Михаил Кондрашин

Next Article

Константин Саматов

XDR-решения: когда обычный антивирус не поможет

Михаил Кондрашин,

технический директор компании Trend Micro в России и СНГ

О

тличительная черта современного ландшафта киберугроз –возрастающая сложность атакующих технологий и многообразие используемых инструментов, от социальной инженерии до вполне легитимных системных утилит. Задача определения вредоносного воздействия становится чрезвычайно сложной, поэтому возможностей традиционных антивирусов уже недостаточно, чтобы защитить компанию. На помощь приходят решения следующего поколения, объединяющие в себе детектирование, реагирование и обработку событий из множества источников, – XDR-системы.

На протяжении многих лет главным барьером для вредоносного ПО были антивирусные программы. Они проверяли файлы, которые открывал, копировал или запускал пользователь, на наличие характерной для вирусов последовательности байт – сигнатуры. Базы сигнатур регулярно пополнялись с сайта разработчика антивируса, совершенствовались методы поведенческого анализа запускаемых программ, внедрялись эвристические методы для обнаружения неизвестных угроз, однако все это касалось исключительно локального компьютера.

Для больших сетей внедрялись антивирусные комплексы с централизованной консолью. Локальные антивирусы получали настройки от центра управления и отправляли туда все предупреждения об обнаруженных угрозах, выполняя указанные в настройках действия (помещали в карантин, удаляли файлы или разрешали работу с ними).

С развитием технологий и киберугроз возможностей традиционных антивирусов, защищающих конечные устройства (Endpoint Protection Suite, EPP), перестало хватать, поскольку для атак теперь используются вполне легитимные утилиты, такие как reg, wmic и powershell. Сами атаки стали многоэтапными, и в этом случае каждое отдельное вредоносное действие не вызывает возражений у антивируса.

В сложившейся ситуации появилась острая необходимость в решениях, которые могут не только отреагировать на угрозу в соответствии с заданными правилами, но и действовать проактивно, чтобы не просто уведомить о наступившем инциденте, а заблокировать потенциально вредоносные операции, а также собрать информацию, необходимую для анализа кибератаки. Такие решения относятся к классу EDR – Endpoint Detection and Response, системы обнаружения и реагирования на угрозы конечных устройств.

Зачем нужны EDR-системы?

Системы EDR расширяют функциональность традиционных антивирусов модулем детального сбора данных. Это позволяет аналитикам SOC (Security Operations Center – центр обеспечения информационной безопасности) в случае инцидента ответить на следующие вопросы: l какое устройство стало "нулевым пациентом", допустив выполнение вредоносной программы; l как хакеру удалось проникнуть в систему и закрепиться в ней; l в каком файле содержался вредоносный код; l сколько систем было поражено; l какие данные похищены; l сколько времени заняла атака; l какие действия необходимо предпринять.

Большое количество собираемой EDR информации приводит к тому, что даже в компании среднего размера команда SOC оказывается перегружена предупреждениями, из-за чего: l становится сложно выявить корреляции между различными событиями; l уходит много времени на обнаружение атак; l реакция происходит слишком поздно и в недостаточном объеме; l расследование инцидента не дает полной картины произошедшего, поскольку какие-то детали остаются нерассмотренными.

Рис. 1. "Слепые зоны" EDR-решений

По данным исследования Verizon 2019 Data Breach Investigations Report 1 , среднее время выявления инцидентов составляет 197 дней. В современных условиях это недопустимо долгий срок: за полгода злоумышленники успеют не только похитить интересующие их данные, но и глубоко внедриться в сеть, детально изучив все происходящее в ней.

Может показаться, что совместное применение систем SIEM (Security Information and Event Management – системы управления информацией и событиями безопасности) и EDR позволит выявлять инциденты и реагировать на них более оперативно, однако это не так. SIEMсистемы собирают оповещения от всех устройств, подключенных к сети, но эти оповещения по-прежнему изолированы друг от друга. Настройка правил корреляции решает эту проблему лишь частичРис. 2. Структура взаимодействия компонентов XDR но, поскольку их уведомления могут потеряться среди остальных сообщений. По данным Gartner, угрозы становятся всё более сложными и многослойными, Чтобы обнаружить атаку с помощью поэтому их легко не заметить, если вы сосредоточились на анализе только SIEM, потребуется выполнить много ручодной детали этой головоломки. Чтобы увидеть общую картину и реальные ной работы даже при настроенных коругрозы для организации, требуется слаженная работа различных технологий реляциях, ведь одна атака может быть обеспечения кибербезопасности и правильное использование данных, которые представлена несколькими тысячами поступают из внешних и внутренних источников. событий.

EDR-решения обладают еще одним панели управления, к которой подклюбазе изучения сотен тысяч обнаруженсущественным в контексте современных чаются детектирующие компоненты: ных атак. XDR автоматически объедиугроз недостатком: они работают исклюl Deep Discovery Inspector, выполняюняет серии малозначимых действий чительно с "конечными точками" – комщий глубокий анализ сетевого трафика в единое значимое событие и распредепьютерами, серверами и мобильными и выявление аномалий; ляет по приоритету соответствующие устройствами. Однако в сети любой l Cloud App Security, проверяющий почоповещения. организации есть и другие компоненты, товые ящики пользователей на предмет например принтеры, маршрутизаторы, вредоносных писем и ссылок; Что дает использование XDR? устройства IoT и IIoT, сетевое оборудоl Apex One SaaS – для защиты конечных Благодаря сопоставлению найденных вание и компоненты облачной инфраточек; угроз по всей организации, исчерпыструктуры (контейнеры и виртуальные l Cloud One Workload Security – для вающей информации о них, искусственмашины). С точки зрения EDR их как бы проверки контейнеров и компонентов ному интеллекту и аналитике больших не существует, хотя захваченный злооблачной инфраструктуры. данных, при использовании XDR-аналиумышленниками сетевой принтер или Через специализированный программтики SOC будут получать только значимаршрутизатор могут стать серьезной ный интерфейс (API) к консоли могут мые оповещения, отсортированные по угрозой для компании. быть подключены сенсоры других решестепени серьезности. ний. В свою очередь, анализ контекста Как работают Вся поступающая информация о собынезначительных угроз от разных источXDR-решения? тиях собирается в едином хранилище ников позволяет определить значимые

Следующим шагом в развитии защиты Trend Micro Data Lake, после чего выполиндикаторы компрометации, что дает корпоративных сетей стали решения няется ее обработка и анализ с помощью возможность проводить полезные исслекласса XDR, которые охватывают не искусственного интеллекта и других техдования, создавать единую картину только конечные точки, но и остальные нологий. Встроенная в XDR система угроз, оперативно обнаруживать их элементы типичной сетевой инфраструканалитики выявляет атаки как многои блокировать. Автоматически анализитуры. компонентные процессы, объединяя руя огромные массивы данных, XDR

XDR объединяет в себе уже знакомую тысячи событий в несколько предупрежустраняет необходимость ручного вмепо EDR функциональность выявления и дений. шательства, позволяя специалистам по реагирования на угрозы конечных точек Система позволяет визуализировать безопасности быстро воссоздать развис возможностями выявления современатаку и посмотреть, откуда пришла угротие атаки. ных кибератак, выполняемых через сеть, за, как она распространялась по сети и По мнению Gartner, XDR-решения –почту или облачную инфраструктуру. контейнерам в облаках, кого заразила, тренд № 1 в мире 2 !

Новые источники получения сведений как происходило перемещение между Крупным компаниям стоит всерьез об угрозах – важное отличие XDR от устройствами, какие команды при этом рассмотреть возможность перехода на решений предыдущего поколения, однавыполнялись, и все это в виде таймлайтакие системы безопасности, поскольку ко его главное преимущество – в мощной на, который можно пройти по шагам. они позволяют повысить эффективность системе сбора и обработки информаВ XDR не используется сигнатурный работы аналитиков SOC и существенно ции. анализ и правила корреляции, подобные поднять уровень защиты компании от

Детали реализации XDR-систем могут SIEM-системам. Вместо этого здесь киберугроз. l различаться у разных вендоров. В случае работают поведенческие модели, разTrend Micro XDR реализована в виде работанные аналитиками Trend Micro на Ваше мнение и вопросы присылайте по адресу 2 https://blog.paloaltonetworks.com/2020/04/cortex-security-and-risk-management/ is@groteck.ru