Журнал "Information Security/ Информационная безопасность" #5, 2024

• 17 SOC + EDR www.itsec.ru Юрий Бережной, Positive Technologies: В первую очередь, за счет размеще- ния автономных агентов EDR на конеч- ных устройствах, а значит и повышение качества сбора событий, необходимых для проведения корреляционного ана- лиза. Это сопровождается гранулярным управлением конфигурациями сбора на каждом устройстве из одного окна, удобными настройками расписания обмена данными с сервером, возмож- ностей лимитирования нагрузки, кото- рые позволят не влиять на рабочие процессы конечного устройства. Во- вторых, EDR открывает широкие воз- можности реагирования: от тонкой настройки политик для различных групп устройств до проведения масштабных операций, включая автоматизирован- ные сценарии. Бывали примеры, когда сочетание этих возможностей эконо- мило людям месяцы труда. Разумеется, каждый случай уникален, и эффектив- ность применения зависит от множе- ства факторов. Ярослав Каргалев, F.A.C.C.T.: Покрытая EDR-агентами инфраструк- тура дает аналитикам SOC не только полную видимость происходящего, но и возможность проводить самостоятель- ное расследование и реагирование – сбор криминалистических данных, изо- ляцию хостов и удаление/нейтрализацию вредоносного кода. Если ранее для этих действий требовались различные инстру- менты, глубокая экспертиза и значи- тельное время, то сегодня EDR позво- ляют оперативно проводить критически значимые мероприятия сдерживания и нейтрализации угроз из единого окна. Тем не менее EDR – это лишь инстру- мент, и эффективность его применения напрямую зависит от экспертности спе- циалиста, работающего с ним. Теймур Хеирхабаров, BI.ZONE: Решения EDR помогают аналитикам SOC за счет возможности обнаружить признаки киберинцидента на всех этапах Kill Chain и детализированной телемет- рии, оптимизирующей процесс рассле- дования инцидентов. EDR также предо- ставляет экспертизу вендора за счет готовых и постоянно обновляемых пра- вил. Вместе с тем EDR может автомати- чески предотвращать угрозы и предо- ставлять механизмы активного реаги- рования, включая блокировку шифро- вальщиков, выполнения потенциально вредоносных команд, попыток повыше- ния привилегий и т. д. Под активным реагированием понимаются такие зада- чи, как остановка процесса и изоляция хоста, а также получение необходимых артефактов. Сергей Солдатов, Лаборатория Касперского: KasperskyEDR – это инструмент SOC, который не облегчает работу, а скорее, напротив, создает новый фронт работ, поскольку является источником новых типов событий, которые следует ана- лизировать. Основное назначение EDR – предоставить новые возможно- сти по обнаружению, расследованию и реагированию на компьютерные атаки. Без EDR многие техники ата- кующих просто не могут быть обнару- жены, или их обнаружение и расследо- вание сопряжено с высокой трудоем- костью и зависимостью от опыта кон- кретного аналитика. Насколько EDR способна облегчить работу анали- тиков SOC и минимизи- ровать человеческий фактор? Как решаются проблемы совместимости EDR с устаревшими опера- ционными системами и слабым железом на стороне заказчика? EDR как инструмент эффективного реагирования глазами экспертов овременные решения класса EDR (Endpoint Detection and Response) становятся важным инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений. С Юрий Бережной, руководитель направления по развитию защиты конечных устройств Positive Technologies Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.C.C.T. Павел Петров, ведущий менеджер по продукту Kaspersky EDR Expert Сергей Солдатов, руководитель центра мониторинга кибербезопасности Kaspersky Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE