.svg)
.svg)
В настоящее время терминология информационной безопасности включает множество классов решений, среди которых можно выделить антивирусные программы, системы обнаружения и предотвращения вторжений (СОВ), межсетевые экраны нового поколения (NGFW), решения EDR/MDR, NTA/NDR, XDR, а также системы повышения осведомленности пользователей (Awareness) и многие другие. Каждое из этих решений решает определенные задачи и играет важную роль в обеспечении безопасности информационных систем.
Выстраивание архитектуры информационной безопасности можно сравнить со сборкой матрешки. Первоначально устанавливается базовый уровень — антивирус, который обеспечивает защиту, работая на основе известных сигнатурных баз. Для защиты внешнего периметра разворачивается NGFW, а для анализа событий устанавливается система SIEM. На этом этапе кажется, что инфраструктура защищена.
Однако, несмотря на эти меры, простейший скрипт может отправить десятки тысяч поддельных писем, а бот может активно взаимодействовать через мессенджеры и социальные сети, в результате чего фишинговые сайты соберут значительное количество паролей. В таких ситуациях решения классов SIEM и EPP могут оказаться неэффективными, поскольку подобные атаки не имеют четких сигнатур и не могут быть отслежены по логам сетевого экрана. Как следствие, данные компании могут быть украдены, а работа бизнеса может быть блокирована на неопределенный период. В этих случаях на помощь приходят решения класса EDR, способные выявлять и предотвращать подобные атаки на ранних этапах.
Endpoint Detection and Response (EDR) представляет собой продвинутую систему безопасности, предназначенную для обнаружения и реагирования на угрозы. Работая с локальными данными на конечных устройствах, EDR позволяет проводить тщательное расследование по выявленным угрозам, оперативно устранять их и предотвращать повторные атаки.
Важно отметить, что EDR не является взаимозаменяемым с другими классами решений, а, наоборот, дополняет их, обеспечивая как глубокую защиту конечных точек, так и централизованный мониторинг всей инфраструктуры.
В современных реалиях временные и человеческие факторы играют критически важную роль в управлении безопасностью. Среднее время расследования инцидента может варьироваться от нескольких часов до нескольких дней или даже недель. Однако автоматизация, предлагаемая EDR, позволяет значительно сократить это время, что упрощает работу системным администраторам и снижает риски финансовых потерь для компании.
Сегодня необходимость внедрения решений класса EDR стала очевидной для многих компаний, которые осознают, что целесообразнее укрепить защиту своей инфраструктуры, чем нести репутационные и финансовые риски.
На отечественном рынке решения класса EDR представлены несколькими разработчиками, среди которых наиболее известными являются Лаборатория Касперского и Positive Technologies. Оба лидера в области российской кибербезопасности придерживаются комплексного подхода к обеспечению информационной безопасности.
В данной статье мы не будем рассматривать всю продуктовую линейку упомянутых разработчиков. Вместо этого мы выделим ключевые аспекты, на которые следует обратить внимание при внедрении решений класса EDR в инфраструктуру.
Продукт Positive Technologies: MaxPatrol EDR
У Positive Technologies представлен единственный продукт — MaxPatrol EDR.
Основные функции MaxPatrol EDR включают:
- Выявление сложных целевых атак.
- Сбор и анализ данных.
- Автоматическое реагирование на обнаруженные угрозы, включая удаление файлов, блокировку процессов и изоляцию устройств.
Данный продукт предлагает классический набор возможностей для решений класса EDR. В рамках проекта разработчик предоставляет возможность самостоятельно определить набор функциональных возможностей продукта, основываясь на заполненном опросном листе.
Продукты Лаборатории Касперского: KEDR
В линейке Лаборатории Касперского модуль EDR представлен в двух редакциях: KEDR Standart и KEDR Expert.
Данные решения могут поставляться как отдельные продукты, так и в составе других программных комплексов.
Существует четыре основных вида поставки KEDR:
1. Kaspersky EDR для бизнеса Оптимальный
Базовая защита с модулем EDR, который объединяет технологии защиты рабочих мест и гибкие инструменты контроля, входящие в Kaspersky Endpoint Security для бизнеса Расширенный. Данное решение повышает прозрачность инфраструктуры рабочих мест, позволяет проводить анализ первопричин, работать с индикаторами компрометации (IoC) и оперативно реагировать на обнаруженные угрозы. Здесь используется редакция KEDR Standart.2. EDR в составе линейки Symphony
Включает все возможности Kaspersky EDR для бизнеса Оптимальный с добавлением защиты виртуальной среды. В данном продукте также используется редакция KEDR Standart.
3. Kaspersky EDR Expert
Это мощный экспертный инструмент, который может использоваться в дополнение к Kaspersky Security для бизнеса или сторонним решениям класса EPP (Endpoint Protection Platform). Kaspersky EDR Expert предоставляет полный обзор всех рабочих мест в корпоративной сети, визуализирует каждую стадию расследования, обеспечивает эффективное обнаружение и проактивный поиск киберугроз, а также расширенные возможности анализа первопричин. Процесс расследования подкрепляется ретроспективным анализом, а обнаружения сопоставляются с базой знаний MITRE ATT&CK. С помощью Kaspersky EDR эксперты могут воссоздавать последовательность действий злоумышленников, выявлять сложные атаки и быстро принимать эффективные меры.
4. Kaspersky EDR Expert в составе продуктов класса XDR (KATA / Symphony XDR)
Ранее также была возможность отдельного приобретения KEDR Standart, однако с марта 2022 года новые лицензии KEDR Standart не выпускаются.
При выборе разработчика и необходимой редакции стоит ориентироваться на уже установленные продукты в инфраструктуре, так как решения одного производителя интегрируются друг с другом наиболее эффективно. Каждый эксперт, принимающий решение о внедрении системы, основывается на индивидуальных критериях: для кого-то важна производительность, для кого-то — минимальное воздействие на ресурсы системы. Выбор остается за каждым, и лучшим первым шагом в этом процессе будет пилотное тестирование.
Мы готовы уверенно сопроводить вас на каждом этапе усиления вашей защиты.
Дополнительное внимание на Kaspersky MDR
Следует отдельно выделить решение Kaspersky MDR. Это программа обнаружения и реагирования на угрозы, которая осуществляется вручную специалистами SOC Лаборатории Касперского, в отличие от автоматического реагирования в EDR. В рамках Kaspersky MDR производится аналитика, отслеживание корректности работы программы, ручной поиск и реагирование на инциденты.
Заключение
В статье были рассмотрены решения класса EDR российских разработчиков — Лаборатории Касперского и Positive Technologies, их функциональные особенности и различия в подходах к реагированию на инциденты. Эти технологии помогают выстраивать комплексную систему защиты и повышать устойчивость инфраструктуры к современным киберугрозам.
Все описанные решения соответствуют требованиям российского законодательства в области информационной безопасности (152-ФЗ, 187-ФЗ, 420-ФЗ и др.) и сертифицированы ФСТЭК. Для их внедрения не требуется создание отдельного отдела ИБ — настройку и сопровождение могут выполнять специалисты ИТ-подразделений, прошедшие базовое обучение.
Желаем всем безопасной работы! Обеспечьте надежную защиту уже сегодня — сфокусируйтесь на развитии бизнеса, а не на устранении последствий инцидентов.
Заказать обратный звонок