Kondrashin 9/18/20 1:24 PM Page 48
ТЕХНОЛОГИИ
XDR-решения: когда обычный антивирус не поможет Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
О На протяжении многих лет главным барьером для вредоносного ПО были антивирусные программы. Они проверяли файлы, которые открывал, копировал или запускал пользователь, на наличие характерной для вирусов последовательности байт – сигнатуры. Базы сигнатур регулярно пополнялись с сайта разработчика антивируса, совершенствовались методы поведенческого анализа запускаемых программ, внедрялись эвристические методы для обнаружения неизвестных угроз, однако все это касалось исключительно локального компьютера. Для больших сетей внедрялись антивирусные комплексы с централизованной консолью. Локальные антивирусы получали настройки от центра управления и отправляли туда все предупреждения об обнаруженных угрозах, выполняя указанные в настройках действия (помещали в карантин, удаляли файлы или разрешали работу с ними). С развитием технологий и киберугроз возможностей традиционных антивирусов, защищающих конечные устройства
тличительная черта современного ландшафта киберугроз – возрастающая сложность атакующих технологий и многообразие используемых инструментов, от социальной инженерии до вполне легитимных системных утилит. Задача определения вредоносного воздействия становится чрезвычайно сложной, поэтому возможностей традиционных антивирусов уже недостаточно, чтобы защитить компанию. На помощь приходят решения следующего поколения, объединяющие в себе детектирование, реагирование и обработку событий из множества источников, – XDR-системы.
(Endpoint Protection Suite, EPP), перестало хватать, поскольку для атак теперь используются вполне легитимные утилиты, такие как reg, wmic и powershell. Сами атаки стали многоэтапными, и в этом случае каждое отдельное вредоносное действие не вызывает возражений у антивируса. В сложившейся ситуации появилась острая необходимость в решениях, которые могут не только отреагировать на угрозу в соответствии с заданными правилами, но и действовать проактивно, чтобы не просто уведомить о наступившем инциденте, а заблокировать потенциально вредоносные операции, а также собрать информацию, необходимую для анализа кибератаки. Такие решения относятся к классу EDR – Endpoint Detection and Response, системы обнаружения и реагирования на угрозы конечных устройств.
Зачем нужны EDR-системы? Системы EDR расширяют функциональность традиционных антивирусов модулем детального сбора данных. Это позволяет аналитикам SOC (Security Operations Center – центр обеспечения
информационной безопасности) в случае инцидента ответить на следующие вопросы: l какое устройство стало "нулевым пациентом", допустив выполнение вредоносной программы; l как хакеру удалось проникнуть в систему и закрепиться в ней; l в каком файле содержался вредоносный код; l сколько систем было поражено; l какие данные похищены; l сколько времени заняла атака; l какие действия необходимо предпринять. Большое количество собираемой EDR информации приводит к тому, что даже в компании среднего размера команда SOC оказывается перегружена предупреждениями, из-за чего: l становится сложно выявить корреляции между различными событиями; l уходит много времени на обнаружение атак; l реакция происходит слишком поздно и в недостаточном объеме; l расследование инцидента не дает полной картины произошедшего, поскольку какие-то детали остаются нерассмотренными.
Рис. 1. "Слепые зоны" EDR-решений 1
https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
48 •
