Почему информационной безопасности нужен EDR? Улучшение защиты EPP

Предотвращения и блокировки недостаточно.
Решения Endpoint Protection (EPP) от ведущих поставщиков безопасности стали лучше. Современные EPP останавливают больше вредоносных программ и угроз, чем раньше. Часть производителей внедрили искусственный интеллект (AI), машинное обучение (ML) и адаптивную эвристику, которые выходят далеко за рамки статики.
Возможности инструментов EPP:

• Предварительное обнаружение.
• Блокировка в процессе выполнения и после завершения выполнения.
• Уменьшение ложноположительных срабатываний.
• Быстрые и точные обнаружения.
• Отчетность по обнаружению и причинам угроз.
  

EPP имеет ограничения, которые нужно учитывать.

Cлабые места EPP .
Профилактика нарушений через обнаружение и блокировку – труднодостижимая цель. 100%-ная безопасность невозможна. Безфайловые атаки и эксплойты браузера не предлагают никаких элементов блокировки файлов. А продвинутые (многовекторные) атаки крайне сложно предотвратить. Многие из этих атак могут быть обнаружены только в процессе или после него.
Ограничения EPP:

• EPP-детектирование срабатывает, когда вредоносная программа достигнет частичного или полного успеха. Жертва будет скомпрометирована прежде, чем атака будет заблокирована.
• Пропущенные соединения из-за генерации предупреждений EPP без общих потоков. Аналитики не смогут увидеть целостные инциденты или цепочки связанных событий.
• В случае блокировки вредоносного ПО аналитики не смогут узнать степень нарушения – есть ли угрозы для других машин, требуется ли очистка системы и т. д.
  

Зачем вам нужен в вашем EDR защитном стеке?
Закрыть бреши в системе безопасности.
Защита конечных точек необходима для обеспечения соответствия нормативным требованиям, защиты от вредоносных программ и коммерческих угроз. Этого недостаточно для защиты от изощренных или целенаправленных атак. Если под угрозой находится значительная интеллектуальная собственность, PII/PHI, клиентские или финансовые данные, то необходимо EDR.

Недостаточная защита от продвинутых угроз.
Одна защита конечных точек обеспечивает недостаточную безопасность от современных угроз. Сложные атаки часто начинаются с обычных индикаторов активности – открытия документа, установления удаленного соединения, загрузки ресурса из Интернета. Лишь позже проявляется подозрительное или вредоносное поведение.

Отсутствие возможности сортировки сигналов тревоги и реагирования на них.
Endpoint Protection генерирует предупреждения, но не видит каждый элемент атаки. EPP удаляет идентифицированные вредоносные файлы. Но вам может потребоваться расследование угроз для корректирующих мер.

Медленная реакция на нарушения после обнаружения.
EPP обнаруживает ранние признаки атаки и не проводит подробную оценку угрозы, поэтому не видит разницы между "злонамеренными" и "доброкачественными" действиями. Пользователь может заметить неправильное поведение компьютера, сетевой инженер может увидеть необычные закономерности в трафике или скачки данных, но никаких подробностей о причинах EPP не предоставит.

Неспособность определить первопричины и предотвратить повторные атаки.
EPP что-то заблокировало. Можете ли вы быть уверены, что вся атака была предотвращена или только один ее аспект? Другая часть атаки могла уклониться от обнаружения. Где точка входа? Как перекрыть путь, чтобы угроза не повторилась? Ответов от EPP не будет.

Отсутствие наглядности в отношении TTPs/IOCs, используемых в рамках всей организации.
Было ли это одноразовое событие или стало системным для многих машин предприятия? Это первая атака или такое уже случалось? Продолжается ли атака на другие машины? Можете ли вы взять один индикатор атаки и искать его по всей системе? EPP с этим не поможет.

Никаких рекомендаций по проактивному улучшению положения в области безопасности.
Как вы можете улучшить свое положение в области безопасности и укрепить свою защиту от будущих вторжений? Чтобы определить неправильные настройки операционной системы, уязвимости приложений и поведенческие факторы, вам нужно будет обращаться к другим инструментам. С EDR вы отследите прогресс и улучшите защиту компании.


EDR бизнес-факторы
Вам требуется EDR, если:

• Вы не можете обеспечить защиту от продвинутых атак, при которых злоумышленники могут остаться в ваших системах.
• Вы не можете остановить подозрительную деятельность или изолировать зараженные машины, как только заметите возможные нарушения.
• Вам не хватает оперативных данных для принятия мер или советов, что делать в случае выявленного нарушения.
• Вам не хватает централизованной базы данных об угрозах для анализа атак и устранения их последствий в различных системах.
• Вы не знаете о системных рисках или о том, как превентивно улучшить положение с безопасностью.
  

Про автономный EDR
EDR обеспечивает обнаружение и реагирование на конечных точках и стои́т отдельно, но неотъемлемо от Endpoint Protection (защиты конечных точек). Рассмотрим эти два решения как тандемную защиту от самых жестких атак. Вы можете сохранить вашу текущую EPP и добавить необходимую защиту EDR.
Все решения EPP имеют свои плюсы и минусы и предполагают компромиссы.

Какое утверждение лучше всего описывает вашу ситуацию с EPP?

1. Я доволен своим решением EPP, но признаю его ограничения с точки зрения расследования и исправления.
2. Я недоволен текущим решением EPP, но у меня есть время на существующий контракт.
3. Я равнодушен к моему текущему решению EPP.
   

Дальше мы разберем, почему автономное решение EDR – самое простое, экономичное и значительное обновление стека безопасности.


Смысл автономного EDR
Автономный EDR рассматривается как ценное дополнение EPP в следующих обстоятельствах:

• Аналитики по безопасности не видят подозрительной и вредоносной активности на конечных точках и в сети.
• Существующему решению EPP не хватает простых и удобных опций для добавления EDR, EDR+EPP или MDR, доставляемых в облако.
• Необходимость в обнаружении инцидентов и создании отчетов об инцидентах, совместимых с существующим решением EPP.
• Поиск облачной платформы реагирования на инциденты с тонким и легким агентом для развертывания и управления.
• Желание упростить пошаговые рабочие процессы для криминалистической экспертизы угроз и восстановления конечной точки.
  

Bitdefender Endpoint Detection and Response (EDR)
Bitdefender Endpoint Detection and Response, предоставляет комбинацию детективных, следственных и компенсационных средств контроля безопасности. Благодаря превентивной системе наши клиенты видят «дальше» типичных предупреждений.
Bitdefender EDR:

• Обеспечивает более высокую видимость сбора и корреляции.
• Предоставляет полную информацию об угрозах.
• Использует аналитику и автоматизацию для обнаружения подозрительных событий.
  

Видимость противника TTP.
Традиционным продуктам не хватает видимости тактики, методов и процедур, используемых для атак на их системы. Кроме того, они не дают советов по исправлению ситуации и не предоставляют инструменты, необходимые для реагирования на атаки.
Bitdefender Endpoint Detection and Response предоставляет расширенные возможности обнаружения атак и реагирования на них, которые нельзя получить с обычными инструментами Endpoint Security.

Техники MITRE ATT&CK.
Использование сопоставления с мировым стандартом отрасли безопасности для просмотра обнаруженных событий и отдельных предупреждений для каждого этапа нападения, в том числе:

• Выполнение.
• Персистентность.
• Эскалация привилегий.
• Уклонение от защиты.
• Обнаружение доступа с правами доступа.
• Боковое перемещение сбор управление.
• Эксфильтрация.
  

При объединении с другими инструментами, сопоставимыми с MITRE ATT&CK, видна полная картина атаки с охватом "пробелов" для устранения.

Поиск и корреляция IOC / IOA.
Какие сигналы искать, чтобы узнать, была ли машина атакована или заражена? Команды InfoSec могут запросить индивидуальные Индикаторы атаки (IOA) и Индикаторы компрометации (IOC) по всей организации для поиска скомпрометированных машин, которые могут не создавать внешних признаков взлома как для своих пользователей, так и для администраторов безопасности.

Полная визуализация атаки с анализом корневой причины.
Пошаговая последовательность событий от начального вектора почтовой атаки до заражения первого клиента, эскалации привилегий, обнаружения, бокового движения, сбора данных, эксфильтрации.

Предотвращение повторения нападений.
Изучите пути, по которым проходили успешные (и частично успешные) атаки. Выделите способы закрытия этих точек входа и доступа для повторяющихся атак такого же или похожего характера в будущем.

Интеллектуальная сортировка и снижение операционной нагрузки.
EDR помогает командам InfoSec быстро выявлять и расставлять приоритеты инцидентов для целенаправленного внимания и устранения. Часто с одним щелчком мыши для уничтожения подозрительных процессов, вредоносных файлов в карантине, доменов злоумышленников в черных списках и т. д.

Помогает закрыть пробелы в навыках кибербезопасности.
EDR помогает организациям в устранении пробелов в навыках кибербезопасности с помощью простых, встроенных процессов для реагирования на угрозы безопасности, прекращения атак и устранения нанесенного ущерба. Визуализации угроз фокусируют исследования на понимании сложных обнаружений, выявлении всех причин атак и максимизации способности клиента реагировать на них.

Управление и снижение организационного риска.
Технология EDR от Bitdefender помогает клиентам оценить и свести к минимуму общий организационный риск в области системных ошибок, уязвимостей приложений и человеческих рисков. EDR покажет командам InfoSec, где именно возникают риски, а также поможет расставить приоритеты задач для быстрого снижения рисков.



EDR или SIEM Tools: сравнение
EDR оптимизирован для работы в средних группах специалистов по безопасности. Он занимает «золотую середину» между защитой конечных точек и реализованной системой управления информацией о безопасности и событиями (SIEM).

Инструменты SIEM.
SIEM-системы играют ценную роль на крупных предприятиях, но они дороги и нуждаются в постоянном обслуживании из-за чего плохо подходят для малого и среднего бизнеса.
Как правило, инструменты SIEM фокусируются на конкретных предупреждениях, дискретных событиях или показателях. Они не предназначены для поддержки полноценных инцидентов, атак, вредоносных кампаний или причинно-следственных связей, прогрессий, взаимосвязей между событиями.
Они предоставляют аналитикам возможность делать выводы о данных. Визуализации данных, которые позволяют установить взаимосвязь между инцидентами, должны строиться вручную, что приводит к широкой вариативности результатов в разных командах.
SIEM-системы агрегируют результаты односторонних потоков данных без возврата к исходным системам. Никаких обновлений и прямых действий изнутри инструмента SIEM для выполнения исправления не может быть выполнено.
Новые события просто размещаются поверх старых. Это обеспечивает опытных аналитиков богатой необработанной информацией для поиска, корреляции и составления выводов.

Системы EDR.
Они предназначены для обнаружения инцидентов и реагирования на них. EDR автоматически повышает уровень отдельных предупреждений в комплексные инциденты, показывая причинно-следственные связи на всех этапах атаки.
Затем EDR расследует и устраняет неисправности почти немедленным принятием мер с консоли. Функция предназначена "для каждого": она упрощает обнаружение и реагирование для средних команд InfoSec, возможно не обладающих высокой квалификацией.
При этом EDR остается инструментом, который предоставит много новой информации для продвинутых команд.

Endpoint Detection and Response (EDR)	Security Information & Event Management (SIEM)
Предназначен для отображения инцидентов безопасности конечных точек	Агрегирует общие события безопасности и журналы.
Двунаправленные потоки данных возвращаются в исходную систему.	Односторонние потоки данных поступают только из исходной системы.
Готовые информационные панели быстрого реагирования системы безопасности	Аналитики должны строить свои собственные информационные панели.
Визуализации цепочки атак с четкой причинно-следственной связью	Нет встроенных визуализаций цепочки атак
Автоматизированная сортировка и приоритезация происшествий	Степень тяжести события подлежит интерпретации аналитиком
Технологии и рекомендации по реагированию на угрозы безопасности	Аналитик определяет шаги и последовательность реакции
Оптимизирован для специалистов по безопасности в небольших группах.	Лучше всего подходит для специалистов по безопасности в больших командах

Почему EDR – лучший выбор
EDR является отличным выбором для обнаружения и реагирования со стороны специалистов по безопасности в командах InfoSec крупного и среднего размера на малых и средних предприятиях, в то время как SIEM поддерживает границу для чистого расследования "больших данных" и корреляции сигналов тревоги по многочисленным источникам входных данных для больших команд высококвалифицированных специалистов по безопасности.

• EDR основывается на инцидентах, а не на оповещениях, выравнивая связанные с ними события во всестороннем видении.
• EDR содержит готовые к использованию инструментальные панели, ориентированные на обеспечение безопасности и способствующие быстрому реагированию на инциденты.
• Специалисты по реагированию на инциденты могут выполнять простые действия по устранению неисправностей непосредственно из консоли EDR.
• Аналитики могут выполнять соответствующие запросы и проводить корреляцию между IOCs и IOAs в рамках всего предприятия.
• Команды безопасности могут выполнять анализ первопричин, используя четкую визуализацию цепочки атак.
• Администраторы могут измерять и снижать системные риски для операционных систем, приложений и человеческих факторов.
• Специалисты по реагированию на инциденты могут быстро сортировать и расставлять приоритеты предупреждений, а затем следовать четким инструкциям по устранению последствий.
  

За рамками EDR
Endpoint Protection необходима для сертификации на соответствие требованиям, а также для защиты от традиционных атак, но имеет встроенные ограничения.
Система обнаружения конечных точек и реагирования на них гораздо лучше подходит для обработки сложных многоступенчатых многовекторных атак, которые специально разработаны для того, чтобы уклониться от передовых средств защиты.
Для бизнес-лидеров, сосредоточенных на результатах безопасности, а не на инструментах, Managed Detection and Response (MDR) гарантирует получение максимальной отдачи от вашего стека безопасности с оптимальным анализом и ответными действиями, выполняемыми обученными экспертами по безопасности, работающими круглосуточно из специализированного Security Operations Center (SOC).


Что будет дальше?
Обнаружение сети и ответные меры (NDR) выводит EDR на новый уровень, используя анализ сетевого трафика, генерируемый традиционными конечными точками, а также устройствами IoT для создания полной картины текущей угрозы.
Кроме того, расширенное обнаружение и реагирование (XDR) автоматически собирает и сопоставляет данные по нескольким средствам контроля безопасности предприятия – электронной почте, конечным устройствам, серверам, "облачным" рабочим нагрузкам и сети.
Таким образом, угрозы могут быть обнаружены быстрее, а аналитики по безопасности могут сократить время на проведение расследований и ускорить реагирование по всем средствам контроля безопасности.
Этот унифицированный комплекс приложений безопасности обеспечивает полный обзор моделей данных и событий в сетях, облаках, конечных точках и приложениях, применяя аналитику и автоматизацию для обнаружения, анализа, поиска и устранения современных угроз по всему предприятию. Именно здесь на очереди – портфель решений безопасности Bitdefender.

Закажите бесплатный пилотный проект EDR для вашей компании с полным сопровождением в Bitdefender.