Применение и сравнение Endpoint Detection and Response (EDR)

Решения для обнаружения и реагирования на конечные точки (EDR) становятся все более важным инструментом для служб информационной безопасности, позволяющим отслеживать угрозы и защищать корпоративную инфраструктуру. В наши дни, когда от скорости и качества мониторинга и противостояния киберугрозам зависит многое, технологии EDR предоставляют расширенные возможности для быстрого обнаружения потенциальных инцидентов кибербезопасности, ускоряют расследование и реагирование, а также позволяют проводить детальный криминалистический анализ.

В данной статье проводится подробное сравнение двух EDR-решений - Positive Technologies и «Лаборатории Касперского». В ней анализируются основные возможности, используемые каждой платформой, в том числе для:

• Обнаружения угроз ИБ;
• Расследования инцидентов ИБ;
• Реагирования на угрозы;
• Поиска угроз;
• Отчетности по итогам.

Сравнение этих ключевых факторов с использованием реальных примеров из клиентских сред позволяет провести объективный и практический анализ для того, чтобы руководители служб ИБ оценили перспективы инвестиций в данные передовые платформы.

EDR-решения

EDR стали важнейшим средством защиты предприятий перед лицом все более изощренных киберугроз. Поскольку злоумышленники быстро совершенствуют свои тактики и методы, EDR призваны обеспечить командам безопасности улучшенную видимость конечных точек, более эффективное обнаружение угроз и ускорение рабочих процессов реагирования.

Основные цели EDR:

1. Обеспечение непрерывного мониторинга активности конечных точек;
2. Быстрое выявление потенциальных инцидентов безопасности;
3. Автоматизация изоляции для ограничения последствий;
4. Поддержка детального расследования инцидентов.

EDR призвана обеспечить аналитикам безопасности возможность в реальном времени видеть последовательность кибератак, известную как Cyber Kill Chain. Она охватывает действия угрозы от первоначального доступа и выполнения команд до бокового перемещения и действий по достижению целей. Используя поведенческую аналитику, анализ угроз и машинное обучение, ведущие платформы EDR способны распознавать известные и неизвестные модели атак, разворачивающихся на конечных точках. Тесная интеграция также способствует быстрому реагированию, обеспечивая карантин, изоляцию и восстановление скомпрометированных активов. Более подробно о том, как современные ИБ-решения используют ИИ и машинное обучение рассказывала наша коллега Аида Асатрян в своей статье.

EDR: системы и техники

EDR решение содержит в себе три основные системы: мониторинга, обнаружения и реагирования. Первая система занимается отслеживанием действий на компьютере или компьютерной сети и сбором данных с них. Вторая – передачей собранных данных для последующего анализа. Третья система предполагает принятие мер на основе данных, которые были сгенерированы системой обнаружения.

При использовании традиционных решений безопасности не записывается достаточный объем информации об активности конечных точек. Такая информация не сохраняется или недоступна, а инструменты анализа отсутствуют. В то время как антивирусы отслеживают только то, что происходит на конкретной машине, системы EDR охватывают всю инфраструктуру. Например, удаленное подключение, которое происходит на одной машине, классическое средство защиты может считать легитимными. EDR же может увидеть, что RDP-сессии (протокол удаленного рабочего стола - Remote Desktop Protocol - позволяющий удалённо подключаться к компьютеру под управлением Windows) происходят одновременно на нескольких машинах, что станет поводом для подозрения и оповещения службы безопасности. Таким образом, цепочка на первый взгляд легитимных событий при комплексном взгляде может говорить о компрометации инфраструктуры. Решения EDR устраняют недостаточную прозрачность, обеспечивая возможности аудита и поиска угроз, а также более глубокое понимание тактики, методов и процедур злоумышленников.

Ключевыми функциями EDR-решений являются следующие:

• Помощь аналитикам в определении индикаторов компрометации (IoC - Indicators of compromise — это системные артефакты, которые могут быть результатом нарушения безопасности системы), осуществляемой благодаря объединению данных, собранных с конечных точек, с данными об угрозах;
• Предоставление оповещения об инцидентах в режиме реального времени;
• Интеграция криминалистики для помощи аналитикам в исследовании затронутых конечных точек и идентификации первоначального источника атаки;
• Автоматическое исправление (изоляция, очистка, повторное создание образа конечной точки).

При обнаружении инцидента информационной безопасности часть системы EDR, отвечающая за автоматическое обнаружение, основана на принципах использования следующих инструментов:

1. Антивирусное сканирование;
2. Эмуляция угроз;
3. IoC-сканирование;
4. IoA-сканирование (Индикаторы атаки (Indicator of Attack) - правило, содержащее описание подозрительной активности в системе, которая может быть признаком целевой атаки);
5. Поведенческий анализ;
6. Ретроспективный анализ;
7. YARA-правила (Another Recursive Acronym или Another Ridiculous Acronym - используются для классификации и идентификации образцов вредоносных программ путем создания описаний их семейств на основе текстовых или двоичных шаблонов);
8. Корреляция событий

EDR: реагирование на инциденты

Существует несколько моделей и подходов для разработки архитектуры безопасности и процесса реагирования на инциденты. Подробно описанная структура использования противодействия кибератакам современных тактик, технологий и инструментов основана на четырех элементах:

• Предотвращение (Prevent);
• Обнаружение (Detect);
• Реагирование (Respond);
• Прогнозирование (Predict).

Как и в случае с поэтапной кибератакой, план реагирования на инциденты (см. рис. 1) представляет собой последовательность определенных шагов:

Рис. 1 – Этапы реагирования на инциденты

1. Этап подготовки. Включает в себя выбор инструментов для предотвращения, обнаружения и реагирования на инциденты, чтобы минимизировать последствия.
2. Этап идентификации. Предполагает чёткое определение командой реагирования события или потока событий инцидентом ИБ. Устанавливаются возможные последствия, предпринимаются действия по сдерживанию.
3. Этап сдерживания. Перед расследованием инцидента, его необходимо предотвратить. Этап сдерживания предполагает изоляцию конечной точки, приостановку запущенного процесса, блокировку доступа, помещение файлов на карантин.
4. Этап уничтожения. Специалисты ИБ переходят к этапу уничтожения всех следов и восстановлению системы в состояние предшествующее атаке.
5. Этап восстановления системы. Восстанавливается работа конечных узлов.
6. Этап структурирования. Важно структурировать информацию, полученную в ходе устранения инцидента, повысить уровень безопасности системы, скорректировав уязвимости.

При использовании EDR-решения этапы реагирования на инциденты полностью или частично выполняются автоматически, с помощью основных встроенных инструментов, таких как:

• Детектирующие компоненты;
• IoA правила;
• Компонент Sandbox («песочница») – это выделенная аппаратная или аппаратно-программная среда для исполнения файлов программ и др.

EDR решения: их сравнение и возможности

Рассмотрим продукты на основе EDR-решений от компаний Positive Technologies и «Лаборатории Касперского».

Система класса XDR (Extended Detection and Response) – это расширенное обнаружение и реагирование на сложные угрозы и целевые атаки) является продолжением развития продуктов класса EDR. Компонент EDR-решения в составе продукта PT XDR включает в себя основные доступные функции компонента такие как:

• YARA-модуль, предназначен для анализа файлов и процессов, предоставляет возможность использования собственных правил;
• Собственный драйвер сбора событий;
• Модуль сбора артефактов для расследования инцидентов;
• Гибкая настройка политик обнаружения и реагирования, предоставляет возможность ветвления логики обработки событий;
• Обнаружение вредоносного программного обеспечения;
• Модуль исполнения произвольных команд и сценариев;
• Агенты для Windows, Linux, macOS;
• Многопоточность, возможность параллельной работы модулей;
• Автономность агента предполагающая, работу основных модулей реагирования без подключения к серверу управления, с кешированием событий.

В классический набор инструментов продукта PT XDR входят SIEM, EDR, Sandbox (рис. 2 и 3). К ним можно добавить другие инструменты, например, PT KB, MP MV, PT NAD, PT AF, PT ISIM.

Рис. 2 – Базовый набор компонентов PT XDR-решения

Рис. 3 - Схема взаимодействия компонентов

Компонент EDR от Positive Technologies работает и без SIEM. Так же данное решение встраивается и хорошо отрабатывает с другими SIEM, хотя некоторые возможности полного комплекта инструментов для заказчиков не будут доступны.

Главными особенностями PT EDR являются:

1. Помощь в обнаружении инцидентов и реагировании на них в автоматическом и ручном режимах.
2. Автоматизация рутинных процессов SOC, которые связаны с реагированием на типовые угрозы.
3. Упрощение поиска начального звена атаки.

В свою очередь единый агент для автоматической защиты от массовых угроз и расширенного противодействия сложным атакам от «Лаборатории Касперского» - «Kaspersky EDR для бизнеса Оптимальный» облегчает управление инцидентами.

Главными особенностями «Kaspersky EDR для бизнеса Оптимальный» являются:

1. Возможность управления функциями EPP, EDR из одной консоли;
2. Автоматизированный способ реагирования на угрозы;
3. Проведение анализа первопричин (root-case analysis);
4. Возможность запуска цепи ответных действий на инцидент. Создание правила запрета на запуск недоверенного объекта, выполнение поиска похожих инцидентов с помощью IoC, изоляция, отсечение конечного устройства сети.
5. Возможность визуализации пути распространения атаки (attack spread path).

Архитектура взаимодействия компонентов инструментов «Лаборатории Касперского» представлена на рисунке 4, 5.

Kaspersky Endpoint Security (KES) – классическое EPP-решение.

Рис. 4 – Архитектура KES + EDR

Рис. 5 – Решения, использующие единый агент

В основе архитектуры лежат Kaspersky Security Center и Kaspersky Endpoint Security. Такое построение дает возможность гибко интегрировать новые компоненты в уже существующую инфраструктуру организации. Данное построение включает в себя:

• защиту от вредоносного программного обеспечении,
• контроль устройств, программ и использование интернета,
• единую консоль управления,
• контроль запуска приложений на серверах,
• адаптивный контроль аномалий,
• инструменты системного администрирования,
• встроенное шифрование,
• патч-менеджмент,
• инструменты EDR.

EDR-решение позволяет работать с поиском вредоносного ПО, активными угрозами, защитой и контролем компьютера, резервным хранилищем, отчетами, шифрованием данных, помещением файла на карантин, его восстановлением. Схема работы с инцидентом при использовании Kaspersky EDR Optimum представлена на рисунке 6.

Рис. 6 – Схема работы с инцидентом

Проанализировав функциональные возможности EDR-решений от двух продуктов, становится ясно, что они являются модульными, содержат множество компонентов, которые можно добавлять и убирать в зависимости от потребностей организаций.

Данные решения включают в себя комплексность подхода к обеспечению защиты от киберугроз, использование новейших технологий, встроенный антивирусный компонент, удобство управления, автоматизацию основных процессов, а также возможность настройки компонентов «под себя». Однако EDR-решения являются лишь дополнительными модулями к основным инструментам и функционируют в связке с ними. Они предназначены для автоматизации рутинной деятельности ИБ-специалистов, своевременного обнаружения и оперативного реагирования на угрозы и атаки, комплексной защиты системы. Использование любого решения позволит вывести уровень информационной безопасности на новый уровень. Однако для выбора подходящего EDR-решения, организациям необходимо обращать внимание на ОС, совместимость с другими агентами в сети на выбранных машинах, возможность использования «песочницы», производительность рабочих станций при установке агента, удобство интерфейса продукта, визуализацию процессов, практики реагирования на инциденты, уровень обнаружения, возможность развертки на реальном или виртуальном оборудовании.

Заключение

Специалисты по кибербезопасности сталкиваются с огромной нагрузкой при борьбе с постоянным потоком угроз, направленных на организации. Значительная часть этой ежедневной работы связана с выполнением вручную рутинных задач, таких как исправление систем, просмотр журналов и обновление ПО. Несмотря на то что эти рутинные обязанности очень важны для обеспечения безопасности, они отнимают время и ресурсы, которые можно было бы потратить на анализ и реагирование на сложные угрозы.

Решение заключается в автоматизации. Инструментом, позволяющим обеспечить максимально автоматизированный рабочий процесс, является EDR-решение. Оно способствует автоматическому управлению обнаружением угроз, анализом и реагированием. На рынке продуктов существует достаточное количество поставщиков, предлагающих продукты, в которые входит компонент EDR. При его выборе в инфраструктуре компании существенно расширяются возможности по выявлению угроз, реагированию, расследованию инцидентов. В зависимости от поставленных целей компании могут выбирать EDR-решение, подходящее именно им, закрывающее их потребности. Платформы EDR позволяют контролировать конечные точки в сети, выявлять потенциальные угрозы с помощью поведенческой аналитики, анализировать подозрительные действия и даже инициировать ответные меры. Все это происходит автоматически, без вмешательства человека.

Надежное EDR-решение освобождает от аналитики и специалисты по безопасности освобождаются от рутинной работы. Это позволяет им сосредоточить свои знания и опыт на расследовании и устранении сложных инцидентов, реинжиниринге вредоносных программ и проактивном поиске уклоняющихся угроз. Они могут уделять больше времени оттачиванию своих навыков и разработке стратегий защиты более высокого уровня.

Автор статьи: Юлия Маслова, Специалист по ИБ центра мониторинга «Астрал. Безопасность».