Что такое обнаружение и реагирование на конечную точку (EDR)?
- Глоссарий IAM
- Что такое обнаружение и реагирование на конечную точку (EDR)?
Обнаружение и нейтрализация атак на конечные точки (EDR) — это общий термин для программного решения, которое постоянно следит за конечными устройствами, включая компьютеры и ноутбуки конечных пользователей, серверы, мобильные устройства и устройства Интернета вещей (IoT) для сбора и анализа данных об угрозах, а также оповещения специалистов по безопасности о взломе в режиме реального времени.
Как работает система обнаружения и нейтрализации атак на конечные точки (EDR)?
Поскольку термин EDR является очень широким, конкретные функции и возможности отдельных решений EDR сильно различаются в зависимости от поставщиков и даже реализаций. Вообще говоря, средства обнаружения и нейтрализации атак на конечные точки попадают в одну из следующих трех категорий:
- Специальная платформа EDR.
- Набор инструментов, которые при совместном использовании выполняют обнаружение и нейтрализацию атак на конечные точки.
- Функциональность EDR, встроенная в другой продукт безопасности, например антивирусное программное обеспечение нового поколения. Некоторые поставщики решений для управления информационной безопасностью и событиями безопасности (SIEM) предлагают EDR в составе своих пакетов.
Решения EDR работают путем агрегирования телеметрии с конечных устройств, включая журналы, сведения о файлах, запущенные процессы, мониторы производительности и данные конфигурации, с последующим анализом этих данных для выявления шаблонов потенциальных угроз.
Простейшие системы EDR состоят только из инструментов оповещения. Они собирают, анализируют и отображают данные для просмотра персоналом и принятия соответствующих мер. Данные сохраняются в центральной базе данных и обычно могут быть загружены в решение SIEM.
Более передовые системы EDR включают в себя такие функции, как:
- Механизмы автоматического реагирования, которые могут предпринимать определенные корректирующие действия при обнаружении угрозы, такие как вывод конечного пользователя из системы, остановка скомпрометированных процессов или полное отключение конечного устройства.
- Инструменты реагирования на угрозы, которые помогают специалистам по безопасности понять, что происходит, какие устройства и системы затронуты, как остановить атаку и как предотвратить атаки в будущем.
- Функции машинного обучения и аналитики на базе искусственного интеллекта, использующие поведенческий анализ для анализа активности устройств в контексте и выявления новых и появляющихся угроз, включая угрозы, которые не соответствуют предварительно настроенным правилам EDR. Это может включать сопоставление аномального поведения с данными из бесплатной базы знаний MITRE ATT&CK, что помогает обнаружить типичное поведение злоумышленников при кибератаках.
- Криминалистические инструменты, которые помогают сотрудникам службы безопасности устанавливать временные рамки, выявлять уязвимые системы и собирать доказательства во время реагирования на инциденты и анализа после взлома. Сотрудники службы безопасности могут также использовать криминалистические инструменты EDR для упреждающего поиска других необнаруженных угроз в среде данных.
Важность EDR
Системы EDR становятся все более популярными из-за стремительного роста количества конечных устройств, подключенных к сетям организаций, включая компьютеры и ноутбуки, а также телефоны и устройства Интернета вещей. Злоумышленники рассматривают эти устройства как «легкие мишени», с помощью которых они могут взламывать сети, и они используют все более изощренные методы атак и вредоносное ПО для атаки на них.
Средства обнаружения и нейтрализации атак на конечные точки иногда путают с антивирусными решениями. Многие системы EDR либо поставляются в комплекте с антивирусным программным обеспечением, либо используют данные из базы данных антивирусного решения.
Однако антивирусное программное обеспечение защищает конечные устройства только от известных типов вредоносных программ, перечисленных в базе данных продукта. EDR, наоборот, использует интеллектуальную аналитику для обнаружения новых и возникающих угроз, в том числе угроз, которые антивирусное программное обеспечение не может обнаружить, таких как бесфайловые вредоносные программы, атаки с использованием украденных учетных данных, расширенные постоянные угрозы (APT) и вредоносные программы, которые настолько новы, что еще не занесены ни в одну антивирусную базу данных.
Антивирусные решения предоставляют пользователям только базовую информацию, а именно, сколько угроз и какого рода было заблокировано программным обеспечением за определенный период времени. Системы EDR записывают дополнительные, очень ценные контекстуальные данные об атаках, такие как информация об источнике угрозы, и выявляют исторические тенденции, которые организации могут использовать для обоснования своей стратегии безопасности.
Как компании используют EDR
В дополнение к обнаружению угроз, которые в противном случае могли бы остаться необнаруженными антивирусными решениями и другими инструментами безопасности, системы EDR ускоряют реагирование на инциденты, помогают в работе по смягчению последствий, предоставляют группам безопасности полную информацию о поведении конечных точек в среде данных и обеспечивают упреждающий поиск угроз.
Наличие сотрудников по безопасности, играющих активную роль в обеспечении безопасности конечных точек, является ключом к успешному развертыванию EDR. В дополнение к отслеживанию предупреждений EDR организации должны иметь надежную стратегию управления исправлениями, чтобы поддерживать конечные устройства в актуальном состоянии. Обновления программного обеспечения часто содержат важные исправления безопасности, и пренебрежение их своевременным применением может серьезно подорвать безопасность конечных точек.
Неправильные настройки облачной среды — еще одна распространенная проблема, которая может ухудшить безопасность конечных точек. Наглядность, которую обеспечивают решения EDR при конфигурации конечных точек, помогает ИТ-специалистам и специалистам по безопасности предотвращать неправильные облачные настройки, а правильно поддерживаемая облачная среда повышает безопасность конечных точек.