Сертификат AM Test Lab
Номер сертификата: 301
Дата выдачи: 01.09.2020
Срок действия: 01.09.2025
- Введение
- Архитектура FortiEDR
- Системные требования FortiEDR
- Функциональные возможности FortiEDR
- Применение FortiEDR
- 5.1. Настройка политик безопасности и плейбуков в FortiEDR
- 5.2. Расследование инцидентов: обработка событий из области безопасности
- 5.3. Контроль сетевых соединений
- 5.4. Управление конечными точками
- 5.5. Панель управления
- Выводы
Введение
Необходимость применения систем класса Endpoint Detection & Response (EDR) продиктована постоянно растущей сложностью кибератак, направленных на корпоративный сектор. С одной стороны, продукты, предназначенные для контроля сетевого трафика, не покрывают весь потенциальный фронт нападения, оставляя вне сферы своего внимания процессы, происходящие внутри конечных точек. С другой стороны, классические антивирусы и решения уровня Endpoint Protection Platform (EPP) не всегда имеют возможность детектировать многоэтапные, целевые атаки. Сравнение сигнатур и эвристический анализ зачастую бессильны при обнаружении нападений, с использованием бесфайловой вредоносной программы, или атак, развивающихся через легитимные программы и социальную инженерию.
Ещё одним аспектом, осложняющим борьбу с угрозами для конечных точек, является большое количество срабатываний традиционных средств защиты. При ручной обработке данных о потенциально небезопасной активности с рабочих станций операторы SOC (центра мониторинга и реагирования на инциденты в области информационной безопасности) будут перегружены разбором массовых, типовых происшествий. При таком подходе внимательное расследование по-настоящему серьёзных событий в масштабах организации потребует увеличения штата, а значит, и бюджета SOC, что не всегда возможно и целесообразно.
EDR-системы являются одним из наиболее эффективных решений проблемы защиты конечных точек от сложных атак. Они позволяют контролировать все процессы, запущенные на рабочих станциях, автоматически детектировать, классифицировать и устранять угрозы, а также предоставлять ИБ-специалистам детальные сведения для расследования нетиповых инцидентов.
Функциональные возможности EDR-продуктов обычно включают в себя развитые средства мониторинга, протоколирования и наглядного представления выявленных угроз. Важно, что такие системы могут иметь функциональные возможности антивирусных и EPP-решений или допускать взаимодействие с внешними продуктами. Это позволяет интегрировать EDR в общий контур безопасности предприятия без замены имеющихся средств защиты конечных точек.
Подробнее о возможностях современных EDR-систем можно узнать в нашем обзоре этого сегмента рынка информационной безопасности.
Функциональность типовой системы класса EDR состоит из следующих элементов.
- Средства мониторинга активности конечных точек:
- контроль запуска новых процессов и внесения изменений в существующие,
- отслеживание установки и удаления программного обеспечения,
- мониторинг операций с файлами,
- выявление операций по повышению уровня привилегий учётных записей,
- сканирование сетевых соединений,
- контроль изменений ключей реестра.
- Обнаружение потенциально вредоносной активности:
- собственный антивирусный компонент или взаимодействие с внешней системой,
- анализ индикаторов компрометации (IoC),
- элементы поведенческого анализа для выявления аномалий в действиях пользователей или работе запущенных процессов,
- методы Threat Hunting и Threat Intelligence (проактивный поиск угроз и киберразведка),
- проверка журналов работы.
- Идентификация и классификация выявленных угроз:
- обогащение сведений об инциденте при помощи собственных баз данных или внешних источников,
- получение метаданных от конечной точки,
- анализ дополнительной информации, связанной с инцидентом — сведений о сетевой активности, работе с памятью, истории использования командной строки и т. д.
- Реагирование на инциденты:
- блокировка сетевых соединений поражённой конечной точки,
- изоляция вредоносного процесса в песочнице,
- удаление связанных с атакой файлов,
- восстановление изменённых записей реестра.
FortiEDR представляет собой полнофункциональную систему защиты конечных точек в режиме реального времени. Развитые средства мониторинга и реагирования позволяют ей в упреждающем режиме снижать количество направлений атак, предотвращать поражение вредоносными программами, выявлять и обезвреживать потенциальные угрозы. FortiEDR несёт «на борту» собственный антивирусный модуль, оснащённый технологией машинного обучения и NGAV-ядром (Next Generation Antivirus, антивирус нового поколения). Кроме того, система может взаимодействовать с EPP-решением FortiClient или другим программным обеспечением для защиты рабочих станций.
После обнаружения подозрительной активности FortiEDR автоматически блокирует потенциальные угрозы и при необходимости изолирует рабочую станцию от сети. Такая политика позволяет эффективно бороться с атаками, направленными на утечку данных, а также пресекать работу программ-шифровальщиков. Одновременно с купированием атаки FortiEDR собирает дополнительные сведения о событии, взаимодействуя с облачным сервисом Fortinet Cloud Services, VirusTotal и базой MITRE.
Реакция системы на выявленные угрозы определяется набором политик безопасности и автоматических сценариев, которые могут быть настроены пользователем. Для каждой группы конечных точек может быть назначен свой собственный набор ИБ-политик. Сотрудник SOC имеет возможность оперативно перенести выбранную конечную точку в группу с более строгими правилами безопасности.
Контроль сетевых соединений в разрезе программ, установленных на рабочие станции, позволяет FortiEDR эффективно противодействовать эксплуатации известных уязвимостей. Система автоматически понижает уровень доверия к любому приложению, у которого зафиксированы незакрытые бреши, и ограничивает его возможности по взаимодействию с внешними источниками.
Мы изучили FortiEDR версии 4.2, чтобы на практике ознакомиться с функциональностью системы.
Архитектура FortiEDR
FortiEDR состоит из шести базовых компонентов, перечисленных далее.
- Коллектор — агентский модуль, экземпляры которого устанавливаются на конечные точки (рабочие станции и серверы). Коллектор осуществляет мониторинг деятельности конечной точки, передаёт данные для анализа центральному компоненту системы, а также самостоятельно блокирует известные угрозы при помощи встроенного антивирусного модуля.
- Центральный компонент отвечает за анализ данных, полученных от коллектора, обогащение этих сведений, выбор и выполнение сценария («плейбука») для реагирования на инцидент.
- Fortinet Cloud Services — сервис, содержащий данные об угрозах, необходимые для обогащения собранной и переданной коллектором информации.
- Менеджер — модуль управления системой, осуществляющий взаимосвязь всех компонентов.
- Агрегатор выполняет функции прокси-сервера, перенаправляя запросы от менеджера к центральному компоненту и обратно. Кроме того, агрегатор отвечает за выдачу лицензий и конфигурационной информации коллекторам.
- Репозиторий Threat Hunting — база данных для хранения вредоносных файлов, обнаруженных FortiEDR на конечных точках.
При обнаружении подозрительной активности коллектор передаёт данные о ней в центральный компонент, который обращается к Fortinet Cloud Services за дополнительной информацией, чтобы идентифицировать угрозу. Определив вредоносный характер происходящего, центральный компонент выбирает соответствующий плейбук и отсылает на коллектор набор команд для блокировки и нейтрализации угрозы.
В дальнейшем центральный компонент создаёт записи о выявленных вредоносных объектах в репозитории Threat Hunting, а также через агрегатор отправляет информацию об инциденте в менеджер. Последний формирует уведомления для пользователя и при необходимости передаёт данные во внешние системы (например, FortiSOAR).
Рисунок 1. Схема работы FortiEDR
Варианты развёртывания FortiEDR:
- Облачный — все компоненты, за исключением коллекторов, располагаются на серверах Fortinet. В этом случае все задачи, связанные с выделением ресурсов для бесперебойной работы системы, решаются силами производителя.
- Гибридный — центральный компонент и агрегатор (или же только центральный компонент) могут быть развёрнуты на серверах пользователя, а репозиторий, менеджер и Fortinet Cloud Services — размещены на ресурсах Fortinet.
- Локальный — все модули системы, за исключением Fortinet Cloud Services, устанавливаются на серверы пользователя. В этом случае FortiEDR обращается ко внешним ресурсам только для обогащения информации об инциденте при анализе очередного сервисного запроса («тикета»).
- Офлайн — пользователи, которые уделяют повышенное внимание автономности работы системы, могут отключить функцию обращения к Fortinet Cloud Services. При этом обогащение данных об инциденте выполняться не будет.
Лицензирование FortiEDR ведётся по количеству рабочих станций и серверов, на которые установлена система.
Системные требования FortiEDR
Коллекторы FortiEDR могут быть установлены на компьютеры под управлением Windows, macOS и Linux. Также агенты поддерживают виртуальные рабочие столы VDI. Для работы коллектора требуется менее 1 % вычислительной мощности процессора, 120 МБ оперативной памяти и 20 МБ на жестком диске.
Остальные компоненты могут быть установлены как на физические серверы, так и на виртуальную машину. Требования к аппаратной платформе — следующие:
- Центральный компонент — 2 процессора, 8 ГБ оперативной памяти, 60 ГБ дискового пространства.
- Агрегатор — 2 процессора, 16 ГБ оперативной памяти, 80 ГБ дискового пространства.
- Менеджер — 2 процессора, 16 ГБ оперативной памяти, 150 ГБ дискового пространства.
- Репозиторий — 8 ГБ оперативной памяти для каждого центрального компонента, от 250 ГБ дискового пространства.
Функциональные возможности FortiEDR
FortiEDR предназначена для защиты конечных точек от кибератак в режиме реального времени. Система контролирует процессы, запускаемые на рабочих станциях и серверах, выявляя подозрительную активность и при необходимости блокируя её. Работа FortiEDR значительно сужает потенциальный фронт атаки за счёт отслеживания сетевых соединений и автоматического прерывания вредоносных процессов. Развитые возможности реагирования позволяют в ручном или автоматическом режиме блокировать несанкционированные действия и изолировать заражённое устройство.
Ключевые функции FortiEDR:
- Мониторинг работы конечных точек (контроль процессов, запущенных на устройствах, с целью выявления подозрительной, вредоносной или потенциально нежелательной активности; контроль сетевых соединений в разрезе создавших их программ; выявление незащищённых или неуправляемых устройств, в том числе IoT; отслеживание и оценка приложений).
- Антивирусная защита конечных точек (выявление потенциально вредоносных действий на подконтрольных устройствах при помощи антивирусного движка NGAV на основе искусственного интеллекта; выявление скрытых атак, бесфайловых проникновений, работы программ-вымогателей; предотвращение изменения ключей реестра и восстановление его в случае атаки; обнаружение и блокировка известных угроз на основании информации, получаемой из постоянно пополняемой облачной базы данных; изоляция конечных точек в случае заражения; автономная защита устройств; контроль USB-устройств).
- Реагирование на инциденты (автоматическая классификация событий из области безопасности; поддержка автоматических стратегий реагирования на инциденты на базе политик безопасности и плейбуков; широкий спектр реакций на инциденты — удаление файлов, прерывание вредоносных процессов, откат постоянных изменений, уведомление пользователей, изоляция приложений и устройств, создание запросов; отслеживание всех стадий атак и вредоносных изменений с помощью запатентованной технологии трассировки кода; автоматическое устранение вредоносных изменений и восстановление системы без прерывания её работы; дополнительная управляемая служба выявления и реагирования на угрозы (MDR) для поддержки SOC).
- Расследование инцидентов (автоматический анализ происшествий без прерывания обслуживания пользователя; возможность создания дампов памяти, использованной вредоносными процессами; информационная поддержка принятия решений — отображение критериев, на основании которых событие было признано подозрительным или вредоносным, и структуры атаки по MITRE ATT&CK, а также предложение логически обоснованных мер противодействия).
Применение FortiEDR
Настройка политик безопасности и плейбуков в FortiEDR
Политики определяют реакцию FortiEDR на события из области безопасности, выявленные на конечных точках. Конфигурирование политик производится в разделе «Security Policies» меню «Security Settings». Пользователь может применять предустановленные политики, поставляемые «в коробке», или создавать на их основании собственные наборы правил.
В FortiEDR предусмотрено четыре типа политик безопасности: Execution Prevention (контроль запуска файлов), Exfiltration Prevention (предотвращение утечки данных), Ransomware Prevention (противодействие программам-вымогателям) и Device Control (контроль работы устройств).
Рисунок 2. Политики безопасности в FortiEDR
Каждая политика может быть настроена на автоматическую блокировку вредоносной активности или протоколирование выявленных действий в журнал для разбора оператором SOC. Кроме этого на уровне группы политик или всех объектов системы можно активировать режим «Simulation», который отключает автоматическое реагирование на инциденты. Соответствующий переключатель находится в правом верхнем углу экрана.
Политики безопасности могут быть назначены определённым коллекторам или их группам. Таким образом администратор системы может гибко настраивать реакцию FortiEDR на события в зависимости от конкретной конечной точки.
При нажатии на конкретное правило открывается информационное окно в нижней части экрана, где помимо краткого описания выбранной политики отображаются рекомендации по расследованию инцидента. Например, при попытке загрузки подозрительного драйвера система советует удалить файл, проверить его происхождение и выявить использование на других устройствах, а также перейти на вкладку «Forensics» для детального анализа проблемы.
Рисунок 3. Политики безопасности и рекомендации по расследованию инцидента в FortiEDR
За автоматизацию реагирования на инциденты в FortiEDR отвечают плейбуки — сценарии действий, расположенные в разделе «Playbooks» меню «Security Settings». Плейбук определяет, какие именно действия выполнит система при выявлении события, описанного в политиках безопасности.
Рисунок 4. Настройка сценария реагирования (плейбука) в FortiEDR
Реакция плейбука на инцидент варьируется в зависимости от степени угрозы. FortiEDR позволяет настраивать действия по пяти градациям опасности события: вредоносное (malicious), подозрительное (suspicious), потенциально нежелательное (PUP), неподтверждённое (inconclusive), скорее всего безопасное (likely safe). Для каждого случая можно автоматически выполнить одно или несколько действий:
- отправить уведомление на заданную электронную почту,
- выслать нотификацию по syslog,
- создать тикет,
- изолировать устройство,
- перенести устройство в другую логическую группу, где к нему будут применены более строгие политики безопасности,
- завершить небезопасный процесс,
- удалить вредоносный файл,
- восстановить ключи реестра, которые были изменены вредоносной программой,
- заблокировать IP-адрес, от которого исходит вредоносная активность, добавив соответствующее правило для межсетевого экрана.
Расследование инцидентов: обработка событий из области безопасности
Все инциденты, зарегистрированные в системе FortiEDR, хранятся в разделе «Event Viewer» главного меню. События могут быть сгруппированы по рабочим станциям / коллекторам или по связанным с ними процессам. Выбрав конкретное событие, пользователь может увидеть дополнительную информацию о нём — имя конечной точки, наличие или отсутствие цифровой подписи, полный путь к поражённому объекту, а также причину, по которой инцидент признан вредоносным.
Рисунок 5. Информация о событии в разделе «Events» системы FortiEDR
Для удобства пользователя в нижней части экрана выводится графическая информация о цепочке атаки — последовательность запуска вредоносных процессов, обращения к сторонним ресурсам и другие данные, вплоть до блокировки активности. Помимо этого пользователю доступна детальная информация о событии, которая, в частности, содержит список сработавших правил безопасности. Открыв правило, можно увидеть его описание, а также перечень рекомендуемых действий со ссылкой на соответствующие техники MITRE, если таковые применимы к конкретному событию. Пользователь имеет возможность отредактировать статус события: пометить его как обработанное или изменить уровень опасности инцидента, назначенный системой.
Рисунок 6. Визуализация цепочки атаки в разделе «Events» системы FortiEDR
Расследование события удобно производить в режиме «Forensics», который доступен из списка инцидентов или в соответствующем разделе главного меню. Здесь можно ознакомиться с детализированной цепочкой атаки, каждый узел которой может быть раскрыт для получения подробных сведений о связанных с ним действиях. Кроме того, в разделе содержатся полные данные, необходимые для анализа события: имена хоста и пользователя, операционная система, инициировавший действия процесс, классификация активности, назначение и цель вредоносных действий, даты обнаружения и последней зафиксированной активности, идентификатор инцидента, путь к исполняемому файлу и разрядность запущенного процесса, наличие или отсутствие цифровой подписи.
Рисунок 7. Раздел «Forensics» в FortiEDR
Атака представлена в виде последовательности этапов, по каждому из которых можно получить полную техническую информацию, включая список всех файлов, к которым обращался вредоносный процесс, и адреса областей памяти, использованные ими. Непосредственно из раздела «Forensics» оператор SOC может сохранить дамп памяти, используемой вредоносным процессом в целом или отдельными элементами, затронутыми атакой.
Рисунок 8. Детальная информация об этапе кибератаки в FortiEDR
Событие или отдельные его части, не представляющие опасности, можно добавить в исключения. FortiEDR позволяет гибко настраивать применимость таких исключений — пользователю доступны выбор конкретного коллектора или группы конечных точек, добавление исключений только для внешних или только для внутренних адресов. В исключения можно внести и отдельные правила, сработавшие внутри события, причём пользователь вправе отменить выполнение политик для конкретного файла в определённой папке или для всех аналогичных объектов вне зависимости от их расположения.
Рисунок 9. Настройка исключений в FortiEDR
Система предоставляет пользователю следующие инструменты для реакции на события:
- Изоляция рабочей станции от сети.
- Завершение вредоносного процесса.
- Восстановление ключей реестра, затронутых атакой.
- Удаление файлов, связанных с процессом.
- Поиск аналогичных объектов на всех рабочих станциях, контролируемых FortiEDR.
После завершения расследования и блокировки атаки оператор SOC может непосредственно из системы запросить дополнительную информацию о подобных инцидентах на сервисе VirusTotal.
Контроль сетевых соединений
FortiEDR даёт пользователю возможность управлять сетевыми соединениями, которые инициируют установленные на конечных точках программы. Коллектор собирает информацию обо всех приложениях, которые обращаются к сети, и устанавливает для каждого из них уровень доверия, который получает автоматически, из облака. Если в какой-либо программе присутствуют известные уязвимости, её сетевые коммуникации могут быть ограничены до момента выпуска обновлений. Таким образом эксплуатация уязвимостей злоумышленниками будет затруднена.
Рисунок 10. Контроль сетевых соединений в FortiEDR
Пользователь имеет возможность самостоятельно изменять действия, назначенные для конкретного приложения. Например, заблокировать его, даже если оно имеет статус доверенного. Кроме того, есть возможность устанавливать правила, ограничивающие сетевую активность последнего для разных групп конечных точек (коллекторов). Например, система может быть настроена так, чтобы браузер мог без ограничений передавать данные с рабочих станций, но был изолирован на сервере.
В разделе «Communication Control» представлен список всех программ, осуществляющих сетевое взаимодействие, а также детальная информация об их активности. Пользователю доступны перечень политик безопасности, применяемых к текущей версии приложения, список незакрытых уязвимостей со ссылкой на базу данных MITRE, сведения об IP-адресах, с которыми коммуницировала программа, и о частоте её использования на контролируемых устройствах.
Управление конечными точками
В разделе «Inventory» главного меню FortiEDR пользователь может включить конечную точку в определённую группу. Для каждой группы может быть сформирован уникальный набор политик безопасности, что позволяет гибко управлять правилами срабатывания системы. Например, можно вынести устройства удалённых пользователей в отдельные группы и применить к ним более строгие политики безопасности.
Рисунок 11. Раздел «Inventory» системы FortiEDR
В этом же окне можно получить информацию о текущем статусе рабочей станции, её MAC-адресе и версии установленной операционной системы. При необходимости конечная точка двумя щелчками мыши изолируется от сети или подключается обратно. Для удобства администратора можно вывести список компьютеров, на которые ещё не установлены коллекторы, чтобы определить план развертывания агентов.
Панель управления FortiEDR
Сводная информация обо всех аспектах безопасности конечных точек, находящихся под контролем FortiEDR, собрана в окне «Dashboard». В этом разделе располагаются настраиваемые графические информеры, наглядно — в виде диаграмм — представляющие информацию о количестве срабатываний системы, проблемных сетевых соединениях, запущенных коллекторах, сгруппированных по операционным системам, и другие данные. Из этого же окна можно сформировать ряд отчётов, связанных с работой FortiEDR.
Рисунок 12. Панель управления FortiEDR
Выводы
В процессе тестирования мы изучили основные функции FortiEDR 4.2 и оценили её возможности по мониторингу активности конечных точек и оперативному реагированию на возникающие киберинциденты. Программный продукт способен существенно разгрузить операторов SOC за счёт автоматической реакции на типовые события и предоставить ИБ-специалистам возможность сконцентрироваться на расследовании сложных инцидентов.
В случае сложной, целевой атаки функциональный инструментарий FortiEDR позволяет существенно затруднить её развитие и в большинстве случаев купировать вредоносную активность ещё на начальном этапе. Это особенно важно в свете нарастающей активности программ-шифровальщиков, атака которых может привести к серьёзным финансовым потерям. Система даёт специалистам по информационной безопасности возможность отследить и классифицировать активность киберпреступников в режиме реального времени, а также быстро принять ответные меры.
Развитые средства автоматизации — наборы политик и плейбуки — позволяют операторам SOC сконцентрироваться в первую очередь на расследовании инцидентов, а не на оперативном реагировании. В случае индивидуализированной атаки управление реагированием можно перевести в ручной режим, отключив блокировку и оставив только уведомления о возникающих угрозах.
Достоинства FortiEDR:
- Удобная модульная архитектура и большой выбор вариантов развёртывания.
- Развитый набор настраиваемых средств автоматизации реагирования на инциденты.
- Широкие возможности обогащения данных о произошедшем событии — через Fortinet Cloud Services и сторонние базы данных.
- Возможность контроля сетевой активности программ, установленных на рабочих станциях.
- Наглядное представление информации об инциденте.
- Возможность изолировать рабочую станцию, заблокировать процесс и восстановить повреждённые записи реестра в несколько щелчков мышью.
Недостатки FortiEDR:
- Отсутствие русскоязычного интерфейса.
- Относительно небольшое количество информеров панели управления и слабые возможности их индивидуальной настройки.
- Система разработана зарубежным вендором и не включена в реестр отечественного ПО.