Linkedin-in
Обнаружение и реагирование на угрозы КС
Многоуровневая защита организации с использованием Fidelis Elevate - ICORE
_

Многоуровневая защита организации с использованием Fidelis Elevate

На сегодняшний день вопрос кибербезопасности наиболее актуален. Современные злоумышленники используют более изощрённые, ранее неизвестные инструменты, методы и тактики для осуществления атак. Согласно данным от Statista, в 2023 году от атак программ-вымогателей пострадали 75,7% всех мировых организаций. И с каждым годом эти показатели растут. Так, например, в 2018-м пострадало лишь 55,1% организаций, в 2019-м — 56,1%, в 2020-м — 62,4%, в 2021-м — 68,5%, в 2022 году — 71%.

Эти цифры говорят нам о том, что стандартных методов защиты уже недостаточно, и необходимо использовать более комплексный подход для анализа и реагирования на инциденты информационной безопасности. В следствие этого было введено такое понятие, как XDR (Extended Detection and Response) – это расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. Ключевым элементом любого XDR всегда является EDR (Endpoint Detection and Response) – обнаружение и реагирование на конечных устройствах.

Однако XDR включает не только EDR; в понимание XDR как правило входит анализ и управление сетевым трафиком. Одним из решений класса XDR является платформа Fidelis Elevate, которая состоит из трех элементов: Fidelis Endpoint, Fidelis Network и Fidelis Deception.

Fidelis Endpoint представляет собой решение класса EDR, предназначенное для защиты конечных устройств от любого вида угроз при помощи технологий искусственного интеллекта, индикаторов компрометации, YARA-правил, сигнатурного и поведенческого анализа.

Технологии искусственного интеллекта используются для выявления аномалий в поведении программного обеспечения или действиях пользователя.

Индикаторы компрометации (IoC) — это конкретные данные или аномалии, которые могут указывать на наличие компрометации системы или сети. Они могут включать в себя IP-адреса, домены, хэш-суммы файлов, а также образцы зловредного кода или атакующих методов. Индикаторы компрометации часто используются для обнаружения и реагирования на кибератаки.

YARA — это мощный инструмент для обнаружения зловредного программного обеспечения и анализа вредоносных файлов. Он позволяет анализировать файлы на предмет соответствия определенным шаблонам, называемым YARA-правилами. YARA-правила могут описывать как структурные особенности файлов (например, сигнатуры), так и поведенческие характеристики (например, последовательность байтов или строк), которые могут указывать на наличие зловредного программного обеспечения. Технология сигнатурного анализа используется для обнаружения вредоносных программ и атак на основе заранее известных характеристик, известных как сигнатуры. Сигнатуры представляют собой уникальные паттерны или характеристики, которые идентифицируют конкретные виды зловредного программного обеспечения или атак.

Поведенческий анализ в области информационной безопасности — это метод анализа и обнаружения вредоносного программного обеспечения и атак на основе аномального поведения системы или приложения. В отличие от сигнатурного анализа, который сосредотачивается на идентификации известных паттернов вредоносного программного обеспечения, поведенческий анализ фокусируется на необычных или ненормативных действиях, которые могут указывать на наличие атаки.

Инструменты Fidelis Endpoint позволяют автоматизировать расследование и реакцию на инциденты информационной безопасности, устраняя ручную работу и облегчая работу аналитиков путем визуализации всех процессов и действий, создавая полную картину происходящего. При этом Fidelis Endpoint не требует высокого уровня подготовки персонала, так как все необходимые данные предоставляются в понятном виде с подробной информацией по каждому инциденту.

Решение позволяет собирать широкий спектр метаданных с конечных точек, коррелировать их с данными Fidelis, базой знаний Mitre Att&ck, Threat Intel сервисами и сторонними информационными каналами, чтобы узнать, какие конечные точки скомпрометированы. При обнаружении скомпрометированных конечных устройств Fidelis может автоматически устранять угрозы и последствия, запуская любые команды или скрипты, как уже готовые, так и самонаписанные. При этом агенты Fidelis работают от имени системы, что предоставляет неограниченный доступ к конечному устройству вплоть до установки, удаления, обновления любого программного обеспечения, редактирования любых параметров реестра, файловой системы и прочих компонентов системы. Преимущество Fidelis Endpoint в том, что Fidelis это не только решение для защиты конечных устройств, но также и мощный инструмент для централизованного администрирования рабочих станций.

В мире существуют организации, использующие до 400 000 Fidelis Endpoint с одной консоли управления. Разработанное для защиты государственных органов США, решение напрямую интегрировано в платформу безопасности Fidelis Elevate, что даёт возможность построить уникальные реакции на любые инциденты ИБ в будущем.

Следующий компонент, входящий в платформу Fidelis Elevate, – Fidelis Network.

Fidelis Network – это решение класса NDR (Network Detection and Response), позволяющее проводить анализ сетевого трафика для обнаружения и предотвращения инцидентов информационной безопасности на уровне сети. Fidelis Network позволяет обнаруживать любые инструменты и тактики злоумышленников, включая продвинутое вредоносное программное обеспечение, эксплоиты, командные и контрольные центры, которые обычно могут обойти традиционные сетевые системы безопасности. Также, при помощи Fidelis, возможно понять поведение атакующего, включая горизонтальные перемещения данных в процессе эксфильтрации. Fidelis Network обеспечивает видимость, контекст и скорость, необходимые для выявления угроз, и делает все необходимое, чтобы кража информации никогда не состоялась.

Fidelis Network собирает всю необходимую информацию по каждому инциденту и предоставляет ее в понятном и простом виде: кто является источником инцидента, целевой актив, на который проводится атака, какие порты и протоколы используются, какие тактики и инструменты использовались, на что стоит обратить внимание и т.д. Все это упрощает проведение анализа инцидентов информационной безопасности и позволяет быстрее проводить необходимые действия для предотвращения той или иной угрозы. При этом интерфейс Fidelis Network достаточно прост и интуитивно понятен, в следствие чего не требуется высокий уровень подготовки от аналитиков информационной безопасности. Для описания трафика Fidelis использует более 300 способов, что в десятки раз больше, чем у других существующих решений, что позволяет получать наиболее точные и детальные метаданные.

Третьим компонентом Fidelis Elevate является Fidelis Decoy.

Fidelis Decoy представляет собой сервер для централизованного создания и управления так называемыми ловушками. Задача ловушек заключается в привлечении внимания злоумышленника и последующей атаки или несанкционированному исследованию, что впоследствии позволит изучить, какими инструментами и тактиками пользуется злоумышленник, какие активы или ресурсы представляют интерес для злоумышленника и т.д.

Принцип работы Decoy сервера.

Decoy сервер создает ловушки, которые имитируют рабочие станции, сетевое оборудование, веб-страницы, камеры видеонаблюдения, сервера и т.д., и наполняет их ложной информацией, чтобы сделать ловушку более схожей с реальным активом. Также Decoy сервер создает и распространяет хлебные крошки. Хлебные крошки – это информация, которая разбрасывается по периметру организации и указывает на ранее созданные ловушки. Они необходимы для того, чтобы злоумышленник нашел наши ловушки и сфокусировал на них свое внимание. Fidelis Decoy способен создавать ловушки автоматически на основе данных, полученных из сети. Также Fidelis Decoy может работать с так называемыми “золотыми образами”. Золотой образ представляет собой шаблон рабочих станций, используемых в организации. Кроме рабочих станций, Fidelis Decoy предоставляет возможность создавать ловушки, имитирующие сетевое оборудование. При попытке доступа к веб-интерфейсу ловушки мы увидим имитацию того, что через данное оборудование проходит трафик, и ловушка ничем не отличается от рабочего оборудования, за исключением того, что информация, которой наполняется ловушка, является ложной.

Одним из преимуществ подобных решений является крайне низкий шанс ложноположительного срабатывания. Это связано с тем, что обычный пользователь специально никогда не взаимодействует с ловушками, так как, чаще всего даже и не знает о их существовании. Злоумышленник, в свою очередь, не знает, какие активы являются реальными, а какие – ловушками. Поэтому при любом взаимодействии с ловушкой возникает инцидент, который указывает на попытку атаки на инфраструктуру. Это позволяет оперативно реагировать на потенциальные угрозы и обеспечивать безопасность организации.

Одним из основных преимуществ использования комплекса Fidelis Elevate является высокий уровень автоматизации при реакции на инциденты безопасности, расследованиях и устранении последствий. Это даёт возможность построить эффективный центр управления безопасностью (SOC), используя всего три решения – платформу Fidelis Elevate + SIEM-систему + SOAR систему, при минимальном количестве обслуживающего персонала. Имея в своём составе защиту сетевого трафика, глубокий анализ сетевой активности, защиту конечных точек, систему обнаружения зловредной активности и обмана злоумышленников, «песочницу» – для детонации неизвестного ПО (и всё это в одной консоли) – платформа Fidelis Elevate является уникальной, сокращая время точной реакции на инциденты ИБ с нескольких дней до нескольких минут.

Также преимуществом платформы Fidelis Elevate является количество решаемых задач информационной безопасности, что позволяет заказчику избежать необходимости администрировать целый ряд систем от различных производителя – таким образом, не только повысить уровень информационной безопасности за счёт интеграции технологий в единую консоль управления, а и снизить расходы на обслуживание большого количества систем, подготовку и содержание сотрудников.

Лицензирование компонентов платформы Fidelis Elevate построено с учётом требований Enterprise сегмента заказчиков и предусматривает быстрое масштабирование при минимальных затратах, не требуя при внедрении внесения глобальных изменений в достаточно сложную инфраструктуру Enterprise компаний. При этом предусмотрено как вечное владение программно-аппаратными комплексами Fidelis, так и модель подписки.

Источник:
https://icore.kz/bezopasnost-fidelis-elevate-vidimost-i-kontrol/
https://forbes.kz/actual/technologies/kolichestvo_kiberatak_v_rk_vyiroslo_vdvoe/

Автор: 
Ким Дмитрий, Инженер 1 категории направления защиты конечных точек