Endpoint Detection and Response (EDR)

Это технология защиты конечных точек. Разработанные на её основе решения предназначены для обнаружения киберугроз и реагирования на них в режиме реального времени.

    • Принцип работы EDR

      В архитектуру всех решений (систем и платформ) EDR включены компоненты:

      • мониторинг сетевой активности;
      • агент;
      • фреймворк с базовым функционалом, выступающий в качестве ядра системы;
      • фильтр файловой системы, работающий с запросами ввода-вывода, защитой компонентов и мониторингом доступа к системному реестру;
      • библиотека динамической компоновки.

    • Сбор данных

      С помощью агента, в роли которого выступает небольшое приложение, осуществляется сбор данных со всех конечных точек (ноутбуков, планшетов, смартфонов, персональных компьютеров и серверов). Оно запускается на устройствах и собирает с них данные (даже без подключения к интернету).

      Агент собирает с конечных точек важную для безопасности телеметрию:

      • выполняемые процессы;
      • случаи использования съёмных носителей информации;
      • подключенные серверы;
      • файлы, к которым осуществляется доступ;
      • учётные записи пользователей, в том числе и удалённых сотрудников;
      • внешние и локальные адреса, которые подключались к хосту;
      • созданные файлы, в том числе архивные папки;
      • случаи использования административных возможностей внесения изменений в исполняемые файлы и ключи ASP;
      • другая информация, полезная для обнаружения киберугрозы и проведения расследования в случае состоявшейся атаки.

    • Обнаружение и реагирование на угрозу

      Происходит автоматически в режиме реального времени двумя способами. Первый применяется для обнаружения уже известных угроз, а второй для неизвестных.

      В первом случае специалисты по информационной безопасности (далее — ИБ) осуществляют сбор индикаторов компрометации, чтобы получить уникальный след вредоносного программного обеспечения (вроде отпечатка пальца). Далее решение EDR по этим отпечаткам блокирует злоумышленникам доступ в ИТ-инфраструктуру.

      Во втором случае обнаружение угроз (неизвестных ранее) осуществляется при помощи специализированных алгоритмов, которые находят общие черты поведения с уже известными угрозами.

      Ни одно решение EDR не остановит 100% атак. Но, собирая большое количество важной для ИТ-безопасности информации, оно помогает специалистам ИБ понять, насколько успешными были атаки и как изменить свой подход, чтобы гарантировать их обнаружение и блокировку в будущем. Оно также позволяет им вручную принимать меры для снижения риска вторжения, заранее исследуя все конечные точки на наличие новой угрозы, которая ещё не обнаружена автоматически.

    • Интеграция и создание отчётности

      EDR интегрируется со всеми существующими возможностями ИБ и передаёт дополнительные телеметрические данные на платформы управления: SIEM для обнаружения угроз, SOAR для реагирования на инциденты, или XDR.

      Поскольку специалист ИБ часто перегружен оповещениями, интеграция EDR в существующий рабочий процесс позволяет расставлять приоритеты в инцидентах, которые нуждаются в срочном рассмотрении, и показывать всю потенциально значимую информацию в интуитивно понятном интерфейсе.

      Также EDR предоставляет отчёты, как об эффективности среднего времени реагирования на атаки, так и о соблюдении нормативных требований.

    • Достоинства и возможности

      EDR может:

      • выявлять подозрительные события и реагировать на них в режиме реального времени;
      • интегрироваться с другими решениями ИБ;
      • собирать и предоставлять криминалистическую информацию об инцидентах;
      • использовать белые и чёрные списки;
      • осуществлять непрерывный сбор данных об уникальных следах злоумышленников;
      • осуществлять централизованную настройку агента;
      • хранить информацию о событиях в конечных точках;
      • проводить мониторинг конечных точек;
      • одновременно выполнять действия в разных системах;
      • вести журналы событий ИБ;
      • исправлять последствия вторжений путём отката конечного устройства до первоначального безопасного состояния;
      • оптимизировать видимость всей ИТ-инфраструктуры.

      Достоинствами EDR являются:

      • проведение непрерывного мониторинга конечных точек, что даёт возможность обнаружить киберугрозы не только извне, но и изнутри корпоративной среды со стороны сотрудников компании (например: кража информации, майнинг);
      • запись большого количества информации о сетевой активности;
      • совместимость с другими продуктами информационной защиты для выполнения расширенного списка задач (например, интеграции с песочницей для обнаружения спящих киберугроз);
      • применение возможностей искусственного интеллекта для мониторинга, обнаружения и предотвращения кибервторжений;
      • поиск ещё не обнаруженных угроз;
      • обеспечение безопасности конечных устройств сотрудников, работающих в удалённом режиме;
      • детализация политик обработки USB-носителей.

    • Внедрение EDR

      Существуют два варианта работы с EDR: через провайдера сервисов EDR или самостоятельное развёртывание в уже существующей корпоративной ИТ-инфраструктуре.

      В первом случае вся работа передаётся на аутсорсинг провайдеру сервисов EDR. Для организаций небольших размеров, в штате которых нет работающих специалистов ИБ, такой вариант может быть наиболее экономически целесообразным.

      Во втором случае компания приобретает платформу EDR, внедряет её в корпоративную ИТ-инфраструктуру. Управление ею берёт на себя служба ИБ или компетентные специалисты, работающие в ИТ-департаменте компании. Так вся обрабатываемая информация остаётся внутри организации.

    • Выбор EDR

      Современная система безопасности конечных точек должна облегчать рабочую нагрузку специалистов ИБ и в то же время быть простой в использовании. Вот чего должны достичь современные и эффективные решения EDR:

      • Обнаружение в режиме реального времени. Скорость кибератак растет. Кибератаки, которые раньше длились часами, теперь могут произойти за считанные минуты. Полностью автоматизированная защита конечных точек, включающая функции искусственного интеллекта и машинного обучения и максимально не требующая вмешательства человека, гарантирует возможность обнаруживать и блокировать угрозы в режиме реального времени.
      • Сокращение MTTR (среднего времени реагирования). Быстрое выявление угрозы и наличие инструментов управляемых исправлений, помогают специалистам ИБ эффективно реагировать на вредоносное программное обеспечение и устранять угрозы одним щелчком мыши.
      • Снижение усталости от оповещений. Количество оповещений безопасности растёт вместе с увеличением количества конечных точек, атак и данных. Приняв инновационные и продвинутые инструменты, использующие алгоритмическое принятие решений, можно удалить большую часть ложноположительных оповещений. Это позволяет специалистам ИБ сосредоточиться на расследованиях более высокого уровня и реальных оповещениях.
      • Снижение порога входа. Учитывая продолжающуюся нехватку сотрудников службы безопасности, малое количество времени на их обучение и внедрение в рабочий процесс, специалисты ИБ могут развернуть автоматизированное решение, которое обеспечивает интуитивно понятный единый пользовательский интерфейс. Таким образом, даже начинающие специалисты смогут быстро понять тактику и методы злоумышленников. Эффективное программное обеспечение EDR должно быть одновременно мощным и простым в использовании.

    • Российские решения EDR

      На отечественном ИТ-рынке представлены следующие разработки класса EDR:

Спасибо за обращение!
Мы скоро с Вами свяжемся.

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и рассчитаем стоимость выполнения