Журнал "Information Security/ Информационная безопасность" #4, 2018

EDR дополняет установ- ленную EPP, расширяя воз- можности по защите конеч- ных устройств. При этом решения класса EPP обес- печивают защиту от извест- ных типов атак, а EDR – другие этапы жизненного цикла инцидента: детектиро- вание, реагирование и рас- следование, а часто и функ- ции по анализу эффектив- ности работы EPP для выявления слабых мест в защите. В настоящее время наблюдается сближение этих систем – в EDR-плат- формах появляется функ- ционал EPP и наоборот. Защита не работает? Для того чтобы понять, почему атаки все еще успешны, разберем несколько примеров. Так, Symantec опуб- ликовала отчет об атаках, свя- занных с деятельностью хакер- ской группировки Thrip. Syman- tec проводит исследование груп- пировки Thrip с 2013 г. и под- робно изучила ее действия. Характерной особенностью группы является использование для взлома легитимного ПО. В частности, для запуска уда- ленных процессов хакерами были использованы легитимные утилиты PsExec и LogMeIn, а для воровства файлов – легаль- ный FTP-клиент WinSCP. Использование легитимных ути- лит позволяет хакерам усколь- зать от всевидящего ока анти- вирусов, т.к. легитимные про- граммы не могут помечаться как вредоносные, даже если их используют хакеры для своих целей. Контроль приложений здесь тоже не помогает – эти утилиты, как правило, разре- шены для использования в орга- низациях. Впрочем, хакеры группиров- ки Thrip используют для повы- шения полномочий утилиту Mimikatz, обычно определяе- мую как вредоносный код, что может позволить выявить их вредоносную активность. Однако злоумышленники обхо- дят и эту защиту, изменяя файл таким образом, чтобы сигнатуры антивируса не сра- батывали. Нужно также иметь в виду, что вредонос присут- ствует в системе очень корот- кое время – после получения административных полномочий хакеры удаляют его и опять пользуются только легальным ПО. Антивирусы, обновившие свои сигнатуры, не всегда могут обнаружить подобные вредоносные коды, что и поз- воляет хакерам долго скрывать свое присутствие в системе. Аналогичным свойством обла- дают и бесфайловые вредоно- сы – они располагаются только в памяти и при включении ком- пьютера удаляются, и антиви- русам, которые сканируют только файловую систему, они также не видны. Если же рассмотреть мате- риалы комиссии Роберта Мюл- лера по взлому сетей демо- кратического комитета по выборам в Конгресс США (DCCC) и комитета демокра- тической партии (DNC), то и в этом случае классические антивирусы, рассчитанные на обнаружение массовых вредо- носных программ, также ока- зались бессильны. Как следует из пресс-релиза окружного суда штата Колумбия, перво- начальное проникновение было выполнено с помощью фишингового перехвата учет- ных данных одного из сотруд- ников штаба, который нарушил политику безопасности и использовал в рабочей пере- писке публичные почтовые ресурсы. Далее по контраген- там электронной почты хаке- рами был разослан специально разработанный вредонос, кото- рый получил наименование X- Agent, и с помощью него и были произведены утечки кон- фиденциальных данных. Понятно, что специализирован- ный вредонос детектироваться массовыми антивирусами не будет. А даже если и будет, то хакеры могут быстро обновить его коды, чтобы вывести свой код из-под подозрений анти- вируса. EDR vs EPP Из приведенных выше при- меров следует, что антивирус- ные платформы, которые полу- чили наименование EPP (End- point Protection Platform – плат- формы для защиты конечных устройств), не могут обнаружить нестандартную вредоносную активность, для которой отсут- ствуют сигнатуры. В качестве примера такой активности можно привести: l поведение пользователей и программ, если к их учетным данным получили доступ зло- умышленники; l поведение легальных поль- зователей, обманутых с помо- щью различных методов соци- альной инженерии; l поведение ранее неизвестных вредоносных программ, код которых не был ранее доступен в антивирусной лаборатории и для которых отсутствуют сиг- натуры; l поведение бесфайловых вредоносов, которые не сохра- няют своего тела в файловой системе. Для того чтобы дополнить функциональные возможности антивирусов, появился целый класс решений, которые позво- ляют обобщить сведения о вре- доносной активности на всем предприятии, обнаружить подо- зрительные действия, выявить подверженные атаке устройства, а также локализовать вредо- носную активность. Такие реше- ния позволяют также провести ретроспективное расследование проникновения и выявить при- чины возникновения инцидента, которые необходимо устранить для предотвращения подобных атак в будущем. Этот класс средств защиты получил наиме- нование EDR (Endpoint Detection 28 • ТЕХНОЛОГИИ EDR – обнаружение и реагирование еленаправленные атаки злоумышленников продолжают нано- сить финансовый и репутационный ущерб, несмотря на то, что многие из компаний, подвергшихся нападению, уже использовали у себя средства защиты, а также соответство- вали тем или иным стандартам безопасности. В настоящей статье будет рассмотрен один из относительно новых типов средств защиты информации – EDR (Endpoint Detection and Response), который предназначен для более эффективной защиты от целенаправленных атак и для реагирования на выявляемые инциденты информационной безопасности. Ц Роман Ванерке, технический директор АО “ДиалогНаука”