Не так давно Gartner опубликовала свой отчет по безопасности и лидерах в отрасли EPP & EDR, из которого видно, что покупка антивируса как защита конечных точек предприятий является не самым надежным выбором и уже сегодня тем кто беспокоиться о безопасности своей компании должен приобретать комбинированные антивирусные системы, которые включают в себя как Endpoint Protection Platform (EPP) так и Endpoint Detection and Response (EDR)
Что такое Endpoint Detection and Response(EDR)?
Если вы еще не в тренде последних тенденций в области безопасности то мы вам расскажем. Все началось еще в далеком 2013 году, когда специалист по безопасности Антон Чувакин из вышеупомянутой компании Gartner упомянул EDR для того чтобы искать потенциальные угрозы и расследовать инциденты еще на конечный точках еще в самом начале атаки, когда обычные антивирусы могут даже ничего и не подозревать. Инструменты такого типа работают на основе сложных правил которые в автоматическом режиме и реальном времени выстаивают гипотезы потенциальных угроз, проверяют подписи и поиска изменений в структуре файлов а после обнаружения таковых передают данные специалистам по безопасности и те уже принимают решения по противодействиям.
Чем инструменты EDR отличаются от обычного антивируса
В то время как антивирусные платформы выдают предупреждение во время активной атаки (иногда намного позже момента, когда может быть развернута эффективная защита), инструменты EDR используют аналитику угроз для упреждающего отслеживания подозрительного поведения, которое может указывать на приближающуюся атаку. Другими словами, антивирусные инструменты поддерживают реактивный ответ, а инструменты EDR позволяют применять решения для опережения атаки в кибербезопасности.
Решения для обеспечения безопасности конечных точек способно анализировать основную причину проблем и отслеживать подозрительное поведение от первоначального реагирования на инцидент до окончательного устранения.
Как EDR может поддерживать группы реагирования на инциденты
Инструменты EDR должны быть ключевым компонентом в портфеле любого центра управления безопасностью, но объединяет EDR с MDR, что может еще больше повысить эффективность этих инструментов.
Если обнаруживается что-то подозрительное, команда может извлечь для анализа все значения реестра. Если конечная точка была изменена или произошло сетевое событие, команда может точно определить, когда это произошло. Затем эту информацию можно использовать для идентификации и карантина затронутых систем.
Мы обрались к компании Softlis – лидера в области по безопасности для комментариев по вопросу EDR. Один из примеров которые дали нам сотрудники: «Недавно к нам обратился новый клиент, который ранее был взломан с помощью программы-вымогателя. Используя инструменты EDR, мы настроили мгновенный мониторинг ответов, чтобы убедиться, что все следы вымогателя действительно удалены и уже на следующий день, используя инструмент EDR, включающий консоль, которая принимает все потоки угроз и отображает в реальном времени, что происходит на конечных точках, было идентифицировано злоумышленника, который пытался войти в систему методом грубой силы, используя удаленный рабочий стол через порт, обращенный наружу.»
Лидеры рынка в отрасли EDR
В EDR есть много имен сегодня, но лидерами считаться такие компании как Microsoft, Mcafee и сравнительно новый игрок SentinelOne, который был основан в 2013 и уже сегодня это топ 1 в области безопасности, который использует в своих решениях Искусственный интеллект.
Внедряйте решение EDR заблаговременно, не после того, как вас взломали
EDR эффективен только тогда, когда он используется. Проактивная стратегия безопасности всегда будет более эффективной, чем реактивная. К сожалению, большинство организаций откладывают добавление инструментов EDR к своей платформе безопасности до тех пор, пока они не будут взломаны. И это может быть серьезной ошибкой. Если компания взломана, это правда, что ее антивирусная система может в конечном, итоге обнаружить это нарушение. Но, выбирая реактивный подход, компания должна бороться, чтобы наверстать упущенное и отреагировать на атаку.
Даже группам реагирования на инциденты требуются инструменты EDR для эффективного устранения последствий. Даже наем группы реагирования на инциденты для устранения нарушения обычно включает установку инструмента EDR на всех конечных точках. Ожидание до момента взлома для развертывания EDR увеличивает затраты, тратит время и дает злоумышленнику больше времени для ожидания, а так же ваши деньги.
Если вы не уверены в своих силах по установке и настройке EDR, стоит обрастя к компании Softlist, которая поможет повысить уровень безопасности вашей организации. Эксперты могут помочь оценить ваше текущее состояние безопасности и выбрать инструменты, которые лучше всего подходят для его улучшения – будь то развертывание EDR или управляемое решение для обнаружения и реагирования.
