Обнаружение и реагирование на угрозы КС
Как сочетание инструментов EPP и EDR повышает безопасность конечных точек вашей Организации - ICORE

Сочетание инструментов EPP и EDR может повысить безопасность вашей конечной точки

Платформа Endpoint protection platform (EPP) и средства обнаружения и реагирования на конечные точки (EDR) – это два продукта безопасности, которые обычно используются для защиты систем конечных точек от угроз. EPP – это комплексное решение для обеспечения безопасности, которое предоставляет ряд функций для обнаружения и предотвращения угроз для устройств конечных точек. В то же время EDR специально разработан для мониторинга, обнаружения угроз конечным точкам и реагирования на них в режиме реального времени. EPP и EDR имеют некоторое сходство, поскольку оба они направлены на защиту конечных точек от угроз, но у них также есть некоторые ключевые различия. Давайте углубимся в это.

Приложения EPPS являются важнейшим компонентом стратегии безопасности конечных точек организации. Платформы обычно включают в себя такие функции, как предотвращение вторжений на хост, веб-защита хоста, проверка журналов и мониторинг целостности. Эти функции обеспечивают базовый уровень защиты от известных угроз. Однако их зависимость от традиционных антивирусных компонентов, использующих сигнатуры, ограничивает их эффективность в обнаружении и блокировании новых и появляющихся угроз. Хотя в настоящее время корпоративные разработчики EPP предлагают определенный уровень эвристического обнаружения угроз и машинного обучения, они не соответствуют возможностям EDR.

Именно здесь вступают в силу инструменты EDR. Они используют машинное обучение и поведенческий анализ для обнаружения киберугроз и реагирования на них в режиме реального времени. Анализируя поведение конечной точки, инструменты EDR могут выявлять и блокировать неизвестные вредоносные программы и продвинутые угрозы, которые традиционное антивирусное программное обеспечение не в состоянии обнаружить.

Хотя приложения EPP обеспечивают прочную основу для защиты конечных точек, их ограничения в обнаружении и блокировании новых и появляющихся угроз подчеркивают необходимость в дополнительных уровнях защиты, таких как инструменты EDR. Объединив сильные стороны EPPs и EDR-инструментов, организации могут разработать более комплексный подход к обеспечению безопасности конечных точек, который использует сильные стороны обоих инструментов.

Плюсы и минусы инструментов EPP и EDR

Многие из основных игроков на рынке обеспечения безопасности конечных устройств предлагают интегрированные пакеты EPP и EDR, объединяющие возможности как одного агента, так и консоли для обеспечения всестороннего обзора состояния угроз безопасности организации.

И EPP, и EDR имеют следующие компоненты (по отдельности или в сочетании):

  1. Агент конечной точки: На конечной точке устанавливается агент для мониторинга и сбора данных об активности конечной точки, включая системные журналы, сетевой трафик и активность с файлами.
  2. Консоль управления: Собранные данные отправляются на центральный сервер для хранения и анализа.

Обычно доступны как локальные, так и программы как услуга (SaaS).:

o Локальное развертывание: для развертываний, которые не позволяют передавать данные за пределы локального центра обработки данных с точки зрения нормативных требований; это требует дополнительных затрат на обслуживание инфраструктуры, в которой размещаются приложения (обычно виртуальные машины и серверы баз данных).

o SaaS: Размещается у поставщика с повышенной отказоустойчивостью и доступностью; все нормативные требования и соответствие требованиям регулируются соглашениями об уровне обслуживания с поставщиками в рамках лицензионного соглашения.

Модули EPP включают в себя:

  • Предотвращение вторжений на хост: компании часто сталкиваются с проблемой исправления уязвимостей своей операционной системы (ОС) и приложений, в результате чего у них остаются десятки тысяч уязвимостей, которые можно использовать. Этот модуль помогает компаниям внедрять исправления в соответствии со своими процессами, как правило, на конечных точках серверного типа.
  • Брандмауэр хоста: контролирует сетевой трафик к конечной точке и обратно, блокируя несанкционированный доступ и ограничивая распространение вредоносных программ, как правило, с помощью правил с отслеживанием состояния.
  • Веб-защита хоста (фильтрация URL-адресов, веб-репутация): Этот модуль блокирует доступ к известным вредоносным веб-сайтам и ограничивает доступ к веб-сайтам, не связанным с работой, для повышения производительности. Конечные точки клиентов, такие как рабочие станции, ноутбуки и мобильные устройства, являются типичными целевыми областями.
  • Проверка журналов: Этот модуль помогает выявлять важные события, которые могут быть скрыты в журналах ОС и приложений, как правило, для дальнейшего использования решениями для управления информацией о безопасности и событиями (SIEM).
  • Мониторинг целостности файлов: Отслеживает неожиданные изменения значений реестра, разделов реестра, служб, процессов, установленного программного обеспечения, портов и файлов для выявления нарушений.
  • Контроль устройств: контролирует доступ к USB и другим внешним устройствам, предотвращая распространение вредоносных программ через съемные носители, особенно для конечных точек клиентов и для предотвращения использования конечными пользователями несанкционированных флэш-накопителей.
  • Шифрование диска: шифрует данные на конечной точке, гарантируя, что конфиденциальная информация останется в безопасности, даже если устройство будет потеряно или украдено.
  • Предотвращение потери данных в конечных точках (DLP): Отслеживает и контролирует перемещение конфиденциальных данных в конечных точках, предотвращая утечку данных и несанкционированный доступ. Несмотря на то, что существует множество автономных корпоративных решений DLP, преимущество использования решений, интегрированных с EPP, заключается в снижении нагрузки на агентов и сложности среды.
  • Контроль приложений/изменений: запрещает запуск несанкционированного программного обеспечения до получения явного разрешения или разрешает использование программного обеспечения до получения явного ограничения, позволяя компаниям выбирать уровень контроля в соответствии со спецификой среды.

Преимущества EPPs:

  • Улучшенная защита: модули EPP обеспечивают дополнительные уровни защиты от различных киберугроз. Основное преимущество заключается в том, что каждый модуль может быть включен индивидуально в группе систем или в отдельных системах с помощью пользовательских комбинаций, определяемых индивидуальными конфигурациями в рамках определенных политик.
  • Централизованное управление: Благодаря интеграции этих модулей в EPP организации могут более эффективно управлять безопасностью конечных точек с центральной консоли, сокращая затраты на управление и инфраструктуру.
  • Улучшенная видимость: данные, собранные этими модулями, могут быть использованы для улучшения контроля за деятельностью конечных точек, что повышает способность организации обнаруживать инциденты безопасности и реагировать на них.
  • Упрощенное развертывание: поскольку эти модули интегрированы в EPP, их можно развертывать и управлять ими проще, чем автономными средствами безопасности.

Недостатки EPPs:

  • Ограниченная эффективность в обнаружении и блокировании новых и появляющихся угроз
  • Реактивный подход к обеспечению безопасности, основанный на обновлении сигнатур для обнаружения новых угроз.
  • Предварительное развертывание может быть дорогостоящим и более сложным в развертывании и управлении с помощью дополнительных модулей
  • Может привести к большому количеству ложных срабатываний, расследование которых может занять много времени
  • Интеграция дополнительных модулей может усложнить EPP, требуя дополнительных ресурсов и опыта для эффективного управления
  • Некоторые модули могут оказывать влияние на производительность конечной точки, потенциально влияя на производительность.

Несмотря на эти потенциальные недостатки, преимущества использования EPPs заключаются в интегрированных дополнительных модулях, которые могут перевесить затраты. Предоставляя дополнительные уровни защиты, улучшая видимость и централизуя управление, эти модули могут повысить уровень безопасности конечных точек организации.

В конечном счете, организации должны тщательно учитывать свои конкретные потребности в области безопасности и бюджет при принятии решения о том, какие модули интегрировать в их EPP. Выбирая правильную комбинацию модулей, организации могут обеспечить более комплексный подход к обеспечению безопасности конечных точек, который отвечает их уникальным потребностям и снижает киберриски. Компаниям следует начинать с поэтапного подхода, постепенно подключая дополнительные модули и функции по мере расширения потребностей.

С другой стороны, инструменты EDR используют машинное обучение и поведенческий анализ для обнаружения киберугроз и реагирования на них в режиме реального времени. Анализируя поведение конечных устройств, инструменты EDR способны выявлять и блокировать неизвестные вредоносные программы и сложные угрозы, которые традиционные антивирусные компоненты не в состоянии обнаружить. EDR можно рассматривать как дополнение к основному пакету EPP для комплексной защиты, обнаружения и реагирования.

Модули EDR включают в себя:

  • Поведенческий анализ: инструменты EDR отслеживают активность конечных точек на предмет подозрительного поведения, которое может указывать на угрозу. Это может включать обнаружение необычного сетевого трафика, активности с файлами и системных изменений.
  • Машинное обучение: инструменты EDR используют алгоритмы машинного обучения для выявления закономерностей и аномалий в действиях конечных точек, которые могут указывать на угрозу безопасности. Это позволяет инструментам EDR выявлять новые и неизвестные угрозы и реагировать на них.
  • Анализ угроз: инструменты EDR используют каналы анализа угроз, чтобы быть в курсе последних известных угроз и признаков компрометации. Это помогает инструментам EDR более эффективно выявлять известные угрозы и реагировать на них.
  • Реагирование и криминалистика: инструменты EDR позволяют удаленно изолировать конечные точки, отключая их от сети одним щелчком мыши и открывая удаленную командную строку для расследования «threat hunter», сводя к минимуму влияние атаки, распространяющейся по окружению.

Преимущества инструментов EDR:

  • Может обнаруживать и блокировать неизвестные и продвинутые угрозы в режиме реального времени.
  • Постоянное изучение и адаптация к новым и появляющимся угрозам
  • Позволяет лучше отслеживать активность и поведение конечных точек
  • Позволяет быстрее обнаруживать инциденты безопасности и реагировать на них, сокращая время реагирования.

Недостатки инструментов EDR:

  • Могут быть сложными в развертывании и управлении
  • Как правило, на защищенных конечных точках устанавливаются дополнительные агенты
  • Для понимания и сортировки угроз может потребоваться больше ресурсов и опыта, чем для приложений EPPs
  • Может возникать большое количество предупреждений, расследование которых может занять много времени.

Сочетание инструментов EPPs и EDR обеспечивает более комплексный подход к обеспечению безопасности конечных устройств, который использует преимущества обоих инструментов. EPPs может обеспечить базовый уровень защиты от известных угроз, в то время как инструменты EDR могут обнаруживать и блокировать неизвестные и продвинутые угрозы в режиме реального времени.

Чтобы устранить пробелы в возможностях каждого инструмента, организации могут внедрить следующее:

  • Интеграция: Интеграция приложений и инструментов EDR может обеспечить более целостное представление о работе конечных точек и ускорить обнаружение инцидентов безопасности и реагирование на них.
  • Автоматизация: Автоматизация расследования инцидентов безопасности и реагирования на них может снизить нагрузку на службы безопасности и ускорить время реагирования.
  • Анализ угроз: Включение аналитических данных об угрозах в инструменты EPPs и EDR может помочь выявлять и блокировать возникающие угрозы.

Вывод

EPP и EDR являются важными компонентами комплексной стратегии безопасности Организации, и их совместная работа может обеспечить более надежную защиту от угроз. Сочетание инструментов EPPs и EDR обеспечивает более комплексный подход к обеспечению безопасности конечных точек, который использует преимущества обоих инструментов. Интегрируя эти два инструмента и внедряя каналы автоматизации и анализа угроз, организации могут устранить пробелы в возможностях каждого из них и обеспечить действительно комплексную безопасность конечных точек.

Кроме того, сочетание инструментов EPPs и EDR может привести к внедрению Платформы расширенного обнаружения и реагирования (XDR). Платформы XDR объединяют данные из множества средств обеспечения безопасности, включая EPPS и EDR, прокси-серверы, брандмауэры, SIEM и многие другие решения, чтобы обеспечить целостное представление о состоянии безопасности организации. Это позволяет специалистам по безопасности эффективно обнаруживать угрозы во всей среде и реагировать на них, снижая риск успешных кибератак.

Благодаря своим службам управления безопасностью конечных точек IBM Security Services может помочь организациям разрабатывать, настраивать и развертывать endpoint protection, приводить политики в соответствие с нормативными требованиями для защиты конфиденциальных данных, устанавливать новейшие технологии шифрования конечных точек и использовать аналитиков безопасности и централизованные консоли для мониторинга, поддержки и обновления операций по обеспечению безопасности.

Источник:
https://securityintelligence.com/posts/combining-epp-and-edr-tools-can-boost-your-endpoint-security/
https://icore.kz/obnaruzhenie-i-reagirovanie-na-ugrozy-ks/
https://www.ibm.com/products/qradar-edr

Автор: 
Xavier Santolaria, Cloud Security Solutions Architect, IBM Inventor, Member of the Academy of Technology
Jaroslav Vykoukal, Global Solutions Assurance Lead – Endpoint Security – IBM

Редактор: 
Редактор: Лебедев А.В.