Что такое обнаружение и реагирование на конечную точку (EDR)?

Обнаружение и нейтрализация атак на конечные точки (EDR) — это общий термин для программного решения, которое постоянно следит за конечными устройствами, включая компьютеры и ноутбуки конечных пользователей, серверы, мобильные устройства и устройства Интернета вещей (IoT) для сбора и анализа данных об угрозах, а также оповещения специалистов по безопасности о взломе в режиме реального времени.

Как работает система обнаружения и нейтрализации атак на конечные точки (EDR)?

Поскольку термин EDR является очень широким, конкретные функции и возможности отдельных решений EDR сильно различаются в зависимости от поставщиков и даже реализаций. Вообще говоря, средства обнаружения и нейтрализации атак на конечные точки попадают в одну из следующих трех категорий:

  1. Специальная платформа EDR.
  2. Набор инструментов, которые при совместном использовании выполняют обнаружение и нейтрализацию атак на конечные точки.
  3. Функциональность EDR, встроенная в другой продукт безопасности, например антивирусное программное обеспечение нового поколения. Некоторые поставщики решений для управления информационной безопасностью и событиями безопасности (SIEM) предлагают EDR в составе своих пакетов.

Решения EDR работают путем агрегирования телеметрии с конечных устройств, включая журналы, сведения о файлах, запущенные процессы, мониторы производительности и данные конфигурации, с последующим анализом этих данных для выявления шаблонов потенциальных угроз.

Простейшие системы EDR состоят только из инструментов оповещения. Они собирают, анализируют и отображают данные для просмотра персоналом и принятия соответствующих мер. Данные сохраняются в центральной базе данных и обычно могут быть загружены в решение SIEM.

Более передовые системы EDR включают в себя такие функции, как:

  • Механизмы автоматического реагирования, которые могут предпринимать определенные корректирующие действия при обнаружении угрозы, такие как вывод конечного пользователя из системы, остановка скомпрометированных процессов или полное отключение конечного устройства.
  • Инструменты реагирования на угрозы, которые помогают специалистам по безопасности понять, что происходит, какие устройства и системы затронуты, как остановить атаку и как предотвратить атаки в будущем.
  • Функции машинного обучения и аналитики на базе искусственного интеллекта, использующие поведенческий анализ для анализа активности устройств в контексте и выявления новых и появляющихся угроз, включая угрозы, которые не соответствуют предварительно настроенным правилам EDR. Это может включать сопоставление аномального поведения с данными из бесплатной базы знаний MITRE ATT&CK, что помогает обнаружить типичное поведение злоумышленников при кибератаках.
  • Криминалистические инструменты, которые помогают сотрудникам службы безопасности устанавливать временные рамки, выявлять уязвимые системы и собирать доказательства во время реагирования на инциденты и анализа после взлома. Сотрудники службы безопасности могут также использовать криминалистические инструменты EDR для упреждающего поиска других необнаруженных угроз в среде данных.

Важность EDR

Системы EDR становятся все более популярными из-за стремительного роста количества конечных устройств, подключенных к сетям организаций, включая компьютеры и ноутбуки, а также телефоны и устройства Интернета вещей. Злоумышленники рассматривают эти устройства как «легкие мишени», с помощью которых они могут взламывать сети, и они используют все более изощренные методы атак и вредоносное ПО для атаки на них.

Средства обнаружения и нейтрализации атак на конечные точки иногда путают с антивирусными решениями. Многие системы EDR либо поставляются в комплекте с антивирусным программным обеспечением, либо используют данные из базы данных антивирусного решения.

Однако антивирусное программное обеспечение защищает конечные устройства только от известных типов вредоносных программ, перечисленных в базе данных продукта. EDR, наоборот, использует интеллектуальную аналитику для обнаружения новых и возникающих угроз, в том числе угроз, которые антивирусное программное обеспечение не может обнаружить, таких как бесфайловые вредоносные программы, атаки с использованием украденных учетных данных, расширенные постоянные угрозы (APT) и вредоносные программы, которые настолько новы, что еще не занесены ни в одну антивирусную базу данных.

Антивирусные решения предоставляют пользователям только базовую информацию, а именно, сколько угроз и какого рода было заблокировано программным обеспечением за определенный период времени. Системы EDR записывают дополнительные, очень ценные контекстуальные данные об атаках, такие как информация об источнике угрозы, и выявляют исторические тенденции, которые организации могут использовать для обоснования своей стратегии безопасности.

Как компании используют EDR

В дополнение к обнаружению угроз, которые в противном случае могли бы остаться необнаруженными антивирусными решениями и другими инструментами безопасности, системы EDR ускоряют реагирование на инциденты, помогают в работе по смягчению последствий, предоставляют группам безопасности полную информацию о поведении конечных точек в среде данных и обеспечивают упреждающий поиск угроз.

Наличие сотрудников по безопасности, играющих активную роль в обеспечении безопасности конечных точек, является ключом к успешному развертыванию EDR. В дополнение к отслеживанию предупреждений EDR организации должны иметь надежную стратегию управления исправлениями, чтобы поддерживать конечные устройства в актуальном состоянии. Обновления программного обеспечения часто содержат важные исправления безопасности, и пренебрежение их своевременным применением может серьезно подорвать безопасность конечных точек.

Неправильные настройки облачной среды — еще одна распространенная проблема, которая может ухудшить безопасность конечных точек. Наглядность, которую обеспечивают решения EDR при конфигурации конечных точек, помогает ИТ-специалистам и специалистам по безопасности предотвращать неправильные облачные настройки, а правильно поддерживаемая облачная среда повышает безопасность конечных точек.

close
Бизнес-продажи
Поддержка
closeВыберите язык
close

Компании и крупные предприятия

Защитите свою компанию от киберпреступников.

Попробовать бесплатно

Государственный сектор и FedRAMP

Защитите свое учреждение или учебное заведение от киберпреступников.

Контактная информация

Поставщики управляемых услуг (MSP)

Защитите свою организацию MSP, своих клиентов и добавьте новые источники дохода.

Попробовать бесплатно

Личное и семейное

Защитите себя и свою семью от киберпреступников.

Защититься сейчас
close

Личное и семейное

Защитите себя и свою семью от киберпреступников.

Попробовать бесплатно

Компании и крупные предприятия

Защитите свою компанию от киберпреступников.

Попробовать бесплатно
Pусский (RU) Связь с нами
Загрузить из App Store Загрузить из Google Play