С каждым годом количество киберугроз растет, и они становятся все более сложными. Традиционные антивирусы давно перестали справляться с изощренными разработками профессиональных взломщиков, поэтому серьезные организации массово перешли на использование продвинутых систем защиты. Такие системы не только обеспечивают безопасность конечных точек — серверов, компьютеров и мобильных устройств, но и собирают информацию из журналов безопасности, логи сетевых устройств, а также получают данные от антивирусов. Для обработки этих данных в крупных компаниях выделяют специальное подразделение — SOC, Security Operation Center. Специалисты SOC анализируют собранные события безопасности, выявляют и расследуют инциденты, принимают меры для предупреждения и блокировки кибератак. Относительно недавно вендоры систем кибербезопасности представили новый класс решений, с которыми значительно легче выявлять и расследовать инциденты, удобно получить полную картину происходящего и заблокировать атаку. UBA (User Behavioral Analytics — анализ поведения пользователей) — системы, которые собирают массивы данных о действиях пользователей, а затем с помощью алгоритмов машинного обучения строят модели поведения и выявляют отклонения от них. UEBA (User and Entity Behavioral Analytics — анализ поведения пользователей и ИТ-объектов) — UBA-система, дополненная сведениями о работе конечных точек, серверов и сетевого оборудования. Gartner определяет EDR (Endpoint Detection and Response — обнаружение и реагирование на конечных точках) как решение, которое фиксирует системные события на компьютерах или серверах, выявляет и блокирует подозрительное приложение в системе, автоматически устраняет последствия компрометации. Большинство решений EDR умеет выявлять цепочки внедрения вредоносов на конечных устройствах с момента получения управления, включая запись в автозагрузку, вызовы процессов и распространение по сети компании (Lateral Movement). SIEM (Security Information and Event Management — управление информацией и событиями безопасности) — система, которая собирает и анализирует информацию из сетевых устройств и средств обеспечения безопасности. SIEM-системы умеют отправлять предупреждения на основе настроенных заранее правил корреляции, формируют отчеты, необходимые для аудита инцидентов, и позволяют просматривать собранные данные с разным уровнем детализации. SOAR — еще одна разновидность систем автоматизации работы SOC-специалистов, которая анализирует события ИБ, собранные в системе SIEM, выявляет инциденты и реагирует на них в соответствии с заданным алгоритмом. Эти продукты охватывают весь спектр сетевых устройств, проактивно выявляют неизвестные угрозы и автоматически реагируют на них, предотвращая развитие атаки. XDR-решение работает на уровне конечных устройств, анализирует сетевой трафик, электронную почту и облачную инфраструктуру, включая различные системы контейнеризации. Установленные на конечных точках сенсоры собирают данные телеметрии, сведения о поведении пользователя и программ и другую информацию. Собранные выявляющими модулями сведения передаются в глобальную базу об угрозах и событиях.Хакер Online