Выбор EDR-решения (Endpoint Detection and Response) — всегда непростая задача для компаний. Необходимо удостовериться, что софт будет гибким и масштабируемым, сможет обеспечить высокий уровень защиты, будет простым в развертывании и управлении, а также хорошо впишется в уже существующую инфраструктуру. Цена решения также играет не последнюю роль.
Существует и еще одно, менее очевидное препятствие — EDR-решений слишком много. Компании не просто ищут рандомный продукт для защиты конечных точек — им нужен софт, имеющий наилучшее соотношение цена-качество и закрывающий конкретные потребности.
Чтобы помочь разобраться и разложить все по полочкам, мы подготовили статью, посвященную поиску оптимального решения EDR с учетом показателя возврата инвестиций (Return on Investment, ROI).
Давайте разбираться, как не потеряться в разнообразии продуктов.
Новые вызовы
Современный рынок представляют, по меньшей мере, тридцать вендоров. В портфолио каждого — самые актуальные EPP, EDR, XDR и другие решения.
Ландшафт информационных технологий (ИТ) претерпел значительные изменения. Эндпоинт (компьютер или рабочая станция) стал одной из самых уязвимых точек атак, которая может находиться вне корпоративных систем безопасности. Разнообразие устройств, от настольных компьютеров до мобильных устройств с разными операционными системами, усложнило традиционные стратегии защиты конечных точек. Кроме того, кибербезопасность быстро развивается как с точки зрения угроз, так и с экономической стороны. Злоумышленники постоянно изобретают новые методы обхода защиты. Для производителей специализированных решений в области кибербезопасности важно иметь солидную клиентскую базу и постоянный поток новых клиентов, иначе выжить на рынке может стать очень сложно с финансовой точки зрения.
Установить кучу разношерстных решений в надежде предотвратить атаку — значит выкинуть деньги на ветер. Такой необдуманный подход отрицательно влияет как на конечные точки, вызывая проблемы взаимодействия с пользователем, так и на работу SOC (Security Operations Center), где аналитики имеют дело с несколькими консолями и раздробленной информацией. Чем больше времени потрачено на попытку собрать всю эту информацию в одно целое, тем меньше времени остается на критически важные задачи, такие как мониторинг обнаружения угроз, анализ потенциальных рисков, поиск уязвимостей и постоянная настройка инфраструктуры.
Какую роль играют оповещения с конечных точек
Конечная точка стала неотъемлемой составной частью управления для организаций, где гибридная модель работы является стандартом. Ранее антивирусные решения использовались преимущественно на уровне рабочих станций (desktop) и ограничивались установкой и обновлением DAT-файлов. С ограниченным объемом зашифрованного трафика обнаружения подозрительной деятельности чаще всего происходили на уровне брандмауэра, систем предотвращения вторжений или контроля доступа в Интернет.
По состоянию на сегодняшний день, команды информационной безопасности и SOC акцентируют свое внимание на сообщениях безопасности конечных точек. Сейчас, когда трафик становится все более зашифрованным, наблюдается значительный рост угроз на конечных точках, что приводит к значительному количеству предупреждений от сенсоров. Такая угроза, возникающая на конечной точке, означает, что она каким-то образом обошла систему предотвращения вторжений (IPS), брандмауэр, контроль загрузок из Интернета и электронную почту.
Аналитики тщательно разбирают каждую угрозу, обнаруженную на конечной точке. На основе сделанных выводов команда может улучшить существующие средства контроля сети и контента.
Анализ предупреждений, поступающих от технологий безопасности, необходим, даже если они были успешно обработаны. Иногда, упустив одно незначительное предупреждение, можно долго разгребать последствия в виде финансовых и репутационных убытков. Многие продуманные кибератаки предусматривают использование утилит, позволяющих собирать ключевую информацию об организации в течение месяцев, прежде чем начать основную фазу атаки. На это стоит обращать внимание.
Надежный уровень SOC позволяет организациям выявлять подобные атаки на ранних этапах их жизненного цикла, а оповещения с конечных точек, содержащих ценную информацию, являются важным каналом передачи данных.
Советы по выбору вендора
Выбирая новое решение, компании часто обращаются за советом к своим партнерам и аналитикам. Но самое главное, что стоит здесь учитывать — у каждого бизнеса своя уникальная специфика. То, что оптимально для ваших коллег, может абсолютно не подойти вам. Поэтому выбор вендора должен опираться на конкретные потребности вашей организации, а не на общий анализ или результаты тестов.
Вы не прогадаете, если отдадите предпочтение вендору, который специализируется на EDR-решениях и имеет продолжительный опыт работы на вашем рынке. Важно также оценивать наличие управляемой сервисной экосистемы, являющейся требованиями многих современных компаний.
Также обращайте внимание на исследовательский отдел вендора. Сильная команда аналитиков позволит поставщику выявлять атаки и уязвимости заранее и учитывать их в будущих разработках. Также важно, чтобы исследовательская группа сотрудничала с правоохранительными и разведывательными организациями, предоставляя эффективную информацию для борьбы с киберпреступниками. Вдобавок, клиенты вендора должны иметь возможность сотрудничать с исследовательской группой по обмену данными об угрозах, чтобы реагировать на инциденты на ранних этапах.
На что обращать внимание при выборе эффективной EDR-платформы
Повысить надежность защиты конечных точек поможет модульный подход, который включает:
- Датчики предотвращения. Устраняйте известные вредоносные файлы в режиме реального времени с помощью сигнатур, политик защиты доступа, содержимого предотвращения эксплойтов, защиты памяти, репутации файлов и любых других методов, действующих моментально.
- Датчики расширенного предотвращения. Выполняйте расширенную проверку — с использованием искусственного интеллекта, интеграции с песочницей, анализа сценариев и т. д. Датчики постоянно обучаются, учитывая свой предыдущий опыт. Они укрепляют защиту без вмешательства пользователя, как только механизм понимает, что столкнулся с вредоносным ПО — обычно это происходит в течение нескольких секунд. Любые данные также передаются датчикам, что позволяет им блокировать угрозу в режиме реального времени, когда она в следующий раз появится в окружающей среде.
- Датчики расширенного обнаружения. Сосредоточьтесь на стратегической защите, собирайте, обобщайте и визуализируйте доказательства по запросу или по графику. Поскольку данные здесь имеют гораздо больший масштаб, при их реализации широко используются ИИ и облако. Можно сказать, что данные датчики могут быть чрезвычайно полезны, когда атака находится в активной стадии.
- Датчики по сбору форензики. Группа IR (реагирование на инциденты) использует их, чтобы собрать необходимые аналитические данные и маркеры компрометации для постоянного анализа оперативной памяти, тактики, методов и процедур поведения при атаке в сочетании с запланированными и автоматизированными методами. Эти датчики очень эффективны при сборе доказательств, а также анализе после инцидента.
Помимо этого, не стоит забывать про мощную аналитику, которая позволит играть на опережение в динамичном ландшафте угроз, выявлять и сокращать возможности для атак.
Если вы используете физическое, виртуальное и облачное оборудование, важно, чтобы вендор предоставлял гибридную архитектуру развертывания и управления. Главная цель поставщиков систем безопасности – адаптироваться к существующим потребностям, а не создавать дополнительные препятствия.
Необходимо понимать, что каждый из перечисленных датчиков имеет свою роль. Часто они используются взаимозаменяемо, что приводит к путанице на рынке решений. Важно, чтобы эти решения имели возможность обмениваться информацией между собой, поскольку изолированная работа лишь усложняет достижение общих целей.
Платформа Trellix XDR предлагает комплексный подход к защите конечных точек, позволяя быть на шаг впереди актуальных угроз благодаря постоянному развитию с помощью методов машинного обучения и использования встроенного киберинтеллекта. Компоненты для защиты конечных точек:
Trellix Endpoint Security (ENS) – Датчики предотвращения,
ENS ATP + IVX (Sandbox) – Датчики расширенного предотвращения
Trellix EDR – Датчики расширенного обнаружения
Trellix HX – Форензика
Trellix Agent – Единый агент для всех вышеперечисленных датчиков
EPO / XConsole – Централизованное управление и отчетность
Trellix XDR – Платформа Trellix XDR с интеграцией с AI
Insights – Аналитика
Trellix Advanced Research Center – Исследовательский отдел
По всем вопросам, связанным с платформой, обращайтесь к нам: [email protected]
