Редакция CISOCLUB поговорила с Сергеем Куценко, ведущим экспертом направления защиты ИТ-инфраструктуры в К2 Кибербезопасность, о том, как современные решения класса EDR (Endpoint Detection and Response) помогают противостоять новым и уже известным угрозам для конечных точек в корпоративных сетях. В интервью эксперт рассказал, какие типы атак становятся всё более распространёнными, и как именно EDR может обеспечить защиту от целевых атак, которые представляют серьезную опасность для ИТ-инфраструктуры.
Сергей отметил, что ключевым функционалом современных EDR-решений является возможность детектировать и оперативно реагировать на инциденты, а также детализировать логирование событий. Эксперт также подчеркнул важность интеграции EDR с другими средствами защиты информации.
Особое внимание в интервью было уделено вызовам, с которыми сталкиваются компании при внедрении и поддержке EDR. По словам Сергея, одной из главных проблем является дефицит квалифицированных специалистов, способных эффективно реагировать на инциденты и отличать ложные срабатывания от реальных угроз. Эксперт также поделился своими прогнозами относительно развития EDR в ближайшие годы.
1. Какие угрозы безопасности актуальны для конечных точек в корпоративных сетях сегодня?
Типы угроз остаются прежними, растет скорее количество атак. Основная их часть нацелена именно на сотрудников — фишинг и социальная инженерия через почту и мессенджеры. По большей части здесь помогут периметровые средства защиты. Но атакующие не стоят на месте. Целевые атаки, раньше не столь популярные, — сегодня новая реальность. Для защиты от них как раз и нужен EDR. Цели атак разные — от стандартного шифрования и получения выкупа до намеренного разрушения ИТ-инфраструктуры.
2. Какие ключевые функции должны быть у современного EDR-решения?
Современные механизмы детектирования и разнообразные инструменты реагирования: удаление файлов, остановка процессов, изоляция хоста, удаленное выполнение команд. Не стоить забывать про уровень детализации логирования событий происходящих в системе для полноценного расследования инцидентов. Также важно, чтобы EDR мог покрыть все ОС, используемые в инфраструктуре.
3. Как интеграция EDR с другими СЗИ помогает повысить общую безопасность организации?
Интеграция EDR с песочницей — отправка файлов на проверку, раннее выявление атаки. С SIEM — обогащение алертов телеметрией. С SOAR — обогащение событий, написание плейбуков, расширение функционала SOAR.
4. Какие вызовы стоят перед компаниями при внедрении и поддержке EDR?
Для успешного внедрения необходимо хорошо знать свою инфраструктуру. В первую очередь это аудит совместимости EDR с уже имеющимся ПО.
Также приведу в пример кейс одного заказчика. Часть скриптов писалась в контролируемые ветки реестра, тем самым забивая события большим количеством ненужной информации, перегружая и замедляя работу средств мониторинга.
Настройка автоматического реагирования при внедрении. Многие Заказчики отказываются от автореспонса, но компаниям, имеющим небольшой штат, это бывает необходимо. Тут нужно найти золотую середину, что не всегда оказывается просто.
Основной вызов при поддержке EDR — человеческий ресурс и его компетенции. Необходимо отличить алерт от фолза, среагировать и купировать угрозу, а потом провести расследование и устранить первопричины. К сожалению, на рынке мало людей с такими высокими компетенциями.
5. Как обеспечить баланс между эффективной защитой конечных точек и производительностью АРМ?
Тут можно стараться ловить баланс между обнаружением и нагрузкой. Некоторые правила действительно могут быть достаточно нагруженными, но при этом вероятность их сработки не очень велика и можно пробовать ловить злоумышленника в соседних тактикахтехниках. Также можно перенести часть обработки на серверные мощности, передав события или телеметрию.
6. Какие стратегии наиболее эффективны для быстрого реагирования на инциденты безопасности на конечных точках?
Первое и самое важное — квалифицированный персонал с четко определенными зонами ответственности. Для реагирования на инциденты в конечных точках это:

дежурная смена аналитиков, которые обрабатывают уведомления;
дежурная смена инженеров, которые решают проблему с хостом и в случае необходимости корректируют потоки данных.

Второе — любые активные действия должны быть:

Своевременными. Не всегда стоит незамедлительно блокировать действия злоумышленника. Иногда, для возможности атрибуции, лучше пропустить его на полшага дальше.
Контролируемыми и осознанными. Не редко действия, особенно связанные с активной блокировкой, могут нарушить работу важных для бизнеса приложений или процессов. При этом инцидента могло и не быть (false positive сработка). Или злоумышленник намеренно «засветился», чтобы вызвать таким образом отказ.

7. Как часто необходимо обновлять EDR-решения для защиты от новых угроз и уязвимостей?
Как можно чаще. Если говорить про сигнатуры/наборы правил, то лучше использовать рекомендуемый вендором интервал обновлений. Если речь про сам EDR — ставить последнюю stable версию. Для EDR и прочих средств обнаружения актуален как Configuration Management, так и Update Management.
8. Насколько эффективно EDR справляются с защитой от целенаправленных атак?
EDR можно назвать промежуточным этапом. Он больше, чем антивирус (как этап), но еще не XDR. EDR может определить какие-то нелегитимные действия на конечной точке, но мы не увидим всей картины, как при использовании XDR.
9. Как организациям управлять политиками безопасности на конечных точках для минимизации рисков компрометации данных?
Использовать принцип минимально необходимых прав, следить за трендами техник и тактик у различных группировок и общими трендами, вовремя закрывать уязвимости.
Также, важна организационная часть, проведение пентестов, обучение сотрудников.
10. Какие меры по защите данных на конечных точках могут помочь в случае утечки данных или кражи устройств?
В случае утечки данных, к сожалению, уже ничего не поможет. А для минимизации рисков утечки стоит использовать DLP, а также полнодисковое шифрование диска в случае утери/кражи устройств.
11. Как эффективно интегрировать EDR-решения с SIEM?
Во-первых, должно быть максимально «говорящее» уведомление в SIEM. Оно должно включать в себя четкую информацию о том, что, где и с кем случилось. Так, чтобы данное сообщение можно было коррелировать с другими событиями из других источников.
Во-вторых, событие должно быть простым и понятным для инженеров. И при этом передано максимально быстрым способом, чтобы избежать потерю источника.
12. Какие роли и обязанности в организации должны быть определены для эффективного управления защитой конечных точек?
Эффективная команда для защиты конечных точек выглядит так:

технический владелец системы EDR — ответственный за работу и развитие системы;
аудиторы, проверяющие соответствие политик настройки EDR общей ИБ-политике организации;
администраторы СЗИ, которые будут поддерживать защиту конечных точек в актуальном состоянии и также мониторить проблемы с самими СЗИ, следить за трендами, апдейтить политики под актуальные угрозы;
аналитики для отработки алертов от системы и проведения расследований.

13. Какие стандарты и регуляторные требования должны учитывать компании при внедрении EDR?
EDR не является необходимым с точки зрения законодательства, т.к. четких требований о наличии EDR в инфраструктуре нет. Но на практике, если мы говорим о реальной информационной безопасности, без EDR и XDR остается слепая зона.
14. Как оценить эффективность существующих EDR решений?
Подсветить слабые стороны EDR и улучшить работу в этом направлении помогут пентесты. При этом, наверно, некорректно оценивать эффективность EDR в отрыве от всего остального. Для EDR важны правила и реагирование, но не стоит забывать, что борьба с направленными атаками — не про одну систему, а про комплекс систем и средств, включая команду экспертов. Без эффективного управления и сопровождения не будет реализован эффективный механизм защиты.
15. Как проверять безопасность конечных точек, а также повысить уровень их защищенности?
Для проверки безопасности — опять же пентесты. Но защищенность контрольных точек — это не только про EDR. Не стоит забывать, что сюда также входит и харденинг ОС, и закрытие уязвимостей, и типизация и стандартизация шаблонов ОС, и много других вещей.
16. Какие тренды и инновации в области EDR будут определять развитие этого направления в ближайшие годы?
Развитие EDR напрямую зависит от тенденций действий злоумышленников — увеличения количества и усложнения атак. При этом мы видим следование общему ИТ/ИБ-тренду — machine learning. А также — добавление функционала UBA/UEBA.