Обзор EDR-систем на российском рынке

1809
Обзор EDR-систем на российском рынке


Ландшафт киберугроз стремительно меняется. Классические сигнатурные антивирусы и даже привычные системы обнаружения вторжений (СОВ) на сетевом уровне перестали быть достаточной мерой. Злоумышленники всё чаще используют легитимное ПО, методы «living off the land» и сложные многоступенчатые атаки, которые невозможно выявить без анализа поведения на конечной точке.

Именно здесь на первый план выходят EDR (Endpoint Detection and Response) — системы обнаружения и реагирования на уровне узла. В отличие от традиционных средств, EDR собирает телеметрию с рабочих станций и серверов, анализирует цепочки процессов и позволяет оперативно расследовать инциденты.

Для российских организаций, в том числе государственных и эксплуатирующих объекты КИИ, EDR-системы рассматриваются не как формально обязательное средство защиты, а как практический инструмент повышения эффективности обнаружения, анализа и реагирования на компьютерные атаки и инциденты. Их применение позволяет усилить защиту конечных устройств, повысить оперативность реагирования, обеспечить более детальную телеметрию и упростить выполнение отдельных организационно-технических мер защиты информации, предусмотренных нормативными и методическими документами ФСТЭК России.

Ключевым документом, определяющим «что и как делать», стал данным Anti-Malware.ru со ссылкой на исследование Kaspersky, EDR входит в тройку наиболее востребованных классов решений для SOC наряду с Threat Intelligence и SIEM: его назвали 42% респондентов. Отдельно  ГК «Солар» сообщает, что удовлетворённость отечественными EDR-системами достигает 83% среди компаний, имеющих опыт работы с такими решениями. Российские организации больше не воспринимают EDR как эксперимент — теперь это базовый рабочий элемент системы безопасности.

Современный EDR собирает подробную телеметрию с конечных точек, помогает выявлять угрозы, которые прошли мимо EPP (Endpoint Protection Platform, позволяющего автоматически блокировать угрозы снаружи защищаемого периметра), и поддерживает ретроспективный анализ инцидентов. На практике это три базовые функции: видимость событий на хосте, расследование цепочки атаки и быстрое реагирование — изоляция узла, остановка процесса или запуск сценария ответа.

Почему EDR — эффективная мера, а не «опция»

Методический документ ФСТЭК детализирует конкретные меры защиты информации (раздел IV), реализация которых может обеспечиваться разными техническими средствами. При этом EDR-системы являются одним из наиболее эффективных инструментов для практического выполнения мер. Ниже — прямые отсылки к нормативной базе.

Мера ЗКУ.3 «Антивирусная защита и обнаружение и предотвращение вторжений на конечных устройствах»

Усиление (для классов К2, К1):

«На конечных устройствах… должны обеспечиваться обнаружение вторжений (компьютерных атак) и реагирование на них с использованием систем обнаружения вторжений уровня узла и (или) средств обнаружения и реагирования на уровне узла».

Роль EDR. Термин «средства обнаружения и реагирования на уровне узла» — это прямое описание класса EDR. Документ предписывает использовать EDR для обнаружения и реагирования на вторжения.

Мера ЗКУ.4 «Мониторинг процессов и состояния устройства»

Требование к реализации: должен обеспечиваться мониторинг процессов и состояния конечных устройств, включающий отслеживание следующих процессов и состояний:

    • запуска (завершения) программ и процессов, связанных с обработкой защищаемой информации;
    • выполнения процессов с высоким уровнем привилегий, скрытых процессов и системных служб;
    • выполнения команд в интерпретаторе командной строки;
    • попыток доступа к защищаемым объектам доступа;
    • попытки идентификации и аутентификации пользователей конечных устройств;
    • попытки удаленного доступа;
    • подключение внешних устройств с использованием интерфейсов ввода-вывода;
    • попытки осуществления беспроводного доступа;
    • изменение программной конфигурации конечного устройства.

 

Усиление (не обязательное, но как требование к усилению в документе выделено и может потребоваться в определенных ИС):

«При осуществлении мониторинга процессов и состояния конечных устройств должны выявляться аномалии в действиях пользователей и выполнении процессов конечных устройств».

Роль EDR. Классический антивирус или SIEM как сборщик логов не способен выявить аномалию, когда, например, процесс winword.exe неожиданно запускает powershell.exe с определёнными аргументами и устанавливает сетевые соединения. EDR предназначен именно для поведенческого анализа и обнаружения таких аномалий. Без него невозможно доказать регулятору выполнение требования об «анализе аномалий» на конечных точках.

Мера ЗКУ.6 «Анализ и реагирование на события безопасности»

Требование к реализации: должен выполняться анализ зарегистрированных событий безопасности, по результатам анализа должно осуществляться реагирование на выявленные компьютерные инциденты.
Усиление (для классов К2, К1):

«Реагирование на выявленные признаки компьютерных инцидентов должно включать отправку уведомлений администратору безопасности информационной системы».

Роль EDR. Речь идёт о функциях активного реагирования (Response). EDR позволяет не просто зафиксировать инцидент, но и в автоматическом или ручном режиме изолировать заражённый хост от сети и обеспечить дальнейшую обработку инцидента. Это прямое требование усиления меры ЗКУ.6.

Мера РСБ.1 «Определение событий безопасности»

Требование к реализации: В информационной системе должен быть определен перечень программных, программно-аппаратных средств, средств защиты информации, которые обеспечивают возможность регистрации событий безопасности:

    • вход (выход), а также попытки входа субъектов доступа в информационную систему;
    • подключение машинных носителей информации и вывод информации на носители информации;
    • запуск (завершение) программ и процессов, связанных с обработкой защищаемой информации;
    • попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, каталогам, файлам, записям, полям записей) и иным объектам доступа;
    • попытки удаленного доступа;
    • события, регистрируемые средствами защиты информации.

 

Усиление (для классов К3, К2, К1):

«В информационной системе обеспечивается запись дополнительной информации о событиях безопасности, включающая запись привилегированных команд».

Роль EDR. Только EDR-агент может детально зафиксировать, какие именно команды выполнял привилегированный пользователь в командной строке. Штатные журналы Windows такой глубины не дают.

Что отличает российский рынок EDR

Наиболее заметные особенности российского сегмента сегодня такие:

    • Поддержка российских ОС. Positive Technologies заявляет поддержку Astra Linux Special Edition 1.8, РЕД ОС 8.0, «Альт Рабочая станция» 10.2 и «Альт Сервер» 9. F6 указывает поддержку отечественных ОС. BI.ZONE отдельно подчёркивает совместимость с Astra Linux, РЕД ОС 8 и ОС «Альт».
    • Сочетание продуктовой и сервисной моделей. BI.ZONE вывела on-prem-версию EDR для самостоятельной эксплуатации, а Solar предлагает EDR как дополнение к MDR/SOC-сервису.
    • Фокус на Linux и контейнеры. BI.ZONE развивает видимость в контейнерных средах, а F6 и Positive Technologies усиливают кроссплатформенность и сценарии реагирования в Linux.
    • Регуляторная применимость. Kaspersky EDR Expert, MaxPatrol EDR и BI.ZONE EDR имеют сертификаты соответствия ФСТЭК, что позволяет применять их в государственных информационных системах и на объектах критической информационной инфраструктуры.

 

Обзор российских EDR-систем

С учётом требований к сертификации ФСТЭК и необходимости работать на российских ОС, на рынке сформировалось несколько зрелых продуктов.

Kaspersky EDR Expert

Вендор: «Лаборатория Касперского». Статус: де-факто стандарт; сертификат ФСТЭК как средства обнаружения вторжений уровня узла 4 класса защиты.

Kaspersky EDR Expert делает ставку на единый агент, непрерывный мониторинг, расследование и централизованное реагирование. На официальной странице продукта указаны обнаружение по IoC, IoA и YARA, ретроспективный анализ, сопоставление с MITRE ATT&CK и доступ к Kaspersky Threat Intelligence. Отдельно отмечается возможность «отката» изменений после атаки (rollback) и глубокая интеграция с Kaspersky Sandbox и Anti Targeted Attack Platform.

Решение логично смотрится там, где у заказчика уже выстроен зрелый процесс расследования и нужна тесная связка с экосистемой Kaspersky.

Соответствие Методическому документу: идеально закрывает меры ЗКУ.4 (мониторинг процессов) и анализа событий безопасности на конечных устройствах ЗКУ.6.

MaxPatrol EDR

Вендор: Positive Technologies. Статус: сертификация ФСТЭК по 4-му уровню доверия.

MaxPatrol EDR строится вокруг поведенческого анализа и сценариев быстрого реагирования. Компания указывает использование корреляционного движка, YARA-правил и проверок файлов по IoC. В версии 7.2 расширены поддержка российских ОС, возможности изоляции Linux-узлов, ETW-трассировки для Windows и удалённого реагирования.

Сильные стороны — экосистемный подход (корреляция с MaxPatrol SIEM и PT Sandbox), фокус на выявление целевых атак (APT) и визуальный конструктор расследований с графом атаки. Сертификация по 4-му уровню доверия ФСТЭК делает продукт заметным вариантом для госсектора, финансовых организаций, промышленности и субъектов КИИ.

Соответствие Методическому документу: силён в анализе аномалий (усиление ЗКУ.4) и расследовании сложных инцидентов.

BI.ZONE EDR

Вендор: BI.ZONE (группа Сбера). Статус: в декабре 2025 года получил сертификат ФСТЭК России.

BI.ZONE EDR позиционируется как система раннего выявления сложных атак с полным сбором активности на конечной точке, threat hunting, обнаружением небезопасных конфигураций и ручным либо автоматическим реагированием. Среди сильных сторон — агенты для Windows, Linux и macOS, on-prem-модель, работа в контейнерных средах и развитие продукта в сторону deception и AI-ассистента. Отдельно отмечается ставка на автоматизацию реагирования (SOAR-функциональность внутри EDR) и опора на пул данных об угрозах из опыта защиты экосистемы Сбера.

Соответствие Методическому документу: один из оптимальных вариантов для закрытия ЗКУ.3 и усиления ЗКУ.6 в части отправки уведомлений администратору безопасности информационной системы при реагирование на выявленные признаки компьютерных инцидентов.

F6 EDR

Вендор: F6. Статус: развивается и как самостоятельный продукт, и как основа для Managed XDR.

На официальной странице заявлены раннее выявление вредоносной активности, сбор телеметрии, быстрая изоляция заражённого хоста, облачное и on-prem-развёртывание, поддержка Windows, macOS, Linux и отечественных ОС. В релизе F6 EDR 3.0 отдельно отмечены protector-модуль, не позволяющий удалить агент даже с высокими привилегиями, и расширенный сбор телеметрии без заметного влияния на производительность. Это делает продукт интересным для компаний, которым нужна практичная защита конечных точек с опорой на сервисную экспертизу вендора.

Соответствие Методическому документу: закрывает ЗКУ.3 и ЗКУ.6 за счёт связки обнаружения и быстрой изоляции хоста.

Solar EDR (ГК «Солар»)

Вендор: ГК «Солар» (Ростелеком). Статус: поставляется как компонент экосистемы Solar (Solar JSOC, Solar MSS).

Solar делает ставку на сервисную модель: EDR предлагается как дополнение к MDR/SOC-сервисам, где мониторинг и реагирование передаются внешней команде аналитиков. В агенте сочетаются функции EDR, NTA и HIDS, предусмотрены инструменты для threat hunting. Такая модель удобна организациям, у которых нет собственного зрелого SOC, но есть требование к круглосуточному мониторингу и реагированию.

Соответствие Методическому документу: обеспечивает запись привилегированных команд (усиление РСБ.1) и контроль целостности ПО.

На что смотреть при выборе

Несмотря на принадлежность средств защиты к одному классу решений, итоговый набор закрываемых ими мер будет различаться. Поэтому конкретный продукт стоит подбирать строго на основании собственной архитектуры, функциональных возможностей средства и предъявляемых к системе защиты требований. При выборе EDR на российском рынке стоит оценивать не только качество детектирования, но и прикладную пригодность решения:

    • Какие ОС реально поддерживаются: только Windows или также Linux, контейнеры и отечественные дистрибутивы.
    • Нужен ли продукт в контуре заказчика (on-prem) или сервисная модель через MDR/SOC.
    • Есть ли встроенные сценарии реагирования: изоляция, остановка процессов, завершение сессий, запуск скриптов.
    • Насколько EDR интегрируется с SIEM, threat intelligence, XDR и процессами threat hunting.
    • Подходит ли решение для регулируемой среды, если речь идёт о ГИС, КИИ, финансовом секторе или инфраструктуре с обязательными требованиями к СЗИ.

 

Вывод: без EDR — никуда

Методический документ ФСТЭК от 12 апреля 2026 года не вводит прямой обязанности использовать именно EDR как отдельный класс средств, однако фиксирует набор задач, которые на практике наиболее полно закрываются такими решениями. Речь идёт прежде всего о мониторинге процессов на конечных устройствах, анализе событий безопасности, расследовании инцидентов и, при необходимости, расширенных сценариях реагирования на узле.

Российский рынок EDR уже сформировался и полностью импортонезависим: в нём есть как продуктовые решения для самостоятельной эксплуатации (Kaspersky EDR Expert, MaxPatrol EDR, BI.ZONE EDR, F6 EDR), так и сервисные модели для тех, кто хочет получить мониторинг и реагирование «под ключ» (Solar). Выбор конкретного решения зависит от используемой ОС, бюджета и наличия собственного SOC, но сам факт наличия EDR становится обязательным атрибутом зрелой системы защиты информации в 2026 году.

Сегодня EDR в России выбирают уже не по факту наличия функций, а по архитектурной совместимости, глубине телеметрии, зрелости реагирования и готовности работать в смешанной инфраструктуре с Windows, Linux, контейнерами и отечественными ОС.

EDR обзор PT СЗИ
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
MAX
MAX
[ confession.log ]
Не спрашивайте, почему
мы в MAX
Мы и сами не гордимся. Но раз уж вы здесь —
$ whoami
securitylab
$ reason?
unknown
Смотреть →
реклама

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.