Расскажем, для чего нужны системы обнаружения и реагирования на инциденты информационной безопасности на конечных точках сети (EndPoint Detection and Response — EDR), чем они принципиально отличаются от давно привычных комплексных антивирусных средств защиты (EndPoint Protection — EPP), как могут их дополнять и помочь обнаружить целевые атаки. Обсудим, как при помощи EDR можно проводить ретроспективный анализ событий на рабочих станциях и серверах, обнаруживать аномалии, расследовать инциденты, а также эффективно на них реагировать.
Дадим рекомендации, на что следует обратить внимание при выборе EDR, как правильно пилотировать и внедрять системы такого класса в российских реалиях на примере различных отраслей экономики.
Ключевые вопросы дискуссии:
1. Ситуация на рынке защиты конечных точек сети
- От каких угроз помогает защитить EDR?
- Кому и для каких задач на практике полезен EDR?
- Зачем на огромном рынке защиты конечных точек (EPP) понадобился EDR?
- Чем EDR принципиально отличается от привычных антивирусов с проактивной защитой?
- Нужно ли рассматривать EDR как отдельный класс продуктов или в составе некоего Next Generation EPP?
2. Технические особенности различных EDR
- Какими функциями должен обладать EDR?
- Какие источники данных для обнаружения инцидента охватывает EDR?
- Какие технологии обнаружения аномалий используются в EDR?
- Как EDR применяется для задач Threat Hunting?
- Может ли EDR помочь соблюдению регламентов ИБ
- Какие сценарии реагирования на инциденты существуют в EDR?
- Является ли наличие NTA в портфеле производителя плюсом при выборе EDR?
- Нужны ли встроенные возможности расследования инцидентов или важна интеграция с SIEM и SOAR (IRP)?
3. Особенности тестирования и внедрения EDR
- Возможно ли внедрить EDR самостоятельно?
- Как проверить эффективность EDR?
- Насколько важно обучение специалистов для работы с EDR?
- С чего начинать и как должен развиваться проект по внедрению EDR?
- Как обосновать необходимость внедрения EDR (особенно при уже купленном EPP)?
4. Прогнозы развития рынка кибербезопасности EDR
- Что ожидает рынок в перспективе 2-3 года?
- Останется ли этот сегмент рынка или станет частью чего-то большего?
- Будет ли EDR внедряться по модели SaaS из облака?
- Какие отрасли дозреют до внедрения EDR?
Приглашенные эксперты:
- Дмитрий Казаков, архитектор по решениям информационной безопасности Cisco
- Яна Шевченко, старший менеджер по продуктовому маркетингу «Лаборатории Касперского»
- Кирилл Михайлов, системный инженер Fortinet
- Теймур Хеирхабаров, руководитель Центра мониторинга и реагирования на киберугрозы, BI.ZONE
- Алексей Белоглазов, технический эксперт по защите от кибератак, Check Point Software Technologies
- Александр Русецкий, руководитель направления защиты от направленных атак Центра информационной безопасности, «Инфосистемы Джет»
- Никита Кислицин, руководитель Департамента сетевой безопасности, Group-IB
Модераторы:
- Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru
- Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС»
