Многие организации, как коммерческие так и государственные, в современных условиях сталкиваются с непростой проблемой: как избежать такой беды как целенаправленные атаки, которым периодически подвергается сетевая инфраструктура? Вся проблема в том, что угрозы, именующиеся таким образом – это не спонтанные нападки на систему, а целый ряд спланированных разноплановых проблем, организованных для компании мошенниками. Среди них и уникальные методы распространения вредоносного ПО, и уязвимости «нулевого дня» и другие известные в сети способы причинения ущерба. В последнее время все более популярными становятся варианты бесфайловых атак – и это действительно опасно для деятельности фирмы.

Варианты противодействия

Какая она, атака, признанная целенаправленной? Это почти всегда сюрприз для тех, кто занят обеспечением безопасности – нападение замечают вовремя в исключительных случаях. К слову, именно в этом и состоят цели царящей на рынке концепции современной безопасности. Ее обеспечивают, избегая превентивных мер – и это может дополняться рядом систем для детектирования:

• точечная вредоносная активность, которой могут противостоять простые антивирусы;
• ключевые уязвимости, сканируемые продуктами, представленными Tenable.

Но даже подобных мер часто недостаточно для гарантии безопасности – изобретательность мошенников не знает границ. Крайне важно позаботиться о компании, если разговор идет о современных атаках с непростыми сценариями, а также тактикой, которую можно назвать адаптивной.

Все точки, обеспечивающие доступ к работающей системе (это могут быть смартфоны, ПК, и пр.), также обязаны иметь защиту от неразрешенного доступа. Для преступников именно конечная точка становятся приоритетом. Это возможность проникнуть в систему, поскольку с полученным доступом, будь он реальным, физическим, или удаленным, к информации можно осуществить многое. Как решить эту проблему? Отчасти – начав разграничивать права доступа для каждого из пользователей.

Но и при соблюдении данных условий нельзя говорить о полной безопасности. Чтобы свести к минимуму саму возможность появления угроз, следует активно внедрять в процесс EDR.

EDR – с чем его едят?

EDR – это ПО, упрощающее выявление действий, вызывающих подозрения, в конечных точках, то есть в:

• гаджетах;
• ряде терминалов;
• устройствах, гарантирующих доступ в систему;
• станциях и пр.

ПО антивируса предоставляет возможность решения некоторых задач, среди которых – борьба с массовыми угрозами. У EDR-инструментов другое назначение – определение атак и целенаправленных угроз. То есть это достаточно узкое решение, необходимое для определения целенаправленных атак и сложных угроз. Традиционно используемое антивирусное ПО детектировать их не в состоянии. Но в крайности удариться не выйдет – выбрать одно не получится. Должную защиту может обеспечить только комплексный подход, а EDR такой задачи не решает, да и не призван этого делать.

Но обратный закон также действует: EPP заменить EDR не может. Это две различные технологии, которые нацелены на заботу о безопасности. При этом технологии эти не взаимозаменяемы и должны использоваться в комплексе.

Структура EDR не столь очевидна, как это порой кажется. Она сформирована из агентов, которые будут установлены на сервере, а также в конечных точках обеспечения доступа. Агент сможет осуществить проверку вредоносных процессов, а также действий пользователей. Он же способен передать данные в «облако» или на локальный сервер.

Серверный модуль EDR может просканировать всю имеющуюся информацию. Для этого применяются алгоритмы, выстроенные с использованием элементов машинного обучения. Решение в состоянии сопоставить всю информацию с БД IoC (индикаторов компрометации) и иными доступными вариантами. Если окажется выявленным событие с факторами, которые определяют инцидент, то сотрудники, задействованные в сфере обеспечения безопасности, тут же будет об этом оповещены.

Об основных возможностях EDR

ПО дает возможность решения обширного списка задач, среди которых:

• блокирование возможных атак;
• интеграция;
• определение активностей, вызывающих подозрение;
• фиксация данных.

Сбор данных с конечной точки

Интеграция с иными решениями в области защиты является крайне важным моментом – она позволяет обеспечить безопасность в организациях, где применяется порой самый странный набор ПО. Это могут быть не просто комплексы SIEM, но и иные программы, обеспечивающие защиту. Помимо этого, EDR в состоянии поместить в «карантин» каждый файл, рождающий подозрения, приостановить нехарактерный процесс и даже прервать соединение с сетью, тем самым пресекая все поползновения мошенников.

Определение вызывающей подозрения активности и ее классификация – это также инструмент обеспечения безопасности, и притом мощный. В решениях EDR имеются модули, которые уведомляют сотрудников, занятых в сфере безопасности. Поведение любого ПО и пользователей контролируется компонентами EDR. Это дает возможность своевременно обнаружить «не ту» учетную запись и ликвидировать ее. Помимо того, решения EDR используются в ситуациях, когда возможность доступа обеспечивается методами социнженерии. То есть функционал в этом случае не будет ограничен EPP.

Почему EDP лучше EPP

EPP защищает конечные точки. Данное ПО сегодня присутствует в большинстве компаний, оно дает возможность обеспечить защиту от большинства известных угроз. Своевременное обновление баз дает возможность исключить возможность возникновения неопределенных угроз. Хотя панацеи в этом случае нет. Основным недостатком EPP становится его неспособность обнаружения опасных активностей, которая не соответствует сигнатуре. И именно подобную проблему EPP решить не сможет. И в этой ситуации можно привести следующие примеры:

• вирусное ПО, которое не сохраняет в системе тела файлов;
• неизвестне прежде ПО, для которого отсутствуют подготовленные сигнатуры;
• доступ через пользовательские записи.

Какие решения популярны сегодня

В недавнем прошлом компания Gartner представила рейтинг наиболее популярных продуктов в номинации Peer Insights Customers’ Choice. Все представленные продукты по достоинству оценены целевой аудиторией – их активно используют, выстраивая систему безопасности.

SentinelOne

Антивирусы SentinelOne - это решение является важным и полезным для обеспечения всесторонней защиты. Оно было представлено на рынке в 2013 году и сегодня является лидером по мнению Gartner. Предлагается оперативный цикл разработки и отменный API. Основное преимущество – возможность дешифровки файла после того как произошла атака. Пока это единственная возможность осуществить что-то подобное, присутствующая у специалистов. Среди других преимуществ также можно выделить:

• эффективность развертывания;
• глубинная аналитика;
• кроссплатформенность.

Плюсы решения уже отметили многие – сегодня оно активно применяется в крупных компаниях всего мира.

Mcafee

Endpoint Threat Defense and Response от Mcafee – это оптимальный выбор для предпринимателей. Данный программный комплекс в состоянии серьезно облегчить работу специалистов, которые заняты в сфере обеспечения информационной безопасности. Актуальный технологии, современные инструменты и неусложненный интерфейс для администрирования – все это присутствует в Endpoint Protection от Malwarebytes. Плюсами в данном случае можно считать:

• централизованное администрирование;
• присутствующее ядро для ликвидации угроз;
• присутствующий алгоритм обмена данными между уровнями;
• ePolicy Orchestrator;
• простоту применения.

Помимо этого у Mcafee имеется набор инфо-панелей, которые позволяют оперативно обнаружить появившуюся угрозу или уязвимость. При этом пользователь практически не участвует в обеспечении безопасности – все происходит в автоматическом режиме.

Sophos

Intercept X от Sophos является программным продуктом, который сочетает в себе обширный функционал и возможность тонкой настройки механизма проверки. Основными плюсами использования решения специалистами признаются:

• функционал, способный объединить все потоки информации;
• система эффективного выявления угроз;
• алгоритм отслеживания следов атак;
• возможность ответа на действия вымогателей.

При использовании Sophos можно извлекать файлы с удаленных устройств, подвергая их анализу – и это крайне интересный вариант, облегчающий работу отделов безопасности.

Злоумышленники активно используют оборудование серверов и рабочие станции для того чтобы проникнуть в желанную систему. ПО ЕРР создавалось во времена, когда и угрозы были принципиально другими. Сегодня таких систем недостаточно для того, чтобы обеспечить полную безопасность – в результате в дополнение к ЕРР необходимо применять еще и решения EDR. Это позволит гарантировать безопасность инфраструктурам, несмотря на уровень их сложности.