Больше, чем просто мониторинг: какие задачи решает современный EDR

EDR-системы (Endpoint Detection and Response) представляют собой современный класс ИБ-продуктов, сочетающих непрерывный мониторинг угроз на конечных точках и возможности эффективного реагирования на обнаруженные угрозы. Что же такое EDR, чем он отличается от EPP (Endpoint Protection Platform) и почему для защиты от современных атак этот элемент необходим не меньше, чем EPP?

1. Введение
2. Отличия EDR от EPP
3. Что такое EDR и какие у него преимущества
4. Подходы к сбору и источники данных
5. События телеметрии в EDR
6. Механизмы для адаптации EDR-решений в инфраструктуре
7. Реагирование на инциденты с EDR
   
   1. 7.1. Ручное реагирование на инциденты c EDR
   2. 7.2. Автоматическое реагирование на инциденты с EDR
8. Выводы

Введение

Подходы атакующих с каждым годом становятся все более продвинутыми. Если еще 10 лет назад для проведения атаки нужно было обладать глубокими знаниями, то сейчас за небольшую сумму злоумышленники могут приобрести на теневых форумах готовый вредоносный продукт, который способен обходить классические средства защиты. Помимо этого, все чаще для развития атаки используются компоненты операционных систем, легитимные инструменты. 

По данным BI.ZONE, 85% угроз проявляют себя на конечных точках, а 6 из 10 инструментов, использованных злоумышленниками, — легитимные, например PsExec, Nmap, Advanced Port Scanner и т. д. Эти факторы делают обнаружение угроз более сложной задачей при использовании традиционных СЗИ, таких как платформы защиты конечных точек (Endpoint Protection Platform, EPP). 

Для противодействия современным угрозам (в частности, управляемым человеком) необходимы продвинутые, эшелонированные и многослойные подходы к обеспечению защиты. Среди таких элементов обеспечения многослойного подхода важнейшую роль играет класс решений по защите конечных точек — Endpoint Detection and Response (EDR). О них и поговорим более подробно.

Отличия EDR от EPP

Неотъемлемый элемент защиты конечных точек от вредоносного кода — средства антивирусной защиты, которые также называют решениями класса EPP. Они уже давно перестали быть просто классическими антивирусами и являются мощными комбайнами, содержащими множество инструментов защиты и контроля. Но, несмотря на это, одними из ключевых функциональных возможностей и задач современных средств антивирусной защиты по-прежнему остаются блокировка известных угроз и удаление вредоносных объектов с конечных точек. Наряду с защитой от известных файловых угроз современные EPP-решения могут защищать от неизвестной ранее вредоносной активности, но с рядом серьезных ограничений.

Обычно EPP используют следующие базовые методы выявления угроз:

1. Сигнатурные и эвристические методы обнаружения вредоносной активности на устройстве. Они позволяют находить известные угрозы, которые проявляют себя в разных местах операционной системы (ОС): объекты файловой системы, фрагменты вредоносных артефактов в оперативной памяти, входящий и исходящий сетевой трафик.
2. Поведенческие методы. Они позволяют выявлять как известные, так и неизвестные вредоносные объекты по действиям, которые выполняются в системе после запуска процесса, в т. ч. и не вредоносного. Именно поведенческие методы позволяют современным средствам антивирусной защиты выявлять угрозы, связанные с использованием легитимных инструментов ОС.

Задача EPP — обеспечить максимальный уровень детектирования с минимальным количеством ложноположительных срабатываний. Таким образом, EPP не должен и не может полноценно обеспечивать защиту от техник и механизмов атак, которые используются атакующим. 

EPP — это автоматизированное средство обеспечения защиты, которое самостоятельно принимает решение и не требует экспертного участия со стороны человека. Отсюда возникает проблема защиты от управляемых человеком современных атак, в рамках которых злоумышленники мимикрируют под легитимную активность. Это в значительной степени понижает вероятность обнаружения EPP-решением. Именно в этот момент и проявляется актуальность EDR как класса средств защиты.

EDR — в первую очередь экспертная система, которая позволяет частично перекладывать принятие решения на эксперта. Зная особенности и специфику инфраструктуры, он способен оценить злонамеренность обнаруженных подозрительных действий. Такой подход значительно расширяет зону видимости происходящего в корпоративной инфраструктуре. Помимо компонентов для обнаружения угроз, EDR за счет информативной телеметрии позволяет выстраивать дополнительные процессы кибербезопасности в инфраструктуре, такие как Threat Hunting, Inventory Assessment, Vulnerability Management и многие другие.

Таким образом, каждое из этих средств защиты решает свою задачу, однако существует определенная область пересечения их функциональности и возможностей. 

Что такое EDR и какие у него преимущества

Мы выяснили, что классический EDR — не замена EPP, но при этом дополняет его в части выявления сложных и неизвестных угроз. Согласно Hype Cycle for Security Operations 2024 от Gartner, EDR — неотъемлемый компонент системы защиты инфраструктуры.

Основные задачи современного EDR-решения:

1. Расширение зоны видимости. EDR собирает подробную телеметрию. Это позволяет выявлять угрозы, которые могли миновать другие средства защиты (в частности, EPP), и проводить ретроспективный анализ инцидентов благодаря исчерпывающей информации о происходящем в ОС. И если EPP не призван логировать происходящую в ОС активность и описывать причины принятых в автоматизированном режиме решений при реагировании на угрозы, то у EDR такая функциональность есть. Это дополняет механизмы защиты, расширяет зону видимости происходящего в инфраструктуре, делает процессы кибербезопасности более гибкими.
2. Выявление угроз. Благодаря тому что EDR собирает телеметрию и обогащает ее дополнительным контекстом, появляется возможность обнаруживать как известные, так и новые, неизвестные угрозы. Широкая функциональность EDR позволяет реализовывать самые разные алгоритмы обнаружения угроз на устройстве, от простых до многослойных. Так как в EDR принятие решений замыкается на эксперта по кибербезопасности, в рамках этого класса допустимо реализовывать более «широкие» детектирующие алгоритмы, которые могут эффективно работать после процесса адаптации решения в инфраструктуре. Более того, детектирующая логика современного EDR позволяет мониторить аномальную активность, которая может быть нехарактерной для штатного функционирования ОС и ее компонентов. Использование таких подходов для обнаружения современных угроз значительно расширяет область видимости происходящего и делает более вероятным обнаружение артефактов компрометации инфраструктуры на ранних этапах.
3. Реагирование на инциденты. EDR предоставляет гибкий инструментарий для автоматического и ручного реагирования на обнаруженные угрозы, начиная с автоматизированных действий в отношении ОС (изоляция, блокировка пользователей в домене и т. п.) и заканчивая полным ручным контролем устройства с возможностью запуска произвольных команд и скриптов, а также возможностью автоматического анализа результатов исполнения этих команд.
4. Инвентаризация активов, компонентов и конфигурации ОС. Сбор и анализ информации о настройках ОС, установленном ПО крайне важны для понимания, насколько инфраструктура подвержена рискам эксплуатации уязвимостей и неправильных конфигураций. Эта информация может быть эффективно использована в разных процессах кибербезопасности для принятия решений и мер, для снижения рисков возникновения инцидентов в будущем. Таким образом, EDR не только обнаруживает факт уже случившейся компрометации инфраструктуры, но и проактивно оповещает о слабо защищенных компонентах и потенциально возможных векторах развития атаки.
5. Оперативный сбор артефактов для проведения расследований. Ручной процесс сбора артефактов и их постанализа может занимать у аналитика много времени. По этой причине автоматизированные механизмы сбора и анализа таких данных важны в процессе локализации инцидента. Наличие подобных инструментов в составе современных EDR позволяет оперативнее обнаруживать следы компрометации и артефакты вредоносного кода, чтобы в дальнейшем принять решение о процессе реагирования.
6. Использование объектов-приманок для обнаружения атакующих (deception). В ходе атаки злоумышленники ищут векторы ее развития на скомпрометированных устройствах — файлы с паролями, IP-адресами, SSH-ключами и т. п. Современные EDR-решения обладают функциональностью «подмешивания» артефактов-приманок, а также механизмами обнаружения признаков их использования. Данный подход позволяет добавить еще один фактор, значительно увеличивающий вероятность возникновения ошибки атакующего, которая может привести к его обнаружению.

В случае использования одного лишь EPP-решения в инфраструктуре аналитик получит только сообщение о том, что была обнаружена и устранена угроза. Почти всегда этой информации недостаточно для того, чтобы сформировать полное понимание происходящего в инфраструктуре, что сильно замедляет, а иногда делает невозможным процесс локализации инцидента.

При использовании EDR как дополнительного эшелона защиты аналитик получает множество преимуществ, которые усиливают слой защиты конечных точек во всех существующих плоскостях процессов кибербезопасности. При помощи EDR аналитик может:

• полностью восстанавливать сценарий атаки с момента первичной компрометации инфраструктуры через конечное устройство (за счет наличия богатой телеметрии);
• расширять зону видимости происходящего в инфраструктуре за счет продвинутых технологий детектирования известных и неизвестных ранее угроз;
• вести проактивный мониторинг инфраструктуры на предмет наличия уязвимого ПО и «слабых» конфигураций ОС, что значительно затрудняет злоумышленникам процесс продвижения по инфраструктуре, а также повышает вероятность совершения ошибки, которая приведет к обнаружению их активности;
• оперативно идентифицировать источник угрозы в процессе криминалистической экспертизы за счет автоматизированных средств сбора и постанализа артефактов в ОС;
• увеличивать вероятность ошибок злоумышленников путем «подмешивания» артефактов-ловушек в ОС;
• выстраивать произвольные процессы кибербезопасности, которые связаны с конечными точками инфраструктуры, используя перечисленные подходы и механизмы.

Подходы к сбору и источники данных

Поставляемые решением данные — самая главная ценность EDR. Поэтому качество продукта напрямую зависит от качества поставляемых и анализируемых данных. Стоит отметить, что некоторые решения класса EDR полагаются на бесплатные и открытые инструменты для сбора данных, такие как Sysmon, Auditd, Osquery и др. 

Однако у этих инструментов нет достаточной функциональности для эффективного мониторинга происходящего в инфраструктуре из-за недостаточного набора поставляемых данных. Более того, функциональные возможности EDR, построенного на базе бесплатных инструментов, зависят от желания и возможностей разработчиков сторонних инструментов.

У EDR, построенных на базе сторонних компонентов, есть следующие недостатки:

1. Отсутствие самозащиты. Бесплатные инструменты не обладают механизмами сетевой изоляции устройства и борьбы с угрозами для самих себя. Такие агенты могут быть легко отключены, что снижает эффективность защиты.
2. Отсутствие возможности оперативно добавить новые события или атрибуты из-за полной зависимости от стороннего разработчика.
3. Отсутствие возможности исправить обнаруженные уязвимости в сторонних компонентах.
4. Сложность разработки и поддержки конфигурационных файлов. У перечисленных инструментов — разный формат файлов конфигурации, и тонкая настройка может вызывать трудности и приводить к ошибкам. Как правило, вендор поставляет уже готовые конфигурационные файлы и у пользователя нет необходимости их разрабатывать.
5. Отсутствие единого агента. Сторонний компонент — это только источник телеметрии, но для реализации полноценного EDR необходима аналитическая платформа, которая осуществляет корреляцию и обогащение.
6. Недостаточный набор собираемых данных, использование которого не позволит своевременно реагировать на интенсивно меняющийся ландшафт киберугроз.

Другими словами, более правильный, но гораздо более сложный и дорогой вариант — разработка собственных компонентов для сбора данных. Это позволяет вендору собирать именно те данные и их атрибуты, которые являются важными для детектирования современных угроз.

Можно выделить два глобальных подхода к источникам:

1. Использование штатного инструментария операционной системы: аудит, ETW, AMSI, чтение произвольных объектов ОС и др.
2. Синхронный и асинхронный мониторинг активности на устройстве в режиме реального времени или близком к нему.

Первый подход подразумевает периодическое обращение к объектам или интерфейсам ОС, что в большинстве случаев не является технологически сложным или потенциально опасным для работоспособности ОС. Второй подход в большинстве случаев требует инвазивного воздействия на ОС, что может привести к нестабильности или ухудшению производительности системы. Именно эта тонкость делает разработку собственного EDR-решения сложной и дорогостоящей задачей. 

Современные EDR используют оба подхода и комбинируют их для получения большего контекста в предоставляемых данных, а также для создания более гибких и оптимальных алгоритмов обнаружения угроз.

В случае с Windows можно выделить множество источников, однако стоит учитывать, что штатного инструментария этой ОС недостаточно для получения исчерпывающего и качественного набора данных. По этой причине в перечне источников есть множество «инвазивных» механизмов:

• Драйвер мониторинга (сбор ядерных обратных вызовов, мини-фильтр файловой системы, Windows Filtering Platform).
• ETW (Event Tracing for Windows). ETW — это механизм Windows, предназначенный для регистрации событий, происходящих в системе. Возможность подписки на произвольные ETW-провайдеры позволяет реализовать сбор дополнительных событий без существенной доработки EDR.
• Windows Event Log. WEL хранит журналы событий, которые EDR может собирать и использовать для обнаружения вредоносной активности.
• WMI-события. Мониторинг WMI-подписок позволяет EDR обнаруживать техники закрепления и выполнения кода, использующие WMI.
• IAT Hooking. Метод перехвата и мониторинга произвольных вызовов API-функций через модификацию таблицы адресов импорта (IAT) позволяет EDR выявлять подозрительное поведение в пользовательских процессах.
• AMSI (Anti-Malware Scan Interface). Позволяет EDR анализировать скрипты и динамически исполняемый код на наличие вредоносного содержимого.
• RPC-мониторинг (Remote Procedure Call). Позволяет отслеживать удаленные вызовы процедур между процессами для выявления аномалий.
• Мониторинг входящего и исходящего трафика.
• Выполнение различных инвентаризаций: файлов, процессов, реестра, настроек безопасности, т. е. произвольных данных, которые возможно получить путем опроса объектов.

В ОС Linux можно выделить следующие источники данных, которые активно используются в современных EDR-решениях:

• Linux Audit Framework. Механизм ядра для регистрации системных вызовов и событий, позволяющий EDR собирать детальные логи действий пользователей и процессов.
• Kernel Probes (kprobes). Механизм отладки, позволяющий добавлять обработчики в произвольные точки выполнения кода ядра. Используется для мониторинга и анализа поведения системы на низком уровне.
• Модуль ядра для перехвата системных вызовов.
• eBPF. Предоставляет мощный механизм для изолированного запуска пользовательского кода в ядре. Позволяет эффективно и гибко собирать события без использования модуля ядра.
• Inotify / Fanotify. Подсистемы уведомлений файловой системы позволяют отслеживать события доступа, изменения и удаления файлов в режиме реального времени.
• Получение событий из журналов ОС и приложений.
• Выполнение различных инвентаризаций: файлов, процессов, конфигурационных файлов и т. д.

Операционная система macOS предоставляет готовые механизмы для доступа к событиям аудита, которые позволяют собирать качественные данные:

• Endpoint Security Framework (ESF). Предоставляет интерфейс для мониторинга событий на уровне ядра, позволяя EDR получать детальную информацию о процессах, файловых операциях и сетевой активности.
• Сетевой фильтр. Использование сетевого фильтра позволяет перехватывать и анализировать исходящий и входящий сетевой трафик для выявления подозрительной активности.
• Выполнение различных инвентаризаций: файлов, процессов, конфигурационных файлов и т. д.

Собственная разработка инструментов для сбора данных, в сравнении с использованием бесплатных и сторонних программ, позволяет адаптировать решение под интенсивно меняющийся ландшафт киберугроз благодаря добавлению новых источников. Также это исключает зависимость решения от стороннего разработчика.

События телеметрии в EDR

Чтобы эффективно выявлять сложные угрозы, современное EDR-решение должно собирать различные события телеметрии, общее количество которых может достигать нескольких сотен. Описанный далее перечень основных классов и категорий событий не является исчерпывающим и отражает лишь наиболее важные из типов событий, которые должен уметь собирать EDR.

1. Мониторинг активности процессов
   • Создание процессов. Мониторинг всех запускаемых в системе процессов позволяет выявлять большое количество угроз, поскольку такие события обычно содержат информацию о родительском процессе, о создаваемом процессе и командных строках, использовавшихся для их запуска. Например, это позволяет выявлять угрозы по характерным для них паттернам в командных строках или по аномальной комбинации родительского и дочернего процессов. Событие создания процессов — одно из основных для детектирования угроз и проведения расследований.
   • Запуск процессов. В ОС Windows есть две стадии: создание процесса и его запуск. Большинство решений собирают только события создания процессов, но процесс может быть создан в приостановленном состоянии, после чего модифицирован и запущен. Сравнение первичных параметров, с которыми процесс был создан, и тех, с которыми он был запущен, позволяет выявлять атаки наподобие подмены командной строки, родительского процесса и других параметров.
   • Модификации процессов. Мониторинг изменений в процессах, например инъекций кода, подмены модулей или модификации параметров процесса (параметры защиты, привилегии, командная строка и т. п.), позволяет выявлять часто используемые атакующими техники для выполнения вредоносного кода, закрепления и обхода антивирусов.
   • Межпроцессное взаимодействие. Доступ к памяти другого процесса, создание удаленного потока, трассировка удаленного процесса, манипуляции с регионами памяти и т. д. позволяют выявлять внедрение вредоносного кода, попытки обхода средств защиты, попытки кражи учетных данных из памяти процесса LSASS.
   • Загрузка DLL. Мониторинг загрузки библиотек позволяет EDR обнаруживать подозрительные библиотеки, выявлять некоторые техники внедрения вредоносного кода, такие как DLL-инъекции или подмены библиотек.
   • Инвентаризация запущенных процессов. В процессе инвентаризации будет полезно просканировать образ и память запущенных процессов с помощью встроенного в EDR сигнатурного движка, например YARA, а также проверить их на предмет наличия аномалий в памяти (например, подозрительные регионы, подозрительные атрибуты защиты и другие аномалии). Это позволит выявить внедренный в память легитимных процессов вредоносный код, а также подозрительные процессы, запущенные в системе до установки или запуска агента EDR.

2. Мониторинг файловой системы
   • Создание / изменение / удаление / переименование файлов, каталогов и альтернативных потоков данных. Отслеживание таких операций позволяет выявлять угрозы, связанные с подозрительной активностью в файловой системе. Например, это могут быть создание файлов в нетипичных директориях, нетипичные процессы, подозрительная модификация системных и конфигурационных файлов, создание объектов файловой системы, характерных для известных инструментов постэксплуатации. Совмещение мониторинга операций в файловой системе с сигнатурным сканированием (например, с помощью YARA) и / или IoC-сканированием дает возможность выявлять известные вредоносные объекты и инструменты атакующих. Например, сканирование файлов определенного типа, создаваемых в каталогах данных веб-серверов, позволяет выявлять загрузку веб-шеллов.
   • Получение доступа к файлам или их чтение. Мониторинг таких событий позволяет отслеживать, какие процессы и пользователи обращаются к критическим файлам, таким как конфигурационные и содержащие учетные данные. Это — основа для выявления программ-стилеров.
   • Изменение прав доступа к файлам и каталогам, а также их атрибутов. Атакующие или вредоносный код могут устанавливать атрибут «Скрытый», модифицировать права доступа и метки времени своих файлов для их скрытия в системе. Мониторинг соответствующих операций позволяет отслеживать такие действия.
   • Инвентаризация файлов в заданных каталогах. Позволяет выявлять следы прошлых атак и закрепления атакующих, которые были до установки или запуска EDR-агента. Такую инвентаризацию полезно совместить со сканированием файлов с помощью встроенного в EDR сигнатурного движка, например YARA, а также с проверкой по списку известных IoC.

3. Мониторинг реестра
   • Создание / удаление ключей и значений реестра. Мониторинг операций с реестром позволяет отслеживать попытки атакующих создать ключи или установить значения реестра для ослабления защиты скомпрометированного устройства или закрепления на нем.
   • Изменение параметров безопасности ключей реестра. Соответствующая активность на практике встречается редко, но может быть использована атакующими.
   • Инвентаризация ключей и значений реестра. Она позволяет провести аудит состояния безопасности конечной точки. Реестр в Windows содержит большое количество настроек, проверив которые можно сделать заключение о том, безопасно ли настроена система. 
   • Чтение значений заданных ключей реестра. Мониторинг таких событий позволяет отслеживать, какие процессы обращаются к критическим ключам реестра, например содержащим учетные данные пользователей (типичное поведение инструментов дампирования учетных данных или программ-стилеров).
   • Экспорт веток реестра. Это — редко происходящее в системе событие, но зачастую оно указывает на использование инструментов дампирования учетных данных локально или по сети. 

4. Мониторинг сетевого взаимодействия
   • Входящее или исходящее сетевое подключение.
   • DNS-запросы, а также результаты запросов.
   • Открытие локального порта на прослушивание.
   • Перевод сетевого интерфейса в неразборчивый режим. Позволяет выявлять использование анализаторов сетевого трафика (сниферов).
   • Инвентаризация сетевых интерфейсов.

5. Мониторинг происходящего в контейнерах (Docker, Kubernetes и т. д.). Несмотря на то что все важные события, происходящие внутри контейнеров, входили в предыдущие классы, стоит рассмотреть данный случай отдельно. Далеко не каждый EDR может собирать события, определяя их принадлежность контейнерам.
6. Мониторинг происходящего с пользователями и группами: создания / изменения / удаления учетных записей и групп, а также изменения членства пользователей в группах. Данный набор событий телеметрии является важным, поскольку атакующие могут создавать новые учетные записи и изменять права учетных записей путем добавления их в привилегированные группы, чтобы закрепиться и повысить привилегии.
7. Мониторинг попыток входа в систему. Позволяет обнаруживать брутфорс-атаки, попытки подбора паролей, несанкционированный доступ или подозрительную активность учетных записей.
8. Сбор произвольных событий уровня ОС. Иногда журналы безопасности операционных систем могут содержать события, необходимые для выявления новых угроз. Некоторые EDR позволяют настраивать сбор произвольных событий ОС через конфигурируемый механизм. Это позволяет аналитикам, не дожидаясь добавления разработчиками нужного события, оперативно реализовывать логику для детектирования новых угроз.
9. Мониторинг автозагрузки:
   • Установка / удаление / изменение сервисов.
   • Установка / загрузка драйверов и модулей ядра.
   • Установка / удаление / изменение задач планировщиков ОС.
   • Создание / изменение / удаление ключей реестра, отвечающих за автозагрузку.
   • Создание / изменение / удаление объектов файловой системы, отвечающих за автозагрузку.
   • Создание / изменение / удаление WMI-подписок.
   • Создание / изменение / удаление задач BITS.
   • Периодическая инвентаризация уже прописанных в различные автозагрузки элементов. Данный тип телеметрии — эффективный инструмент для выявления следов прошлых атак, активных или неактивных в настоящем, совершенных до установки EDR-агента. Такую инвентаризацию эффективно совмещать со сканированием прописанных в автозагрузку файлов с помощью встроенного в EDR сигнатурного движка.

10. Выполнение скриптов и команд:
    • Выполнение PowerShell-скриптов.
    • Выполнение команд в интерактивном терминале.
    • Выполнение WMI-команд.

Механизмы для адаптации EDR-решений в инфраструктуре

Каждая ИТ-инфраструктура уникальна, она имеет свои особенности, архитектуру и специфические бизнес-требования. Эффективность средств защиты информации, включая EDR, во многом зависит от того, насколько они были адаптированы под конкретную инфраструктуру. Вендор не всегда может предсказать все возможные сценарии эксплуатации решения в различных средах, по этой причине важно иметь возможность профилирования EDR в соответствии с особенностями защищаемой инфраструктуры. Решение должно предоставлять удобный и гибкий инструмент для разработки правил-исключений, а также механизмы фильтрации по всем имеющимся полям в событии.

Можно выделить три основные причины, по которым может быть необходимо что-либо изменить в политике сбора событий, поставляемой вендором:

1. Оптимизация ресурсов хранилища телеметрии. Объем собираемых данных напрямую влияет на то, сколько будет стоить длительное хранение. Фильтрация потока собираемой телеметрии и алертов позволяет добиться баланса между сбором как можно большего количества телеметрии и достаточным объемом для выявления современных угроз и расследования атак.
2. Оптимизация ресурсов конечной точки. Объем собираемой телеметрии влияет также и на устройство — источник телеметрии. Например, устройство может быть файловым сервером и поэтому на нем будет высокая файловая активность. Расчет атрибутов (magic, хеши, YARA-сканирования и др.) на каждом событии создания файла может повлечь за собой увеличение ресурсов, которые потребляют процессы EDR. Поэтому важно добавлять исключения не только при отправке событий в хранилище, но и на уровне источника телеметрии или правил формирования событий.
3. Снижение числа ложных срабатываний правил по выявлению угроз. В некоторых инфраструктурах могут совершенно легитимно использоваться различные скрипты, утилиты для тестирования на проникновение, активность которых будет детектироваться EDR.

Реагирование на инциденты с EDR

Рассмотрим последнюю букву в аббревиатуре EDR: R — «Response». EDR — это не только гибкий механизм, который собирает подробную информацию о происходящем на устройстве и имеет богатый и постоянно актуализируемый набор детектирующих логик. Решение должно быть еще и «швейцарским ножом», который можно удобно и эффективно использовать в процессе реагирования на инциденты. 

Как уже было сказано выше, область видимости EDR значительно шире, чем у классического EPP. Поэтому в процессе интеграции решения в инфраструктуру должны участвовать эксперты, которые хорошо понимают специфику конкретной инфраструктуры и знают, что является легитимной активностью, а что — нет. 

Таким образом, в процессе внедрения происходит адаптация решения в инфраструктуре, в ходе которой эксперты пользуются гибкими инструментами EDR, чтобы исключить ложноположительные срабатывания и выстроить процессы реагирования. EDR подразумевает наличие не только детектирующих логик, но и автоматизированных плейбуков, на базе которых и должно осуществляться реагирование на угрозы. Рассмотрим, какие возможности по реагированию предоставляет EDR.  

Реагирование средствами EDR может быть двух типов: ручное (запуск плейбуков выполняется по запросу аналитика) и автоматическое (выполняется EDR автоматически согласно заранее установленным правилам).

Ручное реагирование на инциденты c EDR

Рассмотрим набор инструментов ручного реагирования, которые должен предоставлять EDR, и примеры сценариев, когда они будут полезны.

1. Работа с файловой системой:
   • Доставка файлов в файловую систему.
   • Загрузка файлов из файловой системы.
   • Удаление файлов из файловой системы.
   • Поиск файлов в файловой системе.
   • Добавление файла в карантин.

2. Запуск произвольных команд. Возможность запуска произвольной команды предоставляет гибкость, которая позволит аналитику реагировать даже на самые сложные инциденты. Вкупе с инструментами по взаимодействию с файловой системой и возможностью создания плейбуков из нескольких атомарных действий это позволяет реализовывать любые сценарии реагирования.
3. Интерактивный терминал. Он предназначен для быстрого реагирования на инциденты. В рамках сессии интерактивного терминала аналитик может моментально получать ответ от выполняемых команд. 
4. Сетевая изоляция. Это действие реагирования, при котором EDR полностью ограничивает сетевое взаимодействие конечной точки с другими сетевыми устройствами. При этом сохраняется канал взаимодействия EDR-агента и EDR-сервера.
5. Работа с процессами. Помимо запуска произвольных команд, которыми можно выполнить много различных действий для устранения угроз, решения класса EDR, как правило, содержат готовые инструменты для реагирования в отношении конкретных процессов:
   • Завершение процесса.
   • Приостановка / возобновление процесса.
   • Получение дампа памяти процесса или отдельного региона памяти.

6. Получение forensics-артефактов, необходимых для проведения расследования. Некоторые решения класса EDR также предоставляют возможность сбора артефактов для форензики при помощи встроенных механизмов. 

Автоматическое реагирование на инциденты с EDR

В отличие от ручного реагирования, в этом случае не нужно ждать команды от аналитика. Достаточно лишь заранее разработать набор точных правил выявления угроз и указать, какие действия по реагированию необходимо в них использовать.

Чтобы обеспечить эффективное автоматическое реагирование, в EDR должна быть возможность выполнения следующих действий:

• Удаление файла.
• Завершение процесса.
• Удаление / создание / изменение ключа / значения реестра.
• Приостановка / возобновление процесса / потока.
• Деавторизация пользователя.
• Перемещение файла в карантин.
• Запуск произвольной команды.
• Остановка / удаление службы.
• Удаление задачи планировщика.
• Блокировка сетевого подключения.

Выводы

Современные киберугрозы становятся все более изощренными, и средств антивирусной защиты недостаточно, чтобы обеспечить своевременное обнаружение и предотвращение сложных атак. Злоумышленники непрерывно развивают свои инструменты и подходы, адаптируются под существующие антивирусы, чтобы остаться незамеченными в ходе атаки. 

Поэтому необходимы эффективные и гибкие EDR-решения, которые значительно расширяют зону видимости происходящего в инфраструктуре и являются неотъемлемым дополнением к антивирусным средствам. Это позволяет обеспечивать полноценную, многоуровневую и эшелонированную защиту инфраструктуры. EDR — это сложная и экспертная система, для эффективной работы которой необходимо правильно организовать внедрение, адаптацию и использование решения. 

В связке с выстроенными процессами мониторинга это значительно усложнит злоумышленникам задачу по компрометации инфраструктуры. Они не смогут остаться незамеченными, а вторжение в инфраструктуру будет обнаружено на самых ранних этапах.