Журнал "Information Security/ Информационная безопасность" #4, 2020

На протяжении многих лет главным барьером для вредоносного ПО были антивирусные программы. Они прове- ряли файлы, которые открывал, копиро- вал или запускал пользователь, на нали- чие характерной для вирусов последо- вательности байт – сигнатуры. Базы сигнатур регулярно пополнялись с сайта разработчика антивируса, совершен- ствовались методы поведенческого ана- лиза запускаемых программ, внедрялись эвристические методы для обнаружения неизвестных угроз, однако все это каса- лось исключительно локального ком- пьютера. Для больших сетей внедрялись анти- вирусные комплексы с централизован- ной консолью. Локальные антивирусы получали настройки от центра управле- ния и отправляли туда все предупреж- дения об обнаруженных угрозах, выпол- няя указанные в настройках действия (помещали в карантин, удаляли файлы или разрешали работу с ними). С развитием технологий и киберугроз возможностей традиционных антивиру- сов, защищающих конечные устройства (Endpoint Protection Suite, EPP), перестало хватать, поскольку для атак теперь используются вполне легитимные ути- литы, такие как reg, wmic и powershell. Сами атаки стали многоэтапными, и в этом случае каждое отдельное вре- доносное действие не вызывает возра- жений у антивируса. В сложившейся ситуации появилась острая необходимость в решениях, кото- рые могут не только отреагировать на угрозу в соответствии с заданными пра- вилами, но и действовать проактивно, чтобы не просто уведомить о наступив- шем инциденте, а заблокировать потен- циально вредоносные операции, а также собрать информацию, необходимую для анализа кибератаки. Такие решения относятся к классу EDR – Endpoint Detec- tion and Response, системы обнаружения и реагирования на угрозы конечных устройств. Зачем нужны EDR-системы? Системы EDR расширяют функцио- нальность традиционных антивирусов модулем детального сбора данных. Это позволяет аналитикам SOC (Security Operations Center – центр обеспечения информационной безопасности) в слу- чае инцидента ответить на следующие вопросы: l какое устройство стало "нулевым пациентом", допустив выполнение вре- доносной программы; l как хакеру удалось проникнуть в систему и закрепиться в ней; l в каком файле содержался вредонос- ный код; l сколько систем было поражено; l какие данные похищены; l сколько времени заняла атака; l какие действия необходимо предпри- нять. Большое количество собираемой EDR информации приводит к тому, что даже в компании среднего размера команда SOC оказывается перегружена пред- упреждениями, из-за чего: l становится сложно выявить корреля- ции между различными событиями; l уходит много времени на обнаружение атак; l реакция происходит слишком поздно и в недостаточном объеме; l расследование инцидента не дает полной картины произошедшего, поскольку какие-то детали остаются нерассмотренными. 48 • ТЕХНОЛОГИИ XDR-решения: когда обычный антивирус не поможет тличительная черта современного ландшафта киберугроз – возрастающая сложность атакующих технологий и многообразие используемых инструментов, от социальной инженерии до вполне легитимных системных утилит. Задача определения вредоносного воздействия становится чрезвычайно сложной, поэтому возможностей традиционных антивирусов уже недостаточно, чтобы защитить компанию. На помощь приходят решения следующего поколения, объединяющие в себе детектирование, реагирование и обработку событий из множества источников, – XDR-системы. О Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ Рис. 1. "Слепые зоны" EDR-решений 1 https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf