На протяжении последних лет одним из основных способов компрометации ИТ-инфраструктуры для хакеров остается атака на рабочие станции. Традиционные средства защиты зачастую не успевают за новыми угрозами и специально кастомизированными для конкретной компании вредоносами. Крайне сложно обнаружить и отследить бесфайловые атаки, при которых вредоносное программное обеспечение не размещает никаких файлов на жестком диске, а вместо этого полезная нагрузка загружается непосредственно в оперативную память. Как результат, компьютер становится жертвой вируса-шифровальщика, используется для проникновения в корпоративную сеть или майнинга криптовалют в интересах злоумышленников.
Всесторонняя защита конечных станций требует комплексного подхода, включающего все перечисленные этапы: предотвращение, передовое обнаружение, реагирование, устранение последствий атак и расследование. Обеспечить такую функциональность позволяет совместная эксплуатация решений класса EPP и EDR.
EPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.
EDR (Endpoint Detection&Response) — класс решений, предназначенный для обнаружения и реагирования на продвинутые угрозы. Оперативно выявляет отклонения в поведении приложений и объектов с возможностью их быстрого восстановления в случае подтверждения инцидента офицером безопасности. Системы EDR не опираются на сигнатуры или черные списки.
«Часто такие решения интегрируются, в том числе, и с сетевыми “песочницами”, что значительно повышает эффективность их использования. В этом случае, даже если не удастся спасти конкретный узел, и он, например, станет жертвой шифровальщика, хранимые централизованно детальные логи не будут потеряны, и ИБ-инженер сможет разобраться в причинах заражения и принять необходимые меры для блокирования дальнейшего распространения вредоноса в сети», — отмечает Александр Русецкий, руководитель направления защиты от направленных атак Центра информационной безопасности «Инфосистемы Джет».
Обзор «Продвинутая защита конечных станций» включает следующие решения классов EPP и EDR:
Для оценки данных решений было выбрано более 80 критериев, в основе которых лежит как стандартный функционал EPP и EDR, так и кейсы заказчиков, а также собственный опыт компании «Инфосистемы Джет» в тестировании, эксплуатации и внедрении продуктов для продвинутой защиты конечных станций.