На днях на внутреннем Конвенте, где инициативные коллеги из нашего подразделения делятся результатами своих исследований, выступали ребята из Offensive с рассказами об EDR/EPP, и что с ними можно поделать пентестерам на реальных проектах. Докладчик начал свой рассказ, что AV/EPP/EDR/что угодно - это просто некий агент на эндпоинте.
Это очень простое утверждение от профессионального пентестера и исследователя, смотивировало меня все-таки написать эту статью и в очередной раз порассуждать о защите конечных точек.
26 января 2025 вышла замечательная статья от моего бывшего коллеги Виталия Моргунова о EDR, с которой полезно ознакомиться каждому. По ходу прочтения обнаружил принципиальный момент: Виталий отделяет EDR от EPP, и, возможно, на это можно было бы не обратить внимания, ибо я не эксперт в терминологии, да это и не важно, но, в данном случае, подобное разделение, на мой взгляд, формирует некорректное понимание вопроса у потребителя и негативно влияет на будещее развитие технологий защиты конечных точек. Поэтому в этой заметке позволю себе позаниматься казуистикой и занудством, но исключительно из благих побуждений.
TL;DR: EDR - это не выделенное решение, а обязательный функционал для современного EPP
Замечательно, что non-endpoint вендоры, к коим относится и BI.zone, в 2025 году наконец-то перестали именовать свои EDR-ы некстгенами и пытаться отстраиваться от "классических" антивирусов, которые мертвы\не нужны. Виталик, проведя достаточное время в Kaspersky Anti-Malware Research (AMR), явно пишет:
EDR не является заменой современного антивирусного ПО (EPP).
В общем, из статьи следует, что и антивирус нужен, и EDR нужен, но EDR выделяется в отдельный класс продуктов. Даже Gartner, уже с 2018 не различает AV и EDR, наделяя современные "антивирусы" функционалом EDR, а от EDR требуя наличия модуля автоматического предотвращения ВПО, и называя такое решение как раз именно термином Endpoint Protection Platform (EPP). У меня неоднозначное отношение к Gartner, но в данном случае я с ним полностью согласен: EDR - это обязательный функционал для современного корпоративного Endpoint-а. Ну а такое, уже винтажное, отделение EDR от "антивируса" (== выделение EDR из состава EPP), традиционно, встречается среди поставщиков, не имеющих в своем портфеле полностью автоматического превентивного движка ("антивируса"). Отсутствие "классического антивируса" не компенсируется EDR - об этом совершенно правильно пишет Виталий. И следующая фраза продолжает идею выделения EDR и попытки отстройки от "классического антивируса":
Это разные классы решений, которые решают разные задачи.
Я уверен, что вполне способен судить о продуктах с позиции потребителя, а именно такое суждение следует брать за основу при разработке новых решений. В точки зрения потребителя требуется защита от атак, любых, поэтому задача - одна. Понятно, да и я об этом писал, что какие-то сценарии обнаруживаются полностью автоматически (их по-прежнему несравненно больше и их число растет быстрее детекторов\хантов), а какие-то требуют подключения SOC либо для валидации автоматического обнаружения, либо для ручного хантинга. Это прекрасно понимает и Виталий, да он сам и пишет:
Современные EDR не только позволяют осуществлять сценарии автоматического реагирования на выявленные угрозы, ...
Автоматическое реагирование значительно затрудняет продвижение злоумышленника по инфраструктуре...
Но это уже вызывает некоторый диссонанс с идеей отстройки от "антивируса", так как лично я не различаю сценарий "автоматического реагирования" на основе EDR от аналогичного сценария "антивируса"... : с одной стороны EDR-у приписываются функциональные возможности "антивируса", а с другой стороны утверждается, что EDR - это что-то совсем другое. При этом, не отрицается наличие антивируса, а на практике вообще-то без него и не обеспечивающее более-менее полной защиты. Скажу больше, упрямая статистика серьезных инцидентов демонстрирует, что атаки не проходят полностью незаметно, это же отмечают и коллеги по отрасли (Денис Гойденко: в 100% случаев можно было не допустить инцидента).
Вообще, хитрые вендоры любят продавать комплексные решения по частям, вероятно, с целью увеличения прибыли (официально - для повышения возможностей по интеграции), об этом я уже тоже успел посокрушаться аж в 2009-м, однако, с позиции заказчика современный EPP должен быть комплексным. Я рассматриваю EDR-ный функционал, как расширение "классического антивируса" для целей покрытия новых угроз, и я полностью уверен, что он должен быть частью единого EPP-агента, поскольку только так достигается оптимизация потребления ресурсов, что приципиально для эндпоинта.
В завершении статьи пройдемся по аргументам, используемым производителями выделенных EDR - все они крутятся вокруг необходимости интеграции с уже существующими "классическими антивирусами" и необходимости предоставления телеметрии для мониторинга. Мое мнение, что какие бы внешние "нашлепки" в виде отдельных EDR-агентов для "классических антивирусов" не предлагалось, их интеграция не будет оптимальной ни по функционалу, ни по части потребления ресурсов. Современные "классические антивирусы" с механизмами поведенческого детектирования используют те же перехваты, те же механизмы, предоставляемые операционной системой (например, раз, два, три, и т.п.), что и будет использовать выделенный EDR, функционал будет во многом дублироваться. Поэтому с позиции заказчика выделенные EDR и "классический антивирус" не имеют никакого смысла, следует смотреть в сторону интегрированных комплексных решений.
Поэтому, финалочка:
- Производители EPP, если хотят сохранить эффективность своих решений в условиях современного ландшафта угроз, должны интегрировать функционал EDR в свои решения. Что это за "функционал EDR" - можно почитать у Gartner-а или в статье Виталия, с которой началась эта статья
- Поставщикам MDR - выбирать наиболее функциональные EPP в качестве инструментария, работать с поизводителями по совершенствованию функционала EPP под их сценарии. Пример - Red Canary
- Потребителям EPP/MDR - выбирать комплексные решения в которых современный "антивирус" имеет функционал EDR в своем составе, да и все остальные инструменты по защите конечных точек
