Журнал "Information Security/ Информационная безопасность" #2, 2026

Одна из ключевых функ- ций современных решений – выявление ошибок конфигу- рации и потенциальных рис- ков до того, как они превра- тятся в реальные угрозы. Российские решения уже поддерживают Linux, но далеко не все из них по функциональности в Linux- средах приблизились к вер- сиям для Windows. Благодаря возможности регулировать интенсивность сбора данных и профили потребления ресурсов EDR- решение сможет работать в высоконагруженных Linux- системах, не снижая их про- изводительность. Такой уровень детализации позволяет точно определить источник подозрительной активности и понимать, как она соотносится с логикой прило- жения. EDR выполняет инвентариза- цию контейнеров и аудит кон- фигурации: l отслеживает запущенные и остановленные контейнеры; l фиксирует факты запуска и завершения контейнеров; l проводит аудит конфигура- ции систем оркестрации (напри- мер, Kubernetes или OpenShift); l выявляет отклонения от базо- вых политик безопасности. Все это помогает поддержи- вать контроль над динамиче- ской средой. Дополнительно EDR-решение способно выявлять техники MITRE ATT&CK for Containers, включая: l побег из контейнера; l повышение привилегий; l злоупотребление Capabilities; l запуск криптомайнеров и несанкционированных процес- сов. Таким образом, EDR не про- сто средство реагирования на инциденты, а полноценный инструмент непрерывного конт- роля и анализа контейнерной инфраструктуры, помогающий снизить риск компрометации и утечек данных. Кроме того, решение выявляет ошибки конфигурации и избыточные права доступа, которые часто становятся при- чиной инцидентов даже без внешней атаки. EDR для Linux Использование EDR в Linux- средах позволяет не ограничи- ваться только детектированием атак и реагированием на инци- денты. Одна из ключевых функ- ций современных решений – выявление ошибок конфигура- ции и потенциальных рисков до того, как они превратятся в реальные угрозы. Согласно данным BI.ZONE TDR, среди наиболее распро- страненных мисконфигураций в Linux: l разрешен запуск опасных утилит через sudo – в 73% орга- низаций; l возможен SSH-доступ по паролю, включая root-доступ, – в 88%; l присутствуют контейнеры с избыточными привилегиями и небезопасными точками мон- тирования – в 60%; l установлены слабые пароли локальных учетных записей – в 58%. Использование EDR для Linux позволяет выявлять и устранять подобные мискон- фигурации до того, как они приведут к инцидентам. Реше- ние фиксирует уязвимые настройки, оценивает риск для всей инфраструктуры и уве- домляет администраторов о потенциальных проблемах. В результате компании могут превентивно исправлять ошиб- ки, предотвращать повышение привилегий злоумышленников и снижать вероятность ком- прометации систем еще до появления реальной угрозы. Конкурентоспособность отечественных EDR в Linux-средах Российские решения уже под- держивают Linux, но далеко не все из них по функциональности в Linux-средах приблизились к версиям для Windows. На дости- жение необходимого уровня зрелости потребуется несколько лет, но разработка активно ведется с учетом запросов рынка и требований регулято- ров. Чтобы оставаться конкурен- тоспособными в Linux-средах, российские EDR-системы долж- ны развиваться в нескольких ключевых направлениях: 1. Комбинация нескольких источников телеметрии. Так они будут компенсировать недостат- ки друг друга. Комбинация нескольких источников позво- ляет также использовать для сбора событий наиболее под- ходящие решения, исходя из их влияния на инфраструктуру, полноты и объема собираемых событий. 2. Мониторинг контейнеров. Он заслуживает особого вни- мания. Эффективное EDR- решение фиксирует события на уровне конкретных контейнеров и подов, ведет инвентаризацию запущенных и остановленных экземпляров, проводит аудит конфигурации оркестраторов и отслеживает попытки побега из контейнеров. 3. Контроль и управление нагрузкой на устройства. Бла- годаря возможности регулиро- вать интенсивность сбора дан- ных и профили потребления ресурсов EDR-решение сможет работать в высоконагруженных Linux-системах, не снижая их производительность, а за счет компенсирующих источников данных – не терять способность выявлять угрозы. 4. Выявление уязвимостей и ошибок конфигурации. Автома- тический анализ системных настроек, политик доступа и версий ПО позволяет пред- упреждать риски до возникно- вения инцидентов, повышая зрелость процессов кибербезо- пасности. 5. Гибкость политик монито- ринга. Речь о возможности соз- давать и адаптировать правила телеметрии под конкретные инфраструктуры и сценарии атак. Это критично, поскольку Linux-среды сильно различают- ся по дистрибутивам и конфи- гурациям. EDR-решение должно обеспечивать расширяемую систему выявления угроз: под- держку пользовательских пра- вил и интеграцию с внешними источниками индикаторов ком- прометации (IoC), чтобы свое- временно реагировать на новые векторы атак. Заключение Переход на Linux и активное использование контейнерных технологий создают новые вызовы для кибербезопасности российских компаний. Теперь EDR становится не просто инструментом обнаружения атак, а ключевым механизмом превентивного контроля и повы- шения зрелости процессов кибербезопасности. Развитие отечественных EDR-платформ для Linux – это необходимый шаг для безопасного и эффек- тивного функционирования современной корпоративной ИТ-инфраструктуры. l • 49 ЗАЩИТА ИНФРАСТРУКТУРЫ НА БАЗЕ РОССИЙСКИХ ОС www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: ГРОТЕК