EDR как инструмент эффективного реагирования глазами экспертов

Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.

Эксперты: 

• Юрий Бережной, руководитель направления по развитию защиты конечных устройств Positive Technologies
• Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.C.C.T.
• Павел Петров, ведущий менеджер по продукту Kaspersky EDR Expert
• Сергей Солдатов, руководитель центра мониторинга кибербезопасности Kaspersky
• Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Насколько EDR способна облегчить работу аналитиков SOC и минимизировать человеческий фактор?

Юрий Бережной, Positive Technologies:

В первую очередь, за счет размещения автономных агентов EDR на конечных устройствах, а значит и повышение качества сбора событий, необходимых для проведения корреляционного анализа. Это сопровождается гранулярным управлением конфигурациями сбора на каждом устройстве из одного окна, удобными настройками расписания обмена данными с сервером, возможностей лимитирования нагрузки, которые позволят не влиять на рабочие процессы конечного устройства. Вовторых, EDR открывает широкие возможности реагирования: от тонкой настройки политик для различных групп устройств до проведения масштабных операций, включая автоматизированные сценарии. Бывали примеры, когда сочетание этих возможностей экономило людям месяцы труда. Разумеется, каждый случай уникален, и эффективность применения зависит от множества факторов.

Ярослав Каргалев, F.A.C.C.T.:

Покрытая EDR-агентами инфраструктура дает аналитикам SOC не только полную видимость происходящего, но и возможность проводить самостоятельное расследование и реагирование – сбор криминалистических данных, изоляцию хостов и удаление/нейтрализацию вредоносного кода. Если ранее для этих действий требовались различные инструменты, глубокая экспертиза и значительное время, то сегодня EDR позволяют оперативно проводить критически значимые мероприятия сдерживания и нейтрализации угроз из единого окна. Тем не менее EDR – это лишь инструмент, и эффективность его применения напрямую зависит от экспертности специалиста, работающего с ним.

Теймур Хеирхабаров, BI.ZONE:

Решения EDR помогают аналитикам SOC за счет возможности обнаружить признаки киберинцидента на всех этапах Kill Chain и детализированной телеметрии, оптимизирующей процесс расследования инцидентов. EDR также предоставляет экспертизу вендора за счет готовых и постоянно обновляемых правил. Вместе с тем EDR может автоматически предотвращать угрозы и предоставлять механизмы активного реагирования, включая блокировку шифровальщиков, выполнения потенциально вредоносных команд, попыток повышения привилегий и т. д. Под активным реагированием понимаются такие задачи, как остановка процесса и изоляция хоста, а также получение необходимых артефактов.

Сергей Солдатов, Лаборатория Касперского:

KasperskyEDR – это инструмент SOC, который не облегчает работу, а скорее, напротив, создает новый фронт работ, поскольку является источником новых типов событий, которые следует анализировать. Основное назначение EDR – предоставить новые возможности по обнаружению, расследованию и реагированию на компьютерные атаки. Без EDR многие техники атакующих просто не могут быть обнаружены, или их обнаружение и расследование сопряжено с высокой трудоемкостью и зависимостью от опыта конкретного аналитика.

Как решаются проблемы совместимости EDR с устаревшими операционными системами и слабым железом на стороне заказчика?

Теймур Хеирхабаров, BI.ZONE:

Устаревшие серверы и неподдерживаемые версии ОС встречаются нередко. При нехватке вычислительных ресурсов мы, как правило, применяем специализированные версии профилей аудита, которые учитывают специфику нагрузки систем и отключают мониторинг определенных типов событий. Для неподдерживаемых версий ОС единственным вариантом остается отказ от использования EDR-решения в пользу штатного аудита. Очевидно, что в обоих случаях эффективность мониторинга и реагирования существенно снижается.

Юрий Бережной, Positive Technologies: В случае MaxPatrol EDR мы предоставляем возможность тонкой настройки работы на конечном устройстве благодаря модульности. Заказчик сам настраивает набор функциональности, который будет исполняться на той или иной группе устройств, а также принимает решение о передаче функций корреляции с конечного устройства на сервер в целях оптимизации нагрузки. Для нас важно своевременно поддерживать актуальные версии распространенных операционных систем для максимального покрытия инфраструктуры заказчиков.

Павел Петров, Лаборатория Касперского:

Kaspersky EDR Expert, помимо самых новых версий ОС, поддерживает широкий перечень устаревших версий ОС, вышедших из поддержки у производителей. Для минимизации нагрузки на конечные устройства мы применяем следующие подходы:

• единый агент объединяет функции EPP и EDR, исключая дублирование компонентов и проблемы совместимости;
• отдельная установка EDR без антивируса для устройств без необходимости антивирусной защиты или с использованием стороннего ПО (реализовано для Windows, планируется для Linux);
• модульная архитектура позволяет выбирать необходимые функции EPP;
• тестирование совместимости с другими СЗИ и бизнес-приложениями для предотвращения проблем;
• гибкие настройки исключений на устройствах (например доверенные процессы или фильтрация событий);
• ресурсоемкие задачи выполняются на выделенных серверах, а не на конечных устройствах;
• техническая поддержка оперативно решает проблемы и обновляет базы без переустановки продукта.

Актуальными становятся атаки по нейтрализации EDR-решения или уклонению от обнаружения им. Какими мерами можно им противостоять?

Юрий Бережной, Positive Technologies:

Такие атаки известны. Меры противодействия им – это, в первую очередь, использование экспертизы для своевременного обнаружения такого типа атак, применение превентивных мер детектирования, что позволяет среагировать на подобную атаку раньше, чем она произойдет. Не менее важно внедрение механизмов и инструментов, предотвращающих попытки остановить работу EDR, или необходимых для его деятельности компонентов и приложений.

Теймур Хеирхабаров, BI.ZONE:

Попытки злоумышленников нарушить работоспособность EDR-агента встречаются все чаще. Главная мера по противодействию таким атакам – реализация так называемого механизма самозащиты EDR-агента. Он позволяет заблокировать попытки злоумышленника повредить ключевые файлы, остановить службы и сервисы, функционирование которых необходимо для обеспечения работоспособности EDR-агента. Этот механизм генерирует также оповещения для аналитиков в случае фиксации попыток нарушить работоспособность EDR-агента.

Ярослав Каргалев, F.A.C.C.T.:

У атакующих два пути – отключить EDR или обойти детект-логику.

1. Для отключения агента требуются наивысшие привилегии в системе, а их нужно еще получить. Этап с мероприятиями по повышению привилегий со стороны атакующих будет обнаружен EDR до момента своего отключения. Да и сам факт отключения также должен мониториться.
2. Базовая задача EDR – собирать всю необходимую для обнаружения вредоносного поведения телеметрию, поверх которой уже накладывается детект-логика, отвечающая за обнаружение. EDR – не самостоятельное решение, оно эффективно работает в комплексе с другими модулями, например песочницей.

Сергей Солдатов, Лаборатория Касперского:

Технических мер много, но все они сводятся в общем случае к увеличению требуемого времени на реализацию атаки. За это время при наличии оперативного мониторинга попытка атаки будет обнаружена, и предприняты мероприятия по ее нейтрализации.

Павел Петров, Лаборатория Касперского:

Kaspersky EDR Expert имеет механизм самозащиты, который препятствует попыткам выгрузить агент: предотвращает изменение и удаление файлов программы на жестком диске, процессов в памяти, записей в системном реестре. EDR-решение наследует многолетние наработки "Лаборатории Касперского" по противодействию попыткам обхода и блокировки.

Дополнительно в составе решения предусмотрен компонент Sandbox, оснащенный методами противодействия вредоносным программам, которые пытаются обходить средства защиты информации, включая эмуляцию запуска. Кроме того, Sandbox позволяет загружать пользовательские образы операционных систем Windows, что дает возможность максимально точно воспроизвести рабочую среду, характерную для конкретной компании.

Идет ли развитие российских EDR по пути RPP (Real-Time Protection Platform) с реагированием в реальном времени, а не постфактум?

Юрий Бережной, Positive Technologies:

Да, несомненно! В MaxPatrol EDR мы внедряем механизмы превентивного детектирования угроз, которые позволяют обнаруживать цепочки событий раньше реализации целевых действий злоумышленников. Искусственный интеллект также может прийти на помощь: в ряде случаев ML-механизмы позволяют быстрее обнаружить паттерны атаки среди тысяч событий и доставить информацию о подобных подозрительных действиях до реализации атаки.

Теймур Хеирхабаров, BI.ZONE:

В ряде отечественных EDR-решений уже существуют механизмы обнаружения угроз и автоматического реагирования на них в момент выявления. Это и является воплощением принципа RPP. Однако важно понимать, что это преимущественно функция антивирусных решений или решений класса EPP. Одной из основных задач EDR все же является обнаружение сложных угроз, пропущенных антивирусом, за счет использования правил с нечеткой логикой. Для них автоматическое реагирование не может быть применено ввиду возможных ложных срабатываний. Конечное решение об отнесении срабатывания правила обнаружения EDR к угрозе принимается аналитиком. EPPрешения должны выявлять и блокировать те угрозы, которые могут быть детектированы почти со 100% точностью, и где нет риска автоматического реагирования.

Павел Петров, Лаборатория Касперского:

В нашем комплексном решение по защите конечных устройств используется автоматическое реагирование на атаки с высоким уровнем уверенности (Confidence).

В EPP-функциональности автоматически блокируются операции с вредоносными файлами, далее происходит лечение или удаление файла. При анализе поведения, если активность приложения совпадает с шаблоном опасного поведения, также выполняется настроенное автореагирование. На Windows поддерживается откат действий, произведенных вредоносными приложениями в ОС.

В EDR-функциональности доступна автоматическая блокировка запуска файлов с заданными хеш-суммами. Определенные действия выполняются вручную аналитиком после изучения полученных сообщений об обнаружениях (индикаторов атак) и понимания, что обнаружение не является ложным срабатыванием и инвазивное действие по реагированию будет оправдано и не нанесет ущерб активам компании.

В XDR-функциональности доступно создание плейбуков с автоматическим реагированием на конечных устройствах.

Сергей Солдатов, Лаборатория Касперского:

Термин RPP я слышу впервые и полагаю, что это очередная маркетинговая аббревиатура. Но есть термин EPP, предложенный Gartner, который в индустрии понимается одинаково, ведь очевидно, что EDR не эффективен без функционала полностью автоматического обнаружения и реагирования, реализуемого ранее в антивирусах. Поэтому зрелые поставщики EDR позиционируют себя именно как производители комплексного решения по защите конечных точек, то есть EPP.

Какие новые возможности появятся в вашем EDR в ближайшем году?

Юрий Бережной, Positive Technologies:

• Фокус на повышение качества сбора событий и скорости детектирования.
• Повышение качества фильтрации событий и инцидентов, с которыми работают аналитики SOC.
• Обновления в части пользовательского опыта в настройках политик, расследовании инцидентов и цепочках атак. Идет ли развитие российских EDR по пути RPP (Real-Time Protection Platform) с реагированием в реальном времени, а не постфактум?

Теймур Хеирхабаров, BI.ZONE:

• Поиск неуправляемых устройств для выявления хостов в слепых зонах, где еще не установлены EDR-агенты.
• Контроль целостности конфигурации конечной точки (FIM) для контроля целостности конфигурационных файлов и критичных файлов.
• Удобный интерфейс для разработки корреляционных правил и исключений к ним.
• Развитие самозащиты и сетевой изоляции, в том числе, защиты от техник обхода EDR и техник дампа учетных данных.
• Контроль и блокировка подключаемых устройств.

Павел Петров, Лаборатория Касперского:

• Расширение EDR для Linux: карантин файлов, блокировка по хешу, сбор форензики.
• Улучшение сбора событий для точного детектирования атак и настройки исключений.
• Поддержка SIGMA-правил для проверки инфраструктуры на индикаторы атак (CERT).
• Возможность для непривилегированных пользователей отправлять файлы в Sandbox.
• Live-консоль реагирования для Windows/Linux в режиме, близком к реальному времени.
• Развитие гибкой фильтрации событий для снижения нагрузки на устройства и серверы.

Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_5_2024/