Что такое EDR: как работает система, какие функции выполняет и как реализуется

Киберпреступники отошли от целей быстрой монетизации, сделав упор на пролонгированное пребывание внутри информационного периметра организации-жертвы. Это дает возможность завладеть секретными коммерческими данными, скомпрометировать корпоративную сеть или парализовать ее работу.

Чтобы проникнуть в информационную инфраструктуру, злоумышленники часто прибегают к запуску фишинговых рассылок c вредоносным содержимым. Стандартным средствам защиты информации не под силу распознать такие программы, разработанные под целевую инфраструктуру, поэтому для защиты нужны более совершенные инструменты. Для выявления атак подобного типа используются системы EDR (Endpoint Detection & Response). Рассказываем, как они работают и какие варианты внедрения существуют.

edr для защиты хостов

Почему стандартные методы защиты неэффективны против сложных схем кибератак

Киберпреступники научились обходить стандартные инструменты мониторинга путем использования одноразовых инфраструктур, которые создаются под единичную целевую атаку на одну компанию с помощью украденных учетных данных, штатных средств операционных систем. Также они прибегают к внедрению продвинутых вредоносных программ, в которых присутствуют цепочки вызовов легального вспомогательного ПО, уже установленного на хостах. Утилиты исполняют переданные им команды, поступающие через ссылку или командную строку. В результате такой цепочки вирусное ПО достигает конечной точки.

Инструменты детектирования не распознают этот алгоритм, поскольку принимают его за легальные действия. В итоге вредоносные программы обнаруживаются только в результате детального расследования инцидентов.

Что такое EDR-системы и какова их роль в распознавании атак

Чтобы оперативно реагировать на сложные атаки, стоит внедрить EDR-систему для обнаружения и анализа вредоносной активности на конечных хостах – серверах и компьютерах пользователей. В отличие от SIEM-систем, которые собирают информацию со всех СЗИ и информационных систем, этот инструмент фиксирует события на конкретных устройствах и взаимодействует с локальными данными.

Ключевые преимущества решения такого типа:

Централизованная настройка агента, что особенно важно для крупных организаций. Эта функция позволяет ускорить поиск индикаторов присутствия злоумышленников в информационной инфраструктуре.
Расширенный перечень регистрируемых событий, что позволяет обнаруживать схемы кибератак, которые не распознаются другими системами.
Одновременное выполнение действий в разных системах. EDR позволяет в удобном интерактивном формате работать с сетевыми соединениями и файлами, вести сбор доказательной базы для анализа, завершать текущие процессы.
Возможность вести журналирование событий, что существенно упрощает работу центра мониторинга.

Системы Endpoint Detection & Response в разы сокращают время распознавания атак. В результате удается вовремя принять меры и избежать существенного ущерба от действий злоумышленников.

Варианты внедрения и использования решения

EDR можно эксплуатировать через провайдера или внедрять самостоятельно. Разберем особенности, преимущества и недостатки каждой модели.

EDR как сервис

Такой вариант использования системы подразумевает подключение сервиса через коммерческие центры кибербезопасности. Провайдеры предлагают облачную модель решения, в рамках которой предоставляются лицензии и набор необходимых услуг. Возможен и гибридный вариант внедрения, когда заказчик сам приобретает лицензии, а подрядчик берет на себя администрирование и работу с инцидентами.

Преимущества сервисной реализации решения:

Обслуживанием EDR-системы займутся специалисты с необходимой квалификацией.
Контент для систем будет постоянно обновляться с учетом актуальных схем атак. Заказчику не придется покупать подписки на базы киберразведки и доступ к дополнительным сервисам.
Сервис будет масштабироваться в случае появления новых компонентов информационной инфраструктуры заказчика. Например, если организация откроет филиал, специалисты оперативно подключат его рабочие станции к системе.

Некоторые предприниматели опасаются использовать EDR как сервис из-за того, что сторонняя организация получит доступ к корпоративной информации. Поэтому уточняем – у команды центра-подрядчика отсутствует доступ к критически важным сведениям.

Еще одно опасение заключается в том, что хакеры могут похитить данные в момент их передачи подрядчику. Это маловероятно, если сотрудничать с надежным провайдером.

И третий нюанс – некоторые предприниматели уверены, что специалисты коммерческих центров безопасности недостаточно вникают в специфику деятельности организации и могут некорректно настроить правила для EDR. Такой риск действительно есть, однако сотрудники штатной службы безопасности тоже не застрахованы от ошибки.

EDR своими силами

Можно самостоятельно купить и внедрить решение. В этом случае инструментом будет управлять внутренняя служба информационной безопасности.

Главное преимущество такой модели – все данные, обрабатываемые системой, будут оставаться внутри организации. Однако есть и минусы:

Потребность в квалифицированных специалистах, которые будут знать, что такое EDR и управлять системой. Если в штате их нет, придется нанимать новых сотрудников или проводить обучение.
Необходимость формирования и постоянного обновления индикаторов компрометации для своевременного выявления инцидентов.
Риск ошибок в интерпретации собранных событий.

Подробнее остановимся на последнем пункте. Дело в том, что специалисты не всегда могут правильно интерпретировать выявленные аномалии и определить их последствия для информационной инфраструктуры. Например, некоторые замеченные инциденты могут не иметь никакого отношения к киберпреступникам и являться лишь следствием работы легального программного обеспечения. Поэтому в расследовании должны принимать участие квалифицированные эксперты. Если такие есть в вашей команде, самостоятельное внедрение EDR будет целесообразным и эффективным. В ином случае рекомендуем обратиться к коммерческим центрам безопасности.

сервис EDR

Что выгоднее – сервисная модель или самостоятельное использование системы

Если планируете использовать облачную (традиционную) модель EDR, нужно будет приобрести ежегодную подписку. В случае гибридного внедрения, во-первых, на старте придется потратиться на лицензию и оплатить интеграцию системы. Во-вторых, нужно приобрести подписку на услуги по настройке и обслуживанию решения.

Если хотите внедрять и обслуживать EDR своими силами, будьте готовы и к другим расходам: к оплате услуг экспертов, которые будут взаимодействовать с инструментом, и покупке актуальных баз контента для системы.

Получается, что сервисная модель экономически выгоднее. Она не предполагает капитальных затрат на старте, позволяет избежать расходов на компоненты обновления системы и содержание штатных экспертов.

Выводы

Схемы кибератак постоянно совершенствуются, поскольку хакеры научились тщательно маскировать свои действия под легальные. Чтобы обнаружить сложные угрозы, организациям следует применять усиленные инструменты защиты. Один из них – EDR-система. Ее можно внедрить и обслуживать самостоятельно или купить подписку через коммерческий центр. Например, через центр противодействия кибератакам Solar JSOC, который обеспечивает круглосуточную защиту информационной инфраструктуры организаций любого масштаба. За плечами Solar JSOC большой опыт обнаружения и предотвращения даже самых нетипичных угроз.

Хосты под защитой: почему компаниям нужен EDR

Continuous Penetration Testing (CPT)

Экономическая безопасность

Digital Risk Protection (DRP): что это такое и почему решения этого класса набирают популярность

Кибермошенничество

Утечки персональных данных: где можно найти чувствительную информацию о сотрудниках и клиентах компании

Защита репутации в Сети: в каких сегментах интернета скрыты угрозы репутации и как их своевременно обнаружить