Линия фронта – конечные устройства
Защита рабочих мест пользователей от вредоносного ПО стала одной из первых задач, с которыми столкнулись компании, переходящие на персональные компьютеры. На мейнфреймах такого не было и быть не могло. С тех пор борьба между теми, кто пишет вредоносный код, и теми, кто не допускает его проникновения, не затихает ни на час. Защита рабочих станций и других конечных устройств была и остается одной из важнейших задач корпоративной безопасности. За минувшие десятилетия средства идентификации угроз и противодействия им развились и прошли огромный путь, но до сих пор остаются актуальными проблемы в этой области, устранить которые нереально, крайне сложно или дорого.
Очень упрощенно ситуация выглядит так: сами ИТ-системы растут и усложняются, в них появляются все новые устройства и решения. Вал угроз и число атак не падает, появляются новые их типы, меняются технологии и характер вторжений. Число сотрудников служб ИТ-безопасности увеличивается незначительно и совершенно непропорционально нарастающей угрозе. Поэтому потребности в автоматизации распознавания угроз и противодействия им стремительно увеличиваются. Защита рабочих мест по-прежнему остается одним из самых хлопотных, трудоемких и потенциально уязвимых участков.
На этом фронте есть много проблем. Если контроль за безопасностью рабочих мест недостаточен, фрагментарен, то оценить степень компрометации всей ИТ-среды предприятия невозможно. Не представляя общей картины заражения, невозможно и полностью устранить его. Остается реальной опасность пропустить что-то, а оставшиеся внутри корпоративных систем вредоносные элементы продолжают создавать угрозу, могут нанести очень серьезный урон, проникнув, например, в контуры АСУ ТП, и вызвать остановку не только работы офисных сотрудников, но и производственных систем.
Другая сторона неполного, ограниченного знания и контроля – задержки в принятии защитных мер, проведении мероприятий, что дает зловредам больше шансов. Бреши в системах безопасности появляются и в результате применения «зоопарка» решений. Дилемма «единая универсальная платформа» или «набор не связанных между собой инструментов, идеально заточенных каждый под свою задачу» очень распространена в корпоративных ИТ, трудно найти сектор, где ее не было бы. Однако в области безопасности это не просто вопрос большей или меньшей эффективности, а решение, прямо влияющие на уровень рисков.
На все это накладывается дефицит кадров и несовершенство рабочих процессов. Чем больше суеты, аврала и импровизаций и меньше автоматизации и четко выполняемых регламентов, тем масштабней урон от атак и вторжений.
Продукты, позволяющие избежать таких проблем или снизить их влияние до минимума, довольно многочисленны и хорошо известны. Ежегодный рейтинг Gartner Peer Insights Customers’ Choice включает категорию The Endpoint Detection and Response Solutions (EDR). Gartner определяет эти продукты как решения, записывающие и хранящие поведение конечных устройств, использующие различные технологии анализа данных для выявления подозрительного поведения системы, предоставляющие сопутствующую информацию, блокирующие подозрительную активность и дающие предложения для скорейшего восстановления поврежденных систем. EDR-системы должны обеспечивать четыре базовые функции: выявлять инциденты безопасности, блокировать инцидент на конечном устройстве, расследовать инциденты, предлагать варианты решения проблем и устранения последствий.
Но не всем нужны такие широкие функции EDR, потому что они требуют серьезных ресурсов. Иногда нужны упрощенные инструменты EDR, которые будут улучшать обзор происходящего в инфраструктуре, но при этом будут максимально автоматизированы. Именно такие возможности содержит Kaspersky EDR для бизнеса Оптимальный, входящий в состав линейки продуктов для комплексной защиты бизнеса Kaspersky Security для бизнеса.
Мнения пользователей
Конкурс Gartner Peer Insights Customers’ Choice предполагает сбор и публикацию отзывов клиентов об используемых продуктах, а также их оценки как отдельных параметров, так и продукта в целом. Для каждого отзыва можно увидеть отрасль компании, в которой работает человек, ее размер, должность сотрудника, непосредственно написавшего отзыв. Участвуют компании всего мира, никакого выделения России нет, деление есть только по регионам.
Отзывы такие разные, что само по себе их изучение весьма познавательно. Все они относятся к продукту Kaspersky EDR. Одни клиенты подробно описывают работу ПО и то, что для них особенно ценно. «KEDR автоматизирует сбор данных и анализ подозрительных активностей по всей инфраструктуре компании. Позволяет хранить всю полученную информацию и все вердикты, что дает возможность ретроспективного анализа и позволяет быстро идентифицировать различные элементы сложных развернутых атак. У пакета есть единая консоль, где предусмотрена визуализация мониторинга всех событий, включая результат сканирования IoC, все распознанные угрозы. В этой же консоли можно вручную проактивно искать угрозы. Единый список реакций на все инциденты заметно уменьшает число рутинных операций. В целом работа через единую консоль ускоряет распознавание угроз, повышает эффективность отдельных расследований, ускоряет реакцию на комплексные угрозы и заметно сокращает трудозатраты на ИТ и ИБ».
Другие отзывы короче: «Продукт позволяет защищать документы и серверы от зловредов и киберпреступников и реактивно, и проактивно. Эффективно защищает от вирусов, троянов и всех видов вредоносных программ. Имеет удобный интерфейс и отслеживает информацию в реальном времени. Это один из лучших на рынке продуктов для защиты данных». «Нам нравится функциональность KEDR: задачи, превентивные правила, карантин». «Изоляция сети – отличная функция Kaspersky EDR». «У продукта широкое покрытие: он работает не только с рабочими станциями, но и с мобильными устройствами. Помогает нам защищаться от шпионских веб-камер, защищает фотографии, файлы и другие цифровые активы». Клиенты отмечают высокую скорость выявления вирусов и глубину проверки на угрозы всех жестких дисков. «Техническая поддержка выдающаяся: при любой проблеме мы получали все необходимое сопровождение».
О высоком уровне клиентского сервиса пишут и другие пользователи: «Во время интеграции KEDR у нас возникли проблемы с взаимодействием с AD (creating service connection point), но команда технической поддержки вендора быстро нам помогла». Показательно и еще одно клиентское мнение. «KEDR – это инструмент для компаний, где есть специалисты по кибербезопасности. Если это про вас, то просто пообщайтесь с вендором, они ответят на все ваши вопросы».
Именно на базе Kaspersky Endpoint Detection and Response, заслужившего столь высокие отзывы, построена его «легкая» версия, которая работает в Kaspersky EDR для бизнеса Оптимальный. Ее функциональность минимизирована.
Технологические особенности
Правильная постановка задачи – половина решения, этому учат в любом техническом вузе. Чтобы задачу поставить, надо четко понимать исходное положение дел, а дальше двигаться системно. Чтобы эффективно защищать конечные устройства и быстро возвращать систему к исходному рабочему положению, надо знать довольно много. Какая была реакция в ответ на оповещение об угрозе? Каков масштаб выявленной угрозы, и чем точней это известно, тем лучше. Угроза до сих пор активна или нет? Какой была первопричина угрозы? Если были скомпрометированы учетные записи, то какие именно?
На все эти вопросы Kaspersky EDR для бизнеса Оптимальный отвечает, причем на визуальном уровне. Есть карта оповещений, видны пути распространения атаки, предусмотрены и другие методы для выяснения причины инцидента (Root Cause Analysis). Для оценки глубины и ширины атаки применяются индикаторы компрометации на конечных точках. Конечно, для проведения глубинного анализа и полноценного расследования этот продукт не подходит (тут нужен полноценный Kaspersky EDR), но это сделано умышленно, чтобы не перегружать данными сотрудников отдела ИБ и максимально упростить их работу.
В Kaspersky EDR для бизнеса Оптимальный используются технологии машинного обучения, при необходимости подключается автоматизированная песочница. В ней динамически анализируются неизвестные, целевые и избегающие обнаружения киберугрозы. Ее применение существенно увеличивает долю автоматически блокируемых атак.
Согласно результатам глобального исследования рисков информационной безопасности (The Kaspersky Global IT Risk Report), «Лаборатория Касперского», на протяжении 2019 года 91% обследованных организаций столкнулись с кибератаками; каждая десятая стала жертвой целевой атаки. Шанс попасть в эти 91% очень высок для любой организации, поэтому средства минимизации таких рисков, в первую очередь решения класса EDR, есть смысл рассматривать самым серьезным образом.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 03.09.2020