В первую очередь, за счет размещения автономных агентов EDR на конечных устройствах, а значит и повышение качества сбора событий, необходимых для проведения корреляционного анализа. Это сопровождается гранулярным управлением конфигурациями сбора на каждом устройстве из одного окна, удобными настройками расписания обмена данными с сервером, возможностей лимитирования нагрузки, которые позволят не влиять на рабочие процессы конечного устройства. Вовторых, EDR открывает широкие возможности реагирования: от тонкой настройки политик для различных групп устройств до проведения масштабных операций, включая автоматизированные сценарии. Бывали примеры, когда сочетание этих возможностей экономило людям месяцы труда. Разумеется, каждый случай уникален, и эффективность применения зависит от множества факторов.
Покрытая EDR-агентами инфраструктура дает аналитикам SOC не только полную видимость происходящего, но и возможность проводить самостоятельное расследование и реагирование – сбор криминалистических данных, изоляцию хостов и удаление/нейтрализацию вредоносного кода. Если ранее для этих действий требовались различные инструменты, глубокая экспертиза и значительное время, то сегодня EDR позволяют оперативно проводить критически значимые мероприятия сдерживания и нейтрализации угроз из единого окна. Тем не менее EDR – это лишь инструмент, и эффективность его применения напрямую зависит от экспертности специалиста, работающего с ним.
Решения EDR помогают аналитикам SOC за счет возможности обнаружить признаки киберинцидента на всех этапах Kill Chain и детализированной телеметрии, оптимизирующей процесс расследования инцидентов. EDR также предоставляет экспертизу вендора за счет готовых и постоянно обновляемых правил. Вместе с тем EDR может автоматически предотвращать угрозы и предоставлять механизмы активного реагирования, включая блокировку шифровальщиков, выполнения потенциально вредоносных команд, попыток повышения привилегий и т. д. Под активным реагированием понимаются такие задачи, как остановка процесса и изоляция хоста, а также получение необходимых артефактов.
KasperskyEDR – это инструмент SOC, который не облегчает работу, а скорее, напротив, создает новый фронт работ, поскольку является источником новых типов событий, которые следует анализировать. Основное назначение EDR – предоставить новые возможности по обнаружению, расследованию и реагированию на компьютерные атаки. Без EDR многие техники атакующих просто не могут быть обнаружены, или их обнаружение и расследование сопряжено с высокой трудоемкостью и зависимостью от опыта конкретного аналитика.
Устаревшие серверы и неподдерживаемые версии ОС встречаются нередко. При нехватке вычислительных ресурсов мы, как правило, применяем специализированные версии профилей аудита, которые учитывают специфику нагрузки систем и отключают мониторинг определенных типов событий. Для неподдерживаемых версий ОС единственным вариантом остается отказ от использования EDR-решения в пользу штатного аудита. Очевидно, что в обоих случаях эффективность мониторинга и реагирования существенно снижается.
Юрий Бережной, Positive Technologies: В случае MaxPatrol EDR мы предоставляем возможность тонкой настройки работы на конечном устройстве благодаря модульности. Заказчик сам настраивает набор функциональности, который будет исполняться на той или иной группе устройств, а также принимает решение о передаче функций корреляции с конечного устройства на сервер в целях оптимизации нагрузки. Для нас важно своевременно поддерживать актуальные версии распространенных операционных систем для максимального покрытия инфраструктуры заказчиков.
Kaspersky EDR Expert, помимо самых новых версий ОС, поддерживает широкий перечень устаревших версий ОС, вышедших из поддержки у производителей. Для минимизации нагрузки на конечные устройства мы применяем следующие подходы:
Такие атаки известны. Меры противодействия им – это, в первую очередь, использование экспертизы для своевременного обнаружения такого типа атак, применение превентивных мер детектирования, что позволяет среагировать на подобную атаку раньше, чем она произойдет. Не менее важно внедрение механизмов и инструментов, предотвращающих попытки остановить работу EDR, или необходимых для его деятельности компонентов и приложений.
Попытки злоумышленников нарушить работоспособность EDR-агента встречаются все чаще. Главная мера по противодействию таким атакам – реализация так называемого механизма самозащиты EDR-агента. Он позволяет заблокировать попытки злоумышленника повредить ключевые файлы, остановить службы и сервисы, функционирование которых необходимо для обеспечения работоспособности EDR-агента. Этот механизм генерирует также оповещения для аналитиков в случае фиксации попыток нарушить работоспособность EDR-агента.
У атакующих два пути – отключить EDR или обойти детект-логику.
Технических мер много, но все они сводятся в общем случае к увеличению требуемого времени на реализацию атаки. За это время при наличии оперативного мониторинга попытка атаки будет обнаружена, и предприняты мероприятия по ее нейтрализации.
Kaspersky EDR Expert имеет механизм самозащиты, который препятствует попыткам выгрузить агент: предотвращает изменение и удаление файлов программы на жестком диске, процессов в памяти, записей в системном реестре. EDR-решение наследует многолетние наработки "Лаборатории Касперского" по противодействию попыткам обхода и блокировки.
Дополнительно в составе решения предусмотрен компонент Sandbox, оснащенный методами противодействия вредоносным программам, которые пытаются обходить средства защиты информации, включая эмуляцию запуска. Кроме того, Sandbox позволяет загружать пользовательские образы операционных систем Windows, что дает возможность максимально точно воспроизвести рабочую среду, характерную для конкретной компании.
Да, несомненно! В MaxPatrol EDR мы внедряем механизмы превентивного детектирования угроз, которые позволяют обнаруживать цепочки событий раньше реализации целевых действий злоумышленников. Искусственный интеллект также может прийти на помощь: в ряде случаев ML-механизмы позволяют быстрее обнаружить паттерны атаки среди тысяч событий и доставить информацию о подобных подозрительных действиях до реализации атаки.
В ряде отечественных EDR-решений уже существуют механизмы обнаружения угроз и автоматического реагирования на них в момент выявления. Это и является воплощением принципа RPP. Однако важно понимать, что это преимущественно функция антивирусных решений или решений класса EPP. Одной из основных задач EDR все же является обнаружение сложных угроз, пропущенных антивирусом, за счет использования правил с нечеткой логикой. Для них автоматическое реагирование не может быть применено ввиду возможных ложных срабатываний. Конечное решение об отнесении срабатывания правила обнаружения EDR к угрозе принимается аналитиком. EPPрешения должны выявлять и блокировать те угрозы, которые могут быть детектированы почти со 100% точностью, и где нет риска автоматического реагирования.
В нашем комплексном решение по защите конечных устройств используется автоматическое реагирование на атаки с высоким уровнем уверенности (Confidence).
В EPP-функциональности автоматически блокируются операции с вредоносными файлами, далее происходит лечение или удаление файла. При анализе поведения, если активность приложения совпадает с шаблоном опасного поведения, также выполняется настроенное автореагирование. На Windows поддерживается откат действий, произведенных вредоносными приложениями в ОС.
В EDR-функциональности доступна автоматическая блокировка запуска файлов с заданными хеш-суммами. Определенные действия выполняются вручную аналитиком после изучения полученных сообщений об обнаружениях (индикаторов атак) и понимания, что обнаружение не является ложным срабатыванием и инвазивное действие по реагированию будет оправдано и не нанесет ущерб активам компании.
В XDR-функциональности доступно создание плейбуков с автоматическим реагированием на конечных устройствах.
Термин RPP я слышу впервые и полагаю, что это очередная маркетинговая аббревиатура. Но есть термин EPP, предложенный Gartner, который в индустрии понимается одинаково, ведь очевидно, что EDR не эффективен без функционала полностью автоматического обнаружения и реагирования, реализуемого ранее в антивирусах. Поэтому зрелые поставщики EDR позиционируют себя именно как производители комплексного решения по защите конечных точек, то есть EPP.
Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_5_2024/