — золота жила для SOC 

Ендпоінт став важливим елементом управління для організацій, де гібридна робоча сила стає нормою. Саме у змішаному форматі роботи загрози демонструють свої можливості на повну потужність.

Колись антивірусне рішення застосовувалося тільки desktop-командою, яка встановлювала та оновлювала файли DAT. Це було суто оперативним завданням. При обмеженому обсязі зашифрованого трафіку більша частина виявлення відбувалася на рівні брандмауера, системи запобігання вторгненням або контролю доступу до Інтернету.

Сьогодні ж сповіщення безпеки кінцевих точок — у центрі уваги груп кібербезпеки та SOC. Через все більш зашифрований трафік ми спостерігаємо величезне зростання кількості загроз на кінцевих точках, які генерують значну кількість попереджень від сенсорів. Загроза, що з'являється на кінцевій точці, означає, що вона на якомусь рівні обійшла IPS, брандмауер, контроль завантажень з Інтернету та електронну пошту. Кожна загроза на кінцевій точці має бути ретельно проаналізована аналітиками SOC, щоб допомогти команді безпеки покращити наявні засоби контролю мережі та контенту.

Індикативні попередження, успішно опрацьовані технологіями безпеки, не повинні залишатися без аналізу. Йдеться про сканер або інструмент, пов'язаний з обліковими даними, який сам собою може не бути попередженням високого ступеня серйозності під час обробки, але може бути частиною довгострокової цільової кампанії, яка зрештою досягне своєї мети, якщо все залишити як є. Більшість просунутих атак мають утиліти, за допомогою яких можна місяцями збирати ключову інформацію про організацію перед тим, як запустити основну фазу атаки. Довірений рівень SOC — важливий фактор, що дозволяє організаціям дізнаватися про такі атаки на ранніх етапах їхнього життєвого циклу, а сповіщення з кінцевих точок, які містять ключову інформацію, є важливим каналом.

Зі зростанням нестачі фахівців у галузі кібербезпеки ми бачимо зростання впровадження ШІ не лише для покращення виявлення в серверній частині, а й для допомоги аналітику у зосередженні уваги на основних завданнях. Інтеграція в інтерфейс аналітика технології штучного інтелекту, як ChatGPT, значно підвищить ефективність SOC в майбутньому.

Як правильно обрати вендора 

Ключових критеріїв у виборі постачальника рішень у сфері безпеки має бути декілька.

Деякі організації вибирають вендорів винятково з урахуванням рекомендацій аналітиків чи порівняльних тестів. Але важливо розуміти, що кожен бізнес є унікальним, і вибір постачальників повинен ґрунтуватися конкретно на ваших запитах, а не на глобальному аналізі або результатах випробувань. Якщо аналітик високо оцінює вендора в хмарі та середовищах, розрахованих на багато користувачів, але за фактом його продукти не закривають вимоги конкретної організації, очевидно, що ця компанія не купуватиме таких рішень. Вкрай важливо читати дрібний шрифт в аналітичних звітах та результатах сторонніх тестів, щоб зрозуміти, чи актуальні вони для вашої організації.

Щоб знизити ризики, краще надавати перевагу вендору, який спеціалізується на EDR-рішеннях і протягом тривалого часу веде активну діяльність на вашому ринку. Наявність керованої сервісної екосистеми, яку в наші дні шукають багато компаній, також має бути частиною оцінки, якщо це застосовується для вашого бізнесу.

У вибраного вами вендора має бути сильний дослідницький відділ. Таким чином, дослідницька група матиме достатні можливості для раннього виявлення атак і вразливостей, щоб потім врахувати їх у своїх розробках. Співпраця дослідницької групи вендора з правоохоронними органами та розвідувальними організаціями є ключем до надання дієвої інформації для усунення кіберзлочинців. Клієнти вендора, своєю чергою, повинні мати можливість підключатися до дослідницької групи для збагачення даних про загрози, щоб реагувати на інциденти на ранніх етапах.

Чекліст гарної платформи безпеки кінцевих точок 

Щоб побудувати надійний захист безпеки кінцевих точок, ми рекомендуємо використовувати модульний підхід, який на високому рівні містить:
● Датчики запобігання, які можуть усунути відомі шкідливі файли в режимі реального часу за допомогою сигнатур, політик захисту доступу, вмісту запобігання експлойтів, захисту пам'яті, репутації файлів та інших методів, що діють оперативно.
● Датчики розширеного запобігання, які можуть виконувати розширену перевірку — з використанням штучного інтелекту, інтеграції з пісочницею, аналізу сценаріїв тощо — і згодом покращувати своє навчання. Деякі з них можуть відбуватися не в режимі реального часу, особливо якщо загроза перебуває в середовищі вперше. Однак датчики додають захист без втручання користувача, як тільки механізм розуміє, що зіткнувся зі шкідливим програмним забезпеченням — зазвичай це відбувається протягом декількох секунд. Будь-які дані також передаються датчикам, що дозволяє блокувати загрозу в режимі реального часу, коли вона наступного разу з'явиться в навколишньому середовищі.
● Датчики розширеного виявлення, які команди SOC використовують, щоб зосередитися на стратегічному захисті, а також зібрати, узагальнити та візуалізувати докази за запитом або графіком. Оскільки дані тут мають значно більший масштаб, під час їхньої реалізації широко використовуються ШІ та хмара. Підсумовуючи, можна сказати, що ці датчики можуть бути надзвичайно корисними, коли атака перебуває в активній стадії.
● Датчик зі збору форензики, який використовується групою IR (реагування на інциденти) для збору необхідних аналітичних даних та маркерів компрометації для постійного аналізу оперативної пам'яті, тактики, методів та процедур поведінки у разі атаки в поєднанні із запланованими та автоматизованими методами. Ці датчики дуже ефективні під час збирання доказів і аналізу після інцидентів.
Всі названі датчики також мають бути підкріплені потужною аналітикою, щоб випереджати ландшафт загроз, який динамічно змінюється, виявляти та скорочувати можливості для атак. Якщо ваш бізнес об'єднує фізичне, віртуальне та хмарне обладнання, дуже важливо, щоб обраний вендор надав гібридну архітектуру розгортання та управління. Постачальники систем безпеки не повинні змушувати вас змінювати вашу бізнес-модель, а адаптуватися до наявної.
У кожного з названих датчиків є своє призначення, але вони використовуються як взаємозамінні, що призводить до плутанини на ринку рішень. Важливо, що всі рішення повинні мати можливість обмінюватися інформацією одне з одним, оскільки ізольована робота зводить нанівець всю мету.
Ми пропонуємо вам ознайомитися з підходом Trellix до захисту кінцевих точок. Платформа Trellix XDR дозволяє бути на крок попереду актуальних загроз завдяки постійному розвитку за допомогою Machine Learning та вбудованого кіберінтелекту.

Trellix Endpoint Security (ENS) — Датчики запобігання ENS ATP + IVX (Sandbox) — Датчики розширеного запобігання Trellix EDR — Датчики розширеного виявлення Trellix HX — Криміналістика Trellix Agent — Єдиний агент для всіх вищезазначених датчиків EPO / XConsole — Централізоване управління та звітність Trellix XDR — Платформа Trellix XDR з інтеграцією з AI Insights — Аналітика Trellix Advanced Research Center — Дослідницький відділ
Щоб дізнатися більше про платформу, напишіть нам: moc.hcetokab%40xillert