Endpoint Detection and Response (EDR)

В статье представлены 13 популярных инструментов EDR, которые станут полезной находкой для любого пользователя. Читатели смогут ближе познакомиться с ними, узнать об их уникальных особенностях и преимуществах.  

В случае кибератаки на счету каждая секунда. Потери данных могут увеличиваться в геометрической прогрессии. Вот почему раннее обнаружение атаки является ключом к минимизации ее последствий. Инструменты EDR являются ценным союзником, когда речь заходит о быстром смягчении результатов опасного инцидента кибербезопасности.

Важность реакции

Чем дольше киберпреступники остаются незамеченными в корпоративной сети, тем больше данных они собирают и тем ближе подбираются к критически важным бизнес-активам. Вот почему компании должны сдерживать кибератаки, сокращая время воздействия и останавливая их до того, как ущерб станет непоправимым.

В 2013 году консалтинговая фирма Gartner Group обозначила инструменты EDR как новую технологию кибербезопасности, которая отслеживает конечные устройства в сети, обеспечивая немедленный доступ к информации о готовящейся атаке. По словам Gartner, помимо предоставления видимости информации об атаке, инструменты EDR помогают сотрудникам IТ-службы безопасности быстро реагировать, либо отправляя атакованное устройство на карантин, блокируя вредоносные процессы, либо выполняя процедуры реагирования на инциденты.

Что такое конечное устройство?

Конечная точка – это любое устройство, подключенное к сети передачи данных. Это понятие включает в себя различные девайсы и машины: от компьютеров, телефонов и отделов обслуживания клиентов до принтеров, POS-терминалов и устройств Интернета вещей. В совокупности конечные точки создают проблемы для администраторов сетевой безопасности, поскольку они являются наиболее уязвимой частью сети и создают потенциальные точки проникновения для киберпреступников.

Базовые компоненты EDR

Инструменты EDR состоят из трех важных компонентов:

• Сбор данных. Программные компоненты, работающие на конечных устройствах и собирающие информацию о запущенных процессах, логинах и открытых каналах связи.
• Обнаружение. Анализирует регулярную активность конечной точки, обнаруживая аномалии и сообщая о тех, которые могут представлять собой инцидент безопасности.
• Анализ данных. Группирует информацию с различных конечных точек и обеспечивает аналитику в реальном времени об инцидентах безопасности по всей корпоративной сети.

Одной из желательных характеристик решения EDR является интеллектуальная идентификация индикаторов компрометации (IoCs) на конечных точках. Эти показатели позволяют сравнивать информацию о текущем инциденте с данными, зафиксированными в предыдущих событиях, быстро выявить угрозу и не тратить время на анализ, который не был бы полезен для прекращения атаки.

Другими ключевыми аспектами EDR являются криминалистический анализ и оповещения, которые сообщают IТ-персоналу о возникновении инцидента, предоставляя ему быстрый доступ ко всей информации о нем. Адекватный и легкодоступный контекст инцидента крайне важен для того, чтобы сотрудники Службы безопасности имели все необходимое для его расследования. Также важно, чтобы EDR обеспечивало функциональность отслеживания, как для идентификации других конечных точек, затронутых атакой, так и для определения конечной точки, используемой для проникновения в сеть.

Автоматизированные ответы также являются желательной функцией решения EDR. Такие ответные меры состоят из активных инициатив, таких как блокирование доступа к сети или отдельных процессов и принятие других мер, которые могут сдержать или смягчить атаку.

Настала пора познакомиться с популярными инструментами EDR, которые можно смело использовать на практике.

1.     Heimdal Security

Heimdal предлагает многоуровневый подход к EDR с помощью стека технологий, которые могут быть настроены в соответствии с любым бизнес-сценарием и заполнят все потенциальные пробелы в безопасности. Этот инструмент EDR включает в себя поиск угроз, непрерывный мониторинг, локальное и облачное сканирование, а также блокировку несанкционированной активности с помощью телеметрии трафика нового поколения.

Heimdal объединяет EPP с EDR, получая модель безопасности под названием E-PDR: Endpoint Prevention, Detection и Response. E-PDR использует DNS-защиту от атак и исправление ошибок в сочетании со стратегиями немедленного реагирования, которые способны отразить любые киберугрозы.

Используя комплексный подход к анализу данных и сравнивая их с источниками информации об угрозах, Heimdal отслеживает всю активность конечных точек и реагирует на инциденты безопасности. Добавив опцию управления рабочим столом, инструмент охватывает все рекомендации проекта безопасности Gartner в одном флаконе: управление привилегированным доступом, управление уязвимостями и обнаружение и реагирование.

Основные моменты:

• Darklayer GUARD заботится о фильтрации DNS-трафика, чтобы обеспечить предотвращение угроз, их обнаружение и блокировку.
• Vectorn Detection применяет поведенческое обнаружение машинного обучения для интеллектуального поиска угроз.
• X-Ploit делает автоматизированной инвентаризацию программного обеспечения, управления уязвимостями.
• Thor AdminPrivilege — это модуль управления доступом Heimdal, обеспечивающий повышенную безопасность конечных точек и управление правами администратора.

2.     Bitdefender

GravityZone Ultra стремится минимизировать поверхность атаки конечных точек сети, затрудняя проникновение злоумышленников. Чтобы минимизировать опасность на конечной точке, инструмент предлагает пользователям аналитику рисков конечных точек и поведения пользователей в одном агенте и одной консольной архитектуре.

Этот комплексный подход к обеспечению безопасности конечных точек сокращает число поставщиков, общую стоимость и время, необходимое для реагирования на угрозы.

Благодаря понятному списку приоритетов механизм анализа рисков Bitdefender помогает укрепить рисковые конфигурации и настройки безопасности конечных точек, а также выявляет поведение пользователей, создающее опасность в отношении корпорации. Bitdefender добавляет новый уровень безопасности конечных точек под названием «Защита от сетевых атак». Он предназначен для предотвращения атак, использующих известные уязвимости.

Атаки на основе сетевого потока, такие как боковое перемещение, брут-форс и похищение паролей, блокируются до того, как они могут быть выполнены.

Основные моменты:

• Защита данных с помощью дополнительного модуля полного шифрования диска.
• Настраиваемое машинное обучение, проверка процессов в реальном времени и анализ для обеспечения предварительного обнаружения и уничтожения вредоносных программ.
• Видимость атаки до и после компрометации.
• Поиск текущих и исторических данных на основе IOCs, тегов MITRE, процессов, файлов, записей реестра или других параметров.

3.     Snort

Snort — это система обнаружения сетевых вторжений с открытым исходным кодом (NIDS), созданная компанией Cisco Systems.

Инструмент работает как анализатор пакетов, который проверяет данные, циркулирующие по сети. Snort имеет свой собственный формат данных, который используется многими другими разработчиками систем обнаружения вторжений для обмена информацией об угрозах. Инструмент захватывает сетевые пакеты, анализирует их и либо сохраняет результаты анализа в файле журнала, либо отображает их в консоли.

Snort также может использоваться для установления определенных правил в отношении сетевых пакетов и оповещения пользователя в случае обнаружения им вредоносного контента. Он может быть использован на индивидуальной операционной системе для личной защиты, однако потребуется много времени, чтобы настроить его должным образом, чтобы применять инструмент эффективно.

Кроме того, нет одного стандартного графического интерфейса для создания всех конфигураций, так что это продукт не для начинающих. На веб-сайте Snort можно найти множество документов и примеров конфигурационных файлов, что очень упрощает работу администраторов систем.

Основные моменты:

• Наиболее используемая система предотвращения вторжений: более 5 миллионов загрузок и более 600 000 зарегистрированных пользователей.
• Совместимость с операционными системами х86 — ОС Linux, FreeBSD, NetBSD, OpenBSD и FreeBSD, Windows, Sparc Solaris, PowerPC MacOS X, MkLinux, PA-RISC HP-UX.
• Требуется интерфейс Ethernet и много места на жестком диске для сохранения данных журнала.
• Инструмент даже может быть использован для обнаружения различных атак SQL-инъекций.

4.      SentinelOne

Singularity от SentinelOne – это комплексная платформа Endpoint Protection Platform (EPP), включающая в себя функции EDR. Инструмент предлагает пользователям некоторые функции, которые выделяют его среди остальных. Примечательной среди них является опция отката вымогателей, процесс восстановления, который обращает вспять ущерб, причиненный атаками преступников.

Агенты SentinelOne могут быть легко установлены на всех видах конечных точек: машинах Windows или Linux, POS-устройствах, IoT. Процесс установки простой и быстрый; пользователи сообщают, что требуется всего два дня, чтобы запустить агенты на сотнях или тысячах конечных точек в их корпоративных сетях.

Пользовательский интерфейс SentinelOne обеспечивает видимость процессов на каждой из конечных точек, а также удобные инструменты поиска и криминалистического анализа. Эволюция продукта непрерывна – постоянно добавляются новые функции.

Основные моменты:

• «Одноагентная» технология: используется статическая система искусственного интеллекта для защиты.
• ИИ заменяет традиционное обнаружение на основе сигнатур.
• Поведенческий ИИ для запуска процессов охватывает все: файловые / безфайловые вредоносные программы, документы, скрипты.
• Автоматизированные действия EDR: изоляция сети, автоматическая иммунизация конечных точек, откат конечных точек в предварительно зараженное состояние.

5.     Sophos

Sophos Intercept X – это быстрое, легкое и компактное решение, которое защищает конечные точки в сети от угроз, которым они подвергаются. Его главное качество заключается в том, что инструмент обеспечивает эффективные механизмы защиты, которые потребляют мало ресурсов на устройствах пользователей.

Intercept X действует как чрезвычайно преданный охранник, что отлично с точки зрения защиты. Но пользователи сообщают, что он может блокировать больше событий, чем должен, это может привести к многочисленным ложным срабатываниям при выявлении угроз.

Инструмент включает в себя централизованную облачную платформу управления, которая предлагает пользователям единое место для управления защитой серверов и конечных точек. Эта платформа упрощает работу системных администраторов, позволяя им легко проверять статус обнаруженных угроз, анализировать доступы к заблокированным URL-адресам. Кроме того, Intercept X имеет богатую функциональность межсетевого экрана, что означает его пользу как антивируса.

Основные моменты:

• Предназначен для аналитиков безопасности и IТ-менеджеров.
• Доступен на Windows, macOS и Linux.
• Настраиваемые SQL-запросы для доступа к историческим и оперативным данным за прошедшие 90 дней.
• Приоритизация инцидентов на основе машинного обучения.

6.     CrowdStrike

Для малого и среднего бизнеса, который не может позволить себе команду специалистов по IТ-безопасности, комплексное решение CrowdStrike Falcon предлагает низкие затраты на покупку, развертывание и техническое обслуживание.

Несмотря на свою небольшую стоимость, его эффективность не уступает эффективности других решений. Пользователи Falcon Complete подчеркивают его скорость и проактивность, гарантируя, что в тот момент, когда системные администраторы получают уведомление об угрозе, она уже заблокирована и удалена инструментом EDR.

В дополнение к решению EDR Falcon CrowdStrike предлагает управляемую службу обнаружения, поиска и удаления угроз, которая отличается своей скоростью и точностью. Сервис идеально подходит для того, чтобы освободить системный персонал компании для выполнения задач, более тесно связанных с их бизнесом, а не тратить время на борьбу с угрозами, которые аналитики CrowdStrike сами могут вовремя предотвратить.

Основные моменты:

• Использование IOAs для автоматической идентификации поведения атакующего и отправки приоритетного оповещения на пользовательский интерфейс.
• Приоритизация инцидентов снижает «усталость» от тревог на 90%.
• Наличие фреймворка MITRE-based detection и CrowdScore Incident Workbench.
• Драйвер Falcon Insight захватывает более 400 необработанных событий и связанную с ними информацию, необходимую для повторного отслеживания инцидентов.

7.     Carbon Black

Многие инструменты безопасности используют механизм обнаружения угроз на основе сигнатур. Этот механизм получает сигнатуру каждой возможной угрозы и ищет ее в базе данных, чтобы идентифицировать и определить, как ее нейтрализовать. Основная проблема этого механизма заключается в том, что при возникновении новой угрозы требуется время для получения ее сигнатуры и для того, чтобы обычные средства обнаружения научились идентифицировать ее.

Во избежание данной проблемы с обнаружением на основе сигнатур, такие решения, как Carbon Black, используют эвристические методы для выявления потенциальных угроз. Пользователи утверждают, что инструмент способен обнаруживать и блокировать многочисленные продвинутые угрозы задолго до того, как их сигнатуры станут доступны. Инструмент криминалистического анализа Carbon Black также высоко ценится пользователями из-за глубины его анализа и уровня детализации в отчетах.

Инструмент VMware идеально подходит для продвинутых групп безопасности, позволяя определить подробные правила для перехвата атак на конечных точках, а также предоставляет другие утилиты для проведения охоты на угрозы в ручном режиме.

Основные моменты:

• ООО, виртуальные частные облака, предоставление IT-услуг или MSSP.
• Автоматизация с помощью интеграции и открытых API.
• Удаленное исправление: оперативное реагирование на инциденты создает безопасное соединение с зараженными хостами для извлечения или передачи файлов, уничтожения процессов и выполнения дампов памяти.
• Непрерывно записываемые данные конечных точек предоставляют специалистам по безопасности информацию, необходимую для поиска угроз в режиме реального времени.

8.     Cynet 360

Продукт EDR Cynet отличается тем, что использует обманчивые приманки для захвата и нейтрализации угроз. Приманками могут стать файлы, учетные записи пользователей и устройства, которые устанавливаются в сети вокруг наиболее чувствительных областей, привлекая потенциальных злоумышленников и предотвращая их проникновение в сеть.

Пользователи Cynet 360 подчеркивают простоту установки агента на конечные точки, а также хорошо спроектированную консоль, которая выводит на экран детальные результаты. Инструмент заслужил внимания SOC, состоящего из инженеров по вредоносным программам и этических хакеров, которые немедленно вступают в действие, когда инцидент происходит на любом из их клиентов.

Мультитенантная архитектура платформы Cynet подходит для реселлеров, поскольку упрощает поддержку многочисленных клиентов. С другой стороны, пользовательские приложения, отображающие состояние безопасности всей компании на устройствах Android, iOS и Smart TV, облегчают реселлерам возможность предложения установки Cynet 360 своим клиентам.

Основные моменты:

• Высокоскоростное развертывание: до 50 тысяч хостов / серверов за один день.
• Автоматическое обнаружение и самостоятельное развертывание на новых машинах.
• Защита хостов, серверов и виртуальных сред.
• Совместимость с Windows, macOS и пятью разновидностями Linux.

9.     Cytomic

Cytomic от Panda Security предлагает пользователям платформу безопасности, разработанную специально для крупных корпораций, которым необходимо защищать конечные точки в сетях, разбросанных по разным континентам, с различными операционными группами на каждой из них. Это решение дает возможность корпоративному IТ-персоналу получить полное представление о положении дел в области безопасности с центральной точки, в то время как администрирование и ежедневная работа делегируются местным командам в каждой стране, каждая из которых имеет свою собственную административную консоль.

Развертывание агентов безопасности на рабочих станциях и серверах Windows осуществляется без особых проблем, хотя совместимость с Linux не гарантируется для всех дистрибутивов. Служба поиска угроз, предоставляемая непосредственно Panda Security, является ценным дополнением к этому инструменту, поскольку они предлагают команду поддержки, которая всегда доступна, внимательна и готова помочь. Стоимость этого решения является одной из самых низких в ассортименте продуктов, подходящих для корпоративных клиентов.

Основные моменты:

• Служба охоты на угрозы включена.
• Атаки на основе эксплойтов блокируются.
• Ретроспективный поиск IoC в реальном времени.
• Оповещения являются приоритетными и отображаются в фреймворке MITRE ATT&CK.

10. Kaspersky

Инструмент EDR Kaspersky, в первую очередь, направлен на смягчение широкого спектра многоступенчатых атак. Будучи реализованным на той же платформе, что и Kaspersky Anti Targeted Attack (KATA), KEDR может быть объединен с KATA для эффективного обнаружения и реагирования на атаки, нацеленные на инфраструктуру конечных точек сети.

Видео об этом инструменте можно посмотреть здесь.

Сложность атак широкого спектра делает невозможной их идентификацию на уровне отдельного сервера или рабочей станции. По этой причине KEDR автоматизирует процессы сбора данных и анализирует подозрительную активность на всех этапах работы с инфраструктурой конечных точек, используя сочетание машинного обучения, данных и человеческого опыта. Параллельно технология System Watcher отслеживает поведение каждого приложения после его запуска на сервере или терминале, чтобы выявить вредоносные паттерны.

KEDR использует единую консоль для детального просмотра и мониторинга всех событий, включая полученные обнаружения и результаты сканирования конечных точек индикаторов компрометации (IoCs). Kaspersky имеет большое количество клиентов в корпоративном сегменте и поддерживает свою сеть безопасности, подпитываемую угрозами, с которыми приходится сталкиваться крупным компаниям.

Основные моменты:

• Обнаружение поведения с автоматическим откатом.
• Мобильная защита от угроз и интеграция EMM.
• Host-based intrusion prevention (HIPS).
• Оценка уязвимости и управление ими.
• Управление приложениями с помощью белого списка на основе категорий.

11. MVISION

С помощью MVISION McAfee предлагает недорогое облачное решение, которое позволяет аналитикам безопасности сосредоточиться на стратегической защите сетей, а не тратить свое время на рутинные задачи администрирования. С помощью технологии расследования угроз, основанной на искусственном интеллекте, MVISION удается сократить время обнаружения и реагирования, определяя приоритетность инцидентов, которые должны быть устранены с наибольшей срочностью.

Инструмент McAfee призван стать помощником для агентов SOC, собирая, обобщая и позволяя визуализировать инфраструктуру конечных точек из нескольких источников. Таким образом, можно уменьшить количество ресурсов, необходимых для SOC. В свою очередь, чтобы упростить установку и снизить затраты на техническое обслуживание, MVISION может быть интегрирован с платформой управления McAfee ePolicy Orchestrator (ePO), будь то локальная или SaaS-платформа.

Пользователи MVISION отмечают значительное снижение затрат – аппаратного и программного обеспечения, энергопотребления центра обработки данных и времени, уделяемого на техническое обслуживание, — что было достигнуто после внедрения инструмента McAfee EDR.

Основные моменты:

• Онлайн и офлайн защита iOS и Android от фишинга, атак нулевого дня и потери данных.
• Машинное обучение, защита от кражи учетных данных и исправление отката к базовым возможностям безопасности операционной системы.
• Локальное управление с помощью McAfee ePO или SaaS-управление с помощью MVISION ePO.

12. Cybereason

Cybereason EDR использует как сигнатурный, так и поведенческий подход для выявления угроз и снижения рисков.

Инструмент может автоматически обнаруживать и блокировать все виды вымогателей, включая атаки без файлов. Вся релевантная информация для каждой атаки сводится в одно интуитивное представление, называемое Malop — сокращение от вредоносной операции. Malop содержит все связанные элементы атаки, включая затронутые машины и пользователей, первопричину, входящие и исходящие сообщения и даже временную шкалу атаки.

С помощью Cybereason EDR оповещения могут быть сопоставлены с платформой MITRE ATT&CK, где аналитики способны распознать нарушение безопасности с первого взгляда. Таким образом, SOC сокращает время, необходимое для сортировки предупреждений, ускоряя определение приоритетов и устранение неполадок. Команды экспертов Cybereason следят за средой пользователя 24×7, активно реагируя на угрозы и расширяя возможности собственной команды безопасности.

Единая платформа мониторинга дает представление обо всех вредоносных действиях на каждой машине и в каждом процессе. Агенты безопасности могут просматривать все дерево процессов с подробной временной шкалой событий и одним щелчком мыши уничтожать процессы, помещать файлы на карантин, удалять механизмы сохранения, предотвращать выполнение файлов и изолировать машины.

Основные моменты:

• Интерактивный поиск файлов и поддержка правил YARA позволяют обнаруживать вредоносные файлы на компьютерах Windows, macOS и Linux.
• Cybereason Deep Response позволяет команде извлекать дампы памяти, файлы реестра, журналы событий, информацию о транзакциях MFTs и NTFS.
• Время развертывания всего 24 часа неважно с облачными или локальными опциями.
• Компонент Cybereason Threat Finder охотится за вредоносными действиями, тактиками и процедурами, используемыми злоумышленниками в их практиках.

13. ESET

ESET Enterprise Inspector работает совместно с платформой ESET Endpoint Protection Platform, предоставляя комплексное решение для защиты от программ-вымогателей, обнаружения продвинутых постоянных угроз, остановки атак без файлов и блокирования угроз нулевого дня. Инструмент использует уникальный механизм обнаружения, основанный на поведении и репутации, который полностью прозрачен для SOCs.

Все правила можно редактировать с помощью XML-файлов, чтобы обеспечить точную настройку.

Решение ESET позволяет разработчикам интегрировать свои решения через API, обеспечивающие доступ к данным для их обнаружения и исправления. Таким образом, люди могут интегрировать такие инструменты, как SIEM и SOAR.

Еще одной выдающейся особенностью Enterprise Inspector является его удаленная возможность осуществления за счет PowerShell, что позволяет инженерам безопасности удаленно проверять и настраивать конечные точки.

Заключение

Оставляя в стороне возможные различия в затратах, производительности обнаружения или дополнительных функциях, все инструменты, упомянутые в этой статье, отлично выполняют задачи защиты инфраструктуры конечных точек сети. Важно выбрать наиболее подходящий инструмент для нужд своей компании, но еще важнее действовать без промедления, осознавая угрозы, которым подвергаются конечные точки сети, и защищать их с помощью инструментов EDR.