EDR, или обнаружение и реагирование на угрозы на конечных точках (Endpoint Detection and Response) — это современная альтернатива антивирусу. Многие годы организации покупали антивирусные продукты, надеясь решить проблему корпоративной безопасности. Но за последние десять лет вредоносное ПО стало намного более изощренным и получило большое распространение, из-за чего недостатки «устаревших» антивирусов стали слишком очевидны.
В ответ на это некоторые вендоры переосмыслили задачи корпоративной безопасности, и пришли к новым решениям, которые должны преодолеть недостатки антивирусов. Чем EDR отличается от антивируса? Что делает EDR эффективнее антивируса? Что повлечет за собой замена антивируса современным EDR-решением? Эта статья даст ответы на все озвученные вопросы.
В чем заключается отличие EDR от антивируса?
Чтобы должным образом защитить организацию от киберугроз, важно понимать разницу между EDR и традиционными антивирусами. Подходы к безопасности, реализованные в EDR и традиционных антивирусах, принципиально отличаются, и только один из них подходит для борьбы с современными угрозами.
Возможности антивируса
В те времена, когда количество новых угроз можно было легко посчитать в электронной таблице, антивирусы позволяли организациям блокировать известное вредоносное ПО путем проверки, т. е. сканирования файлов по мере их записи на диск. Защитное решение предотвращало запуск вредоносного файла, если он был существовал в базе данных антивируса.
База традиционного антивируса состоит из набора сигнатур. Эти сигнатуры могут содержать хэши вредоносного файла и/или правила, содержащие набор характеристик, которым должен соответствовать файл. Эти характеристики обычно включают в себя человекочитаемые строки или последовательности байтов внутри исполняемого файла вредоносного ПО, а также тип файла, его размер и прочие метаданные.
Механизмы некоторых антивирусов также могут выполнять примитивный эвристический анализ запущенных процессов и проверять целостность важных системных файлов. Эти проверки, которые могут выявить атаку только постфактум, добавили во многие антивирусные продукты тогда, когда вендоры антивирусного ПО перестали успевать за ежедневным потоком новых образцов вредоносов и не смогли поддерживать базы данных своих антивирусов в актуальном состоянии.
В свете растущего количества угроз и снижающейся эффективности антивирусного подхода некоторые поставщики попытались дополнить антивирусы другими возможностями, такими как управление межсетевым экраном, шифрование данных, белыми и черными списками и другими соответствующими инструментами. Такие решения, обычно известные как платформы защиты конечных точек (EPP), по-прежнему были основаны на сигнатурном подходе.
Возможности EDR
Антивирусные решения сосредоточены на поиске потенциально вредоносных файлов, которые проникают в систему. EDR, напротив, фокусируется на сборе данных с конечных точек и проверке этих данных на наличие образцов вредоносного или аномального поведения в режиме реального времени. Функционал EDR-системы, как видно из названия, заключается в обнаружении заражения и реагировании на него. Чем быстрее EDR-решение способно сделать это без вмешательства человека, тем оно эффективнее.
Качественное EDR-решение может блокировать вредоносные файлы, но в то же время учитывает, что не все современные атаки основаны на файлах. Кроме того, проактивные EDR-решения предлагают командам ИБ критически важные возможности, которых нет в антивирусах. К ним относится автоматическое реагирование на угрозы и мониторинг изменений в файлах, создания процессов и сетевых подключений на конечных точках. Это чрезвычайно важно для хантинга, реагирования на инциденты и цифровой форензики.
Недостатки антивируса
Антивирусы не справляются с угрозами, с которыми сегодня сталкиваются организации. На это есть три причины. Во-первых, как уже было сказано, количество ежедневно возникающих новых образцов вредоносных программ превышает возможности любой команды специалистов по сигнатурам.
Учитывая, что антивирус не сможет обнаружить большинство из этих программ, организацию нельзя считать полностью защищенной.
Во-вторых, злоумышленники могут легко обойти сигнатуры антивируса даже с помощью старых образцов вредоносного ПО. Сигнатуры учитывают лишь некоторые характеристики файлов, и злоумышленники научились создавать вредоносное ПО с меняющимися характеристиками. Оно называется полиморфным. Например, легче всего изменить хэши файлов, но сами строки байтов тоже могут быть расположены в случайном порядке, запутаны и зашифрованы в разных сборках вируса.
В-третьих, злоумышленники, зарабатывающие на создании программ-вымогателей, вышли за рамки простых файловых атак. Атаки с использованием доступа к памяти и бесфайловые атаки стали обычным явлением. Атаки, управляемые вручную (например, Hive), наряду с атаками по схеме двойного вымогательства (Maze, Ryuk и другими) могут начинаться со скомпрометированных или подобранных учетных данных, а также с использования уязвимостей, связанных с удаленным выполнением кода. Все это может привести к компрометации и похищению интеллектуальной собственности. При этом антивирус, использующий сигнатурный подход, никогда не обнаружит такие атаки.
Преимущества EDR
Благодаря тому, что EDR-решения дают командам ИБ высокий уровень мониторинга, а обнаружение и реагирование в них автоматизировано, они намного лучше подходят для борьбы с современными злоумышленниками и проблемами безопасности.
EDR-решения ориентированы на обнаружение необычной активности и реагирование на нее, поэтому они могут выявлять не только известные файловые угрозы. Главное преимущество EDR-решений перед антивирусами состоит в том, что угроза необязательно должна быть однозначно подтверждена. EDR-решение ищет неожиданные, необычные и нежелательные образцы поведения и отправляет алерт аналитику ИБ для расследования инцидента.
Кроме того, EDR-решения собирают множество данных со всех защищенных конечных точек и предоставляют командам ИБ их визуализацию в удобном централизованном интерфейсе. Команды ИТ могут интегрировать эти данные с другими СЗИ для более глубокого анализа, обогащая ими всю защитную систему организации для прогнозирования характера будущих атак. Подробные данные, которые предоставляет EDR-решение, также делают возможным ретроспективный хантинг и анализ угроз.
Одно из главных преимуществ передовых EDR-решений — возможность использовать собранные данные, реконструируя общую картину происходящего прямо на устройстве и устраняя угрозу автоматически. Однако эта возможность есть не во всех EDR-решениях. Многие из них передают данные в облако для удаленного (а значит, не моментального) анализа.
Как EDR-решения дополняют антивирус
Несмотря на ограниченные возможности антивирусных движков при их использовании отдельно или в составе EPP, их механизмы могут быть полезным дополнением к EDR-решениям. Большинство EDR-решений используют элементы блокирования угроз на основе сигнатур или хэшей для реализации комплексной стратегии защиты.
Благодаря встраиванию антивирусных механизмов в более эффективное EDR-решение, командам ИБ доступна как простая блокировка известных вирусов, так и расширенный функционал EDR.
Избегаем усталости от алертов с активным EDR
Как уже было сказано, EDR-решения обеспечивают командам ИТ- и ИБ- полное представление обо всех конечных точках в сети организации, что дает ряд преимуществ. Однако, несмотря на эти преимущества, многие EDR-решения не оправдали ожиданий команд ИБ, поскольку для управления ими требуется много человеческих ресурсов, часто недоступных из-за кадровых и бюджетных ограничений или недостатка необходимых знаний у сотрудников.
Многие организации, которые приобрели EDR, обнаружили, что вместо обещанного более высокого уровня безопасности и меньшей нагрузки на ИТ- и ИБ-команды на них свалилась необходимость перераспределять ресурсы: вместо приоритизации зараженных устройств теперь нужно заниматься приоритизацией огромного числа алертов.
Это не правильно. Одна из самых ценных функций EDR — возможность автоматически устранять угрозы без какого-либо вмешательства специалиста. С помощью широких возможностей машинного обучения и искусственного интеллекта активного EDR облегчает работу команд SOC и может автономно устранять угрозы на конечной точке без привлечения облачных ресурсов.
Таким образом, угрозы устраняются за секунды — быстрее, чем при удаленном облачном анализе — и без участия человека.
Как активный EDR меняет работу команды ИБ
Рассмотрим типичный сценарий: пользователь открывает вкладку в Google Chrome, скачивает программу, которую считает безопасной, и запускает ее. Эта программа использует PowerShell для удаления локальных резервных копий, а затем начинает шифрование всех данных на диске.
В этой ситуации аналитику ИБ, который использует пассивные EDR-решения, предстоит сложная работа. Из множества алертов он должен собрать осмысленную цепь событий. При использовании активного EDR эту работу выполняет агент на конечной точке. Активный EDR знает всю цепочку событий, которая происходит на хосте, и устраняет угрозу во время выполнения вредоноса до того, как начнется шифрование.
После ликвидации угрозы все элементы этой цепи событий будут сохранены, вплоть до вкладки, которую открыл пользователь в Chrome. Каждому элементу в цепочке развития атаки присваивается единый Storyline ID. Затем цепочки отправляются в консоль управления, что позволяет аналитикам ИБ и администраторам ИТ увидеть развитие атаки и легко проводить хантинг.
Сделайте апгрейд вашей безопасности с EDR
Теперь преимущество EDR перед антивирусом стало очевидным. Что делать дальше? Чтобы выбрать подходящее EDR-решение, необходимо понимать потребности организации и возможности предлагаемого продукта.
Важно также провести тестирование, удостоверившись, что его условия близки к реальным. Как ваша команда будет использовать этот продукт в повседневных процессах? Насколько просто его освоить? Сможет ли он защитить вашу организацию, когда облачные сервисы анализа будут офлайн или недоступны?
Также важно учитывать установку и развертывание продукта. Возможно ли автоматизировать развертывание на всех устройствах? Совместим ли EDR с другими платформами? Обеспечивает ли вендор одинаковую защиту для Windows, Linux и MacOS? Если хоть одно конечное устройство осталось без защиты, оно может стать точкой входа для злоумышленника.
Также следует обратить внимание на возможности интеграции. Многие организации используют множество средств защиты. Предлагает ли вендор надежную, но простую интеграцию с другими решениями?
За пределами EDR: максимальный мониторинг и интеграции с XDR
Активный EDR — следующий шаг для организаций, которым нужно уйти от антивируса. Тем, кому нужна максимальная осведомленность о своей ИТ-среде и интеграция со всем стеком средств защиты, следует рассмотреть XDR — расширенное выявление и реагирование на угрозы.
XDR — это следующий уровень EDR, который объединяет данные со всех средств мониторинга и защиты в целостную картину того, что происходит в корпоративной ИТ-среде. Благодаря единому пулу необработанных данных со всей экосистемы, XDR может быстрее и эффективнее обнаруживать угрозы и реагировать на них по сравнению с EDR, собирая и сопоставляя данные из многочисленных источников.
Заключение
Злоумышленники уже давно научились обходить обычные антивирусы, и организациям необходимо учитывать, что эти продукты не могут защитить от современных угроз. Сегодня в новостях то и дело упоминаются крупные организации, которые, хоть и вкладывались в средства защиты, но все равно стали жертвами кибератак, например, с использованием программ-вымогателей. На вендорах лежит ответственность за то, чтобы продукт мог защитить не только от атак прошлого, но и настоящего и будущего.
Чтобы узнать больше о том, как SentinelOne предоставляет организациям усиленную защиту, закажите бесплатное демо или консультацию.