Обнаружение и реагирование на угрозы КС
Четыре причины, почему вам нужен QRadar EDR - ICORE

4 причины, по которым IBM Security QRadar EDR является решением EDR для вас

Поскольку злоумышленники становятся все более искусными в уходе от обнаружения и быстром шифровании данных организаций, решения EDR, подобные IBM Security QRadar EDR, могут помочь службам безопасности заметить “ранние признаки” атаки.

Ориентироваться в меняющемся ландшафте угроз становится все сложнее, поскольку злоумышленники становятся все быстрее и незаметнее. Согласно отчету IBM Threat Intelligence Index 2023*, за последние несколько лет время выполнения атак с использованием шифровальщиков и ПО для выкупов сократилось на 94%; то, на что раньше уходили месяцы, теперь занимает у злоумышленников считанные дни. Поскольку злоумышленники действуют все быстрее, организациям необходимо применять проактивный подход.

Проблема: Проблемы обнаружения атак или аномалий на конечных точек в кибербезопасности

Резкий рост тенденций удаленной работы после пандемии привел к быстрому увеличению количества и взаимосвязанности конечных точек. Этот новый нормальный способ работы породил целый ряд проблем в области кибербезопасности. Возросла активность современных угроз и увеличился объем алертов, которые приходится расследовать службам безопасности (часто оказывающихся ложными срабатываниями, что приводит к серьезной усталости от алертов).

У, и без того перегруженных служб безопасности практически не остается времени на реагирование. Поэтому защита конечных точек от современных угроз “нулевого дня” может оказаться сложной задачей, если не использовать соответствующие средства обнаружения и реагирования на конечные точки (EDR), чтобы избежать дорогостоящих задержек в работе.

Решение: Усиление кибербезопасности с помощью решений EDR

Команды безопасности должны повысить эффективность своей работы за счет наличия мощных решений для защиты конечных точек, которые позволят быстро и решительно реагировать на угрозы. Почему именно защита конечных точек? Все просто. Защита конечных точек позволяет локализовать угрозу до того, как устройства будут заражены или зашифрованы программой-вымогателем. Она также обеспечивает поддержку на различных этапах жизненного цикла реагирования на инциденты и восполняет пробелы, оставленные традиционными антивирусными решениями, благодаря улучшенному обнаружению, видимости и контролю до того, как произойдет широкомасштабное поражение вредоносным или вымогательским ПО.

Потребности: Ускорение реагирования на угрозы и повышение эффективности работы команд SOC

Быстрое обнаружение конечных точек и создание отчетов о вредоносном ПО позволяет снизить общий эффект от атаки и в конечном итоге сэкономить время и средства. Для создания эффективных решений по реагированию на кибератаки защитники могут использовать средства EDR для выполнения следующих задач:

  1. Использовать возможности искусственного интеллекта и автоматизации безопасности для ускорения реагирования на угрозы.
  2. Повышение эффективности работы оперативных групп для экономии времени и средств.
  3. Получать высокоточные алерты, позволяющие снизить нагрузку на аналитиков.
  4. Получение глубокой видимости всех процессов и приложений, выполняющихся на всех конечных устройствах.

Сложные (но простые в использовании) решения EDR, такие как IBM Security QRadar EDR, могут помочь в решении всех этих задач. Давайте узнаем, каким образом.

1. Использование искусственного интеллекта и автоматизации безопасности для ускорения реагирования на угрозы

IBM QRadar EDR использует исключительный уровень автоматизации с помощью искусственного интеллекта (AI) и машинного обучения (ML) для защиты конечных точек от угроз, помогая обнаруживать и устранять известные и неизвестные угрозы или атаки без файлов практически в режиме реального времени.

Давайте посмотрим на IBM QRadar EDR в действии, чтобы узнать больше об обнаружении и автоматизированном реагировании на вредоносное ПО.

Панель управления IBM QRadar EDR

Четыре причины, почему вам нужен QRadar EDR - ICORE (1)

IBM QRadar EDR обеспечивает обзор экосистемы конечных точек.

В отличие от сложных приборных панелей, панель IBM QRadar EDR имеет минималистичный и упрощенный вид для удобства использования. На главном экране всегда отображается высокоуровневый обзор алертов, показывающий состояние всех конечных устройств.

Запускается алерт

Четыре причины, почему вам нужен QRadar EDR - ICORE (2)

При обнаружении аномалий дерево поведения вызывает алерт.

IBM QRadar EDR помогает быстро выявлять аномальные действия, например, поведение вымогателей. В случае обнаружения каких-либо поведенческих аномалий автоматически включается алерт. В левой верхней части экрана отображается степень серьезности предупреждения (в данном случае – средняя). В правой части отображается дополнительная информация об алерте: причина срабатывания алерта, задействованные конечные точки и соответствие угрозы структуре MITRE ATT&CK.

Изучение алерта

Четыре причины, почему вам нужен QRadar EDR - ICORE (3)

Команды безопасности могут быстро проанализировать, является ли угроза вредоносной или ложной, нажав кнопку Alert details.

Для ускорения реагирования аналитики могут щелкнуть на странице с подробной информацией об алерте, чтобы быстро проанализировать, является ли угроза вредоносной или доброкачественной, и определить, не является ли она ложным срабатыванием. Это помогает снизить усталость от алертов, поскольку аналитики не тратят время и силы на пролистывание тысяч строк журналов событий в попытке определить, что именно пошло не так.

Четыре причины, почему вам нужен QRadar EDR - ICORE (4)

По мере развития атаки автоматически создается визуальная сюжетная линия.

Для каждого предупреждения создается дерево поведения, которое обеспечивает полную видимость предупреждения и атаки. Эта удобная для пользователя визуальная сюжетная линия представляет собой хронологическую схему атаки. Например, какие приложения и поведение вызвали тревогу, как разворачивается атака и т.д. Команды безопасности могут легко просматривать весь спектр угроз на одном экране, что помогает им быстро принимать решения.

Детальная поведенческая аналитика и полная видимость атак

Четыре причины, почему вам нужен QRadar EDR - ICORE (5)

Полная видимость атак позволяет аналитикам понять масштаб атаки и принять соответствующие меры.

Щелчок на кружках в древовидной функциональности показывает подробную информацию о запущенных приложениях. Хотя на данный момент ничто не может вызвать тревогу, некоторые атаки, запускаемые через подписанные приложения, могут обойти антивирусные программы или брандмауэры.

Простая визуализация дерева поведения для определения приоритетов алертов

Четыре причины, почему вам нужен QRadar EDR - ICORE (6)

Аналитики могут легко расставить приоритеты при поиске алертов.

Для ускорения расследования IBM QRadar EDR показывает активность угроз с помощью простой визуализации дерева поведения с кругами и шестиугольниками. Круги обозначают приложения, а шестиугольники – поведение. Для каждой фигуры предусмотрены свои цвета. Красный цвет обозначает серьезный риск, оранжевый – средний риск, желтый – низкий риск. Эти цвета обозначают степень серьезности и помогают службам безопасности определить приоритеты при поиске предупреждений.

2. Повышение эффективности работы аналитиков с помощью IBM QRadar EDR

Эффективность работы аналитиков может быть значительно повышена благодаря простоте и скорости, с которой средства защиты EDR, такие как IBM QRadar EDR, могут устранять угрозы, завершать процессы или изолировать зараженные устройства. IBM QRadar EDR также поддерживает криминалистический анализ и реконструкцию первопричины атаки. Это помогает оперативным группам устранять угрозы и быстро восстанавливать непрерывность бизнеса.

Устранение и изоляция угроз с помощью IBM QRadar EDR

Четыре причины, почему вам нужен QRadar EDR - ICORE (7)

Быстрый просмотр, показывающий, сколько других конечных точек было затронуто вредоносной активностью.

После того как угроза проанализирована и признана вредоносной, аналитик может получить доступ к средствам управления сдерживанием для сортировки, реагирования и защиты путем создания политики блокирования, чтобы предотвратить запуск угрозы на других конечных точках.

Команды безопасности могут также просмотреть количество скомпрометированных конечных точек, чтобы выяснить, была ли угроза единичной или повторяющейся. Затем угрозы могут быть ликвидированы, а зараженные конечные точки полностью изолированы от сети независимо от того, где находится конечный пользователь (например, в Сингапуре, США, Великобритании, Африке и т.д.). Если конечная точка подключена к серверу, вредоносное ПО может быть уничтожено и занесено в блок-лист в режиме реального времени.

Предотвращение подобных угроз в будущем

Четыре причины, почему вам нужен QRadar EDR - ICORE (8)

Аналитики могут создавать рабочие процессы для противодействия аналогичным угрозам.

IBM QRadar EDR позволяет создавать рабочие процессы для противодействия конкретным угрозам. Таким образом, эти планы могут быть запущены автономно при обнаружении аналогичной угрозы в будущем.

Кроме того, в нем предусмотрены опции для выбора и удаления упавших исполняемых файлов, файловой системы или реестра. Можно выбрать конечные точки, которые необходимо изолировать в рамках данного плана исправления, и закрыть алерты.

3. Получение высокоточных алертов, позволяющих снизить нагрузку на аналитиков

IBM QRadar EDR обеспечивает высококачественные алерты и помогает сократить время расследования с нескольких минут до нескольких секунд благодаря аналитике угроз и аналитическому скорингу. Аналитики могут выявлять потенциальные киберугрозы с помощью анализа метаданных для ускорения процесса сортировки. Кроме того, возможности IBM QRadar EDR по поиску угроз позволяют в режиме реального времени осуществлять поиск индикаторов компрометации (IOC), двоичных файлов и моделей поведения в масштабах всей инфраструктуры.

Классификация угроз для снижения количества ложных срабатываний

Четыре причины, почему вам нужен QRadar EDR - ICORE (9)

Cyber Assistant учится на основе решений аналитиков и помогает снизить усталость от алертов.

После закрытия алерта аналитику важно классифицировать угрозу как вредоносную или ложную, поскольку Cyber Assistant – система управления алетрами на базе искусственного интеллекта в составе платформы защиты конечных точек – постоянно учится на основе решений аналитиков.

Она собирает данные и с помощью искусственного интеллекта постоянно изучает шаблоны угроз для оценки схожих угроз. Если новая угроза имеет схожую телеметрию выше 85% или более, то для оценки она использует изученные модели поведения.

Cyber Assistant сохраняет этот интеллектуальный капитал для снижения количества ложных срабатываний. Это означает высокую точность алертов и снижение нагрузки на аналитиков для уменьшения усталости от алертов и повышения эффективности работы групп безопасности.

4. Получение глубокой видимости всех процессов и приложений, выполняемых на всех конечных устройствах

Для защиты своих активов и обнаружения злоумышленников в случае кибератаки компаниям необходимо иметь глубокую видимость всех конечных устройств, включая ноутбуки, настольные компьютеры, IoT, мобильные устройства, планшеты и т.д.

NanoOS – легкий агент, который располагается вне операционных систем на уровне гипервизора, – разработан таким образом, чтобы его нельзя было обнаружить, что делает его невидимым для злоумышленников и вредоносных программ, поскольку его нельзя изменить, отключить или заменить.

Команды безопасности также могут использовать преимущества NanoOS для незаметного отслеживания перемещений злоумышленников в течение максимально возможного времени, чтобы понять их цели, пока команда безопасности не перекроет доступ. Затем можно развернуть решение IBM QRadar EDR для очистки скомпрометированных устройств без простоев.

Заключение

Эффективное решение для защиты конечных точек, такое как IBM Security QRadar EDR, может помочь командам кибербезопасности выявить слабые места. Решения для обнаружения и реагирования на конечные точки (EDR) не являются единственным механизмом защиты для обнаружения угроз, но они все же должны быть начальным механизмом наряду с расширенным решением для обнаружения и реагирования (XDR) для выявления подозрительного поведения.

IBM QRadar EDR обеспечивает простую интеграцию с QRadar SIEM, предоставляя организациям более надежную систему защиты, объединяющую возможности защиты, обнаружения и реагирования для повышения уровня ИТ-безопасности от современных кибератак.

Источник:
https://www.ibm.com/blog/top-4-reasons-why-ibm-security-reaqta-is-the-edr-solution-for-you/
https://www.ibm.com/reports/threat-intelligence
https://www.ibm.com/products/qradar-edr
https://icore.kz/obnaruzhenie-i-reagirovanie-na-ugrozy-ks/ibm-security-reaqta-cloud-pak-for-security/

Автор: 
Pooja Parab – Технический писатель

Перевод и дополнения:
Лебедев А.В.