Хосты под защитой: почему компаниям нужен EDR (Endpoint Detection & Response)

Хосты под защитой: почему компаниям нужен EDR

Хосты под защитой: почему компаниям нужен EDR

Всё чаще основным методом проникновения хакеров в инфраструктуру жертвы становятся фишинговые рассылки со сложными вредоносными программами, которые обычно не распознаются стандартным антивирусом. Для защиты от подобных угроз требуется более совершенное решение — система выявления атак на конечные хосты, она же EDR (Endpoint Detection & Response). Мы расскажем, как EDR помогает выявлять сложные атаки и стоит ли подключать систему самостоятельно или воспользоваться услугами сервис-провайдера.

 

 

 

  1. Введение
  2. Как контролировать хосты?
  3. EDR: самостоятельно или как сервис?
    1. 3.1. EDR своими силами
    2. 3.2. EDR как сервис
    3. 3.3. Цена вопроса
  4. Выводы

Введение

Фокус внимания профессиональных злоумышленников смещается с быстрой монетизации атаки на длительное, скрытное нахождение в инфраструктуре жертвы. Оно даёт хакерам возможность получить доступ к закрытой коммерческой информации, развить атаку внутри корпоративной сети для её полной компрометации и выполнения деструктивных действий (например, запустить шифровальщик, остановив какие-то технологические процессы).

Для борьбы с угрозами в большинстве случаев используется мониторинг инфраструктуры и средств защиты информации. Но, как показывает практика, вычислить «продвинутых» злоумышленников с помощью этих инструментов уже становится сложно.

Эффективность использования стандартных механизмов мониторинга снижается по ряду причин:

  • индикаторы компрометации (хеши, IP-адреса и доменные имена) часто бывают одноразовыми, так как их изменение не представляет труда для злоумышленника, особенно в случае с APT;
  • атакующие применяют в работе легитимные исполняемые файлы, штатные средства ОС и т. д.;
  • для перемещения по сети в большинстве случаев используются не только эксплойты, но и украденные легитимные учётные данные, а также средства эксплуатации уязвимостей «нулевого дня»;
  • на практике часто встречаются вредоносные программы, которые не детектируются ни антивирусом, ни сетевыми сигнатурами;
  • с ростом инфраструктуры становится проблематично вовремя обновлять сигнатуры и лицензии.

Использование различных техник для обхода классических средств защиты, применение многоступенчатой обфускации, стеганографии, проверки окружения реализуется для гарантированной доставки вредоносных программ на конечные хосты компании и последующего их заражения.

С точки зрения развития инструментария злоумышленников фиксируется рост количества установщиков вредоносных программ, использующих цепочки вызовов легальных утилит (rgsvr32.exe, wmic.exe, hh.exe и т. п.), уже установленных на хосте и исполняющих код, который был передан им через командную строку напрямую либо как интернет-ссылка или файл приведённый как аргумент. При подобном подходе процесс установки вредоносных программ разделяется между вызовами легальных утилит и, как результат, автоматические средства детектирования не могут свести их в единую цепочку установки вредоносного объекта. В рамках инструментального расследования инцидентов (forensics) эксперты центра противодействия атакам Solar JSOC часто находят признаки обхода белых списков хакерами именно с помощью этой технологии.

Как контролировать хосты?

Для эффективной борьбы с подобного рода угрозами и минимизации последствий атаки требуются дополнительные средства обнаружения и реагирования, например Endpoint Detection & Response (EDR) — системы выявления сложных атак на конечные хосты. Почему именно EDR, а не Windows Event Logging или Sysmon?

Ключевыми преимуществами EDR являются:

  1. Расширенный набор регистрируемых событий. Здесь всё зависит от конкретного продукта. Например, встречается логирование всего интерактивного ввода в командную строку, что позволяет детектировать техники, которые не видно ни с аудитом Windows, ни с Sysmon.
  2. Централизованное управление и настройка. В большой инфраструктуре возможность централизованной проверки состояния и попыток изменения настроек агента играет ключевую роль. Без неё реагирование может затягиваться на часы, а то и дни. Также появляется возможность эффективного поиска индикаторов компрометации и следов присутствия злоумышленника в инфраструктуре.
  3. Возможность активного реагирования. Во время реагирования на инцидент появляется необходимость выполнить какие-либо действия одновременно на множестве систем, что практически всегда становится проблемой. EDR позволяет в удобной интерактивной форме работать с файлами и реестром, блокировать сетевые соединения, завершать процессы, выполнять сканирование YARA-правилами, собирать артефакты для последующего анализа и многое другое.

В целом, использование EDR позволяет существенно сократить время обнаружения действий злоумышленников, вовремя принять необходимые меры, существенно снизив ущерб от реализации атаки. Кроме того, EDR даёт возможность значительно расширить «кругозор» центра мониторинга (SOC), в задачи которого также входит анализ журналов событий с различных систем, в том числе рабочих станций и серверов. EDR предоставляет расширенные возможности по журналированию событий и дополнительный контекст, включая данные по запускаемым на хостах процессам, службам и т. д. Это позволяет SOC эффективнее осуществлять детектирование и изолирование заражённых рабочих станций, чтобы оперативно ограничить область распространения «зловредов» в инфраструктуре.

EDR: самостоятельно или как сервис?

У компании есть два варианта установки системы EDR на конечных хостах: купить решение и обслуживать его силами внутренней ИБ-службы (то есть корпоративного SOC) или подключить сервис, предоставляемый коммерческим SOC. Сервис предполагает два варианта реализации. Первый — облачная модель, когда и лицензии, и услуги по администрированию и расследованию подозрений на инциденты предоставляются специалистами подрядчика. Второй — гибридная модель, когда лицензии приобретаются заказчиком, а администрированием и расследованиями занимается подрядчик. У каждого варианта есть свои особенности.

EDR своими силами

Ключевое преимущество такого проекта — в том, что все данные, обрабатываемые EDR, остаются внутри организации, а значит, не надо переживать, что в момент передачи информации в облако сервис-провайдера их перехватят хакеры. Желание сохранить информацию в безопасности объяснимо, но в то же время при самостоятельном использовании EDR компании сталкиваются с рядом серьёзных проблем.

Во-первых, это необходимость разноплановой квалификации сотрудников. При внедрении подобных систем зачастую возникают проблемы с формированием правил, проведением анализа по собранным событиям и выявленным инцидентам в информационной безопасности.

EDR способен обнаруживать аномалии в событиях ОС, активности процессов, каталогах и оперативной памяти. Не всегда понятно, к чему может привести тот или иной выявленный инцидент, и к тому же не всегда ясна его легитимность, ведь выявленная аномалия может быть следствием работы прикладного ПО на хосте. Поэтому требуется высокая экспертная квалификация по инструментальному расследованию для правильной интерпретации результатов срабатывания EDR, а также поиску и формированию индикаторов компрометации. Например, выявление скрытых процессов в оперативной памяти требует глубокой аналитики. То же самое касается и решения anti-APT, которое ищет аномалии в трафике. При анализе транспортных протоколов, таких как SMB, которые активно используются ОС Windows, anti-APT позволяет выявить большое количество современных техник, которые используют злоумышленники, например DCSync; при этом отличить реальную атаку с использованием данной техники от штатной работы весьма сложно, что опять же возвращает нас к необходимости держать в штате высококвалифицированных специалистов, а это крайне непросто в условиях существующего кадрового дефицита в отрасли.

Для использования функциональности реагирования тоже необходима разноплановая экспертиза — в частности, для отладки существующих правил выявления атак, чтобы снизить количество ложных срабатываний. Не у всех компаний есть такие эксперты, и в итоге функциональность, которая отвечает за реагирование, в системе EDR попросту не будет использоваться, потому что некорректная настройка может нарушить бизнес-процессы (например, если завершить подозрительный процесс, который на самом деле был вызван штатным ПО).

EDR как сервис

При сервисном подходе администрированием EDR и расследованиями занимаются специалисты подрядчика, поэтому заказчику не нужно нанимать собственных специалистов и расширять существующую ИБ-службу. Но сервисная модель не снижает значимости штатных безопасников, поскольку провайдер не всегда имеет необходимые полномочия при реагировании на инцидент. Принятие решения, внутреннее расследование и наказание провинившихся (то есть ликвидация последствий) всё равно, как правило, остаются за ИБ-службой заказчика.

Кроме этого, подрядчик (например, Solar JSOC) обеспечивает обогащение фиксируемых инцидентов дополнительной информацией, поступающей из базы киберразведки (Threat Intelligence), коммерческих подписок на сведения об актуальных угрозах, а также по результатам работы комплементарных сервисов, таких как NTA (Network Traffic Analysis).

Контент для EDR, предоставляемый специалистами SOC в рамках сервиса, постоянно обновляется исходя из информации об актуальных угрозах из различных источников, в том числе коммерческих ресурсов. Таким образом, при использовании сервиса нет необходимости приобретать дополнительные подписки на фиды и Threat Intelligence.

Благодаря инфраструктуре крупнейшего SOC в России появляется возможность гибкого масштабирования сервиса. Если у заказчика возникают новые компоненты инфраструктуры, открываются дополнительные филиалы или офисы, расширяется парк серверов или рабочих станций, их можно оперативно подключить к EDR.

Но сервисная модель также вызывает и опасения у некоторых владельцев бизнеса и безопасников. Во-первых, это — доступ сторонней организации к ценной корпоративной информации. Но важно отметить, что в случае с сервисом подрядчик видит только срабатывания системы EDR и не имеет доступа ко критически важным данным, хранящимся на рабочей станции или сервере. Также опасения может вызывать корректность настройки правил для EDR, из-за которых могут встать важные бизнес-процессы. Такие ошибки могут допустить и штатные сотрудники, но, когда речь идет про сервис, у некоторых заказчиков складывается ощущение, что аутсорсер недостаточно погружён в процессы заказчика и может не знать каких-то особенностей работы систем. Поэтому все вопросы ответственности сервис-провайдера и SLA должны быть прописаны в договоре, чтобы исключить спорные ситуации.

Цена вопроса

С экономической точки зрения, традиционно сервисная модель позволяет избежать больших капитальных затрат на старте и равномерно спланировать бюджет на длительное время, так как сервис предоставляется по ежегодной подписке. Если сервис используется по гибридной модели, то на старте надо оплатить лицензию и стоимость внедрения системы, а услуги специалистов провайдера по настройке правил, экспертизе, реагированию будут оплачиваться по подписке.

Также в случае использования сервиса EDR компании не нужно держать большой штат высокооплачиваемых экспертов, что снижает затраты на оплату труда.

Выводы

Современные угрозы и квалификация злоумышленников требуют от организаций и провайдеров ИБ-услуг применять дополнительные средства защиты информации. На первый план выходит проблема безопасности рабочих станций, которые чаще всего становятся точкой закрепления и развития атаки злоумышленника. Для эффективной борьбы с подобными угрозами уже недостаточно стандартного набора инструментов, таких как SIEM или антивирусы. Детектирование многих атак требует более глубокого аудита, который позволяет обнаружить действия хакеров, даже тщательно замаскированные под легальные процессы. Системы выявления атак на конечные хосты — EDR — ускоряют сбор первичных улик, сокращая общее время реагирования с нескольких часов до считаных минут.

Однако для обработки этих данных и грамотного реагирования на инциденты нужна профессиональная команда аналитиков. Компания может собрать собственный штат экспертов, что крайне сложно на фоне кадрового дефицита и высокой стоимости подобных специалистов. Альтернативный вариант — сервисная модель. Тогда обслуживанием и аналитикой займётся сервис-провайдер, предоставляющий услугу. За счёт собственной экспертизы, доступа к базам TI, подпискам, данным регуляторов эксперты подрядчика смогут обогащать зафиксированные EDR инциденты дополнительной информацией и эффективнее вести расследования.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru