Журнал "Information Security/ Информационная безопасность" #5, 2024

Устройства сотрудни- ков – популярный вектор кибератак. Следовательно, они должны быть защище- ны, даже если находятся вне периметра и не под- ключены к Сети. Политики реагирования позволяют выбрать, какие действия MaxPatrol EDR будет предпринимать при обнаружении угроз разного типа. Продукты класса EDR помогают повысить ско- рость реагирования и точ- ность выявления угроз в инфраструктуре. Основ- ное преимущество в нашем примере – наличие гибкой настройки, экспертных политик, а также совмести- мость с различными устрой- ствами и другими средства- ми защиты. лять хеш-сумму для каждого файла в легитимной активности на устройствах с высокой нагрузкой, а предоставить сотруднику службы ИБ возмож- ность принимать решения с помощью другого продукта, MaxPatrol SIEM. Отражение атак вне периметра организации Устройства сотрудников – популярный вектор кибератак. Следовательно, они должны быть защищены даже если находятся вне периметра и не подключены к Сети – за это в нашем EDR-решении отвечает автономный корреляционный механизм, который вместе с модульной архитектурой помо- гает защитить устройства уда- ленных работников, находящие- ся вне домена и не попадающие в поле зрения средств защиты в периметре компании. Политики реагирования поз- воляют выбрать, какие действия MaxPatrol EDR будет предпри- нимать при обнаружении угроз разного типа. Например, при выявлении подозрительной активности система может оста- новить процесс, удалить файлы, изолировать устройство, отпра- вить образец на анализ или перенаправить DNS-запросы на заданный сервер (sinkholing). Возможность работать на сер- верах и рабочих станциях помо- гает отражать атаки на ранних стадиях и предотвращать про- движение злоумышленников внутри сети. Вместо заключения: как MaxPatrol EDR помогает SOC на практике В феврале 2024 г. в Казани прошел первый международный мультиспортивный турнир в кон- цепции фиджитал-спорта "Игры будущего", где MaxPatrol EDR помогал 3 аналитикам SOC. На мероприятии продукт защищал инфраструктуру, которая включа- ла несколько площадок в разных локациях и 2 тыс. ИТ-активов. Среди устройств были серверы под управлением Windows и Linux, компьютеры киберспортс- менов и организаторов. Согласно требованиям SLA, система долж- на была подтвердить инцидент в течение 15 минут, еще несколь- ко минут отводилось на локали- зацию угрозы. Использование MaxPatrol EDR позволило аналитикам централизованно получать сообщения о системных собы- тиях, инцидентах безопасности на конечных точках, а также их контекст. Модули реагиро- вания усилили команду защиты и дали возможность оператив- но и дистанционно устранять угрозы без привлечения коллег из ИТ-службы. В частности, нашим экспертам удалось изо- лировать компьютер с вредо- носным ПО всего за одну мину- ту, не имея физического досту- па к нему. Другой пример связан с инци- дентом на устройстве, которое находилось вне периметра и подключалось к инфраструк- туре мероприятия через VPN. MaxPatrol EDR зафиксировал попытку подбора логинов и паролей учетных записей участников турнира, которую предприняла специально при- глашенная команда белых хаке- ров, чьей задачей было прове- рить уровень защиты. Кейс "Игр будущего" показы- вает, как продукты класса EDR помогают повысить скорость реагирования и точность выявления угроз в инфраструк- туре. Основное преимущество в нашем примере – наличие гибкой настройки, экспертных политик, а также совместимость с различными устройствами и другими средствами защиты. Системы класса EDR уже стали незаменимым инструмен- том для аналитиков SOC. Воз- можность автоматизировать рутинные задачи и централизо- ванно получать данные об инци- денте позволяет разгрузить сотрудников центра реагирова- ния, чтобы они могли сосредо- точиться на решении стратеги- ческих задач и отражении целе- вых атак. l 16 • СПЕЦПРОЕКТ АДРЕСА И ТЕЛЕФОНЫ POSITIVE TECHNOLOGIES см. стр. 70 NM Реклама 3 https://safe.cnews.ru/articles/2024-09-05_1300_konechnyh_ustro- jstv_pod_zashchitoj Рис. 2. Как работает MaxPatrol EDR