Журнал "Information Security/ Информационная безопасность" #5, 2024

18 • СПЕЦПРОЕКТ Теймур Хеирхабаров, BI.ZONE: Устаревшие серверы и неподдержи- ваемые версии ОС встречаются нередко. При нехватке вычислительных ресурсов мы, как правило, применяем специали- зированные версии профилей аудита, которые учитывают специфику нагрузки систем и отключают мониторинг опре- деленных типов событий. Для непод- держиваемых версий ОС единственным вариантом остается отказ от использо- вания EDR-решения в пользу штатного аудита. Очевидно, что в обоих случаях эффективность мониторинга и реагиро- вания существенно снижается. Юрий Бережной, Positive Technologies: В случае MaxPatrol EDR мы предоставляем возможность тонкой настройки работы на конечном устройстве благодаря модульно- сти. Заказчик сам настраивает набор функ- циональности, который будет исполняться на той или иной группе устройств, а также принимает решение о передаче функций корреляции с конечного устройства на сер- вер в целях оптимизации нагрузки. Для нас важно своевременно поддерживать актуальные версии распространенных опе- рационных систем для максимального покрытия инфраструктуры заказчиков. Павел Петров, Лаборатория Касперского: Kaspersky EDR Expert, помимо самых новых версий ОС, поддерживает широ- кий перечень устаревших версий ОС, вышедших из поддержки у производи- телей. Для минимизации нагрузки на конечные устройства мы применяем сле- дующие подходы: l единый агент объединяет функции EPP и EDR, исключая дублирование ком- понентов и проблемы совместимости; l отдельная установка EDR без анти- вируса для устройств без необходимости антивирусной защиты или с использо- ванием стороннего ПО (реализовано для Windows, планируется для Linux); l модульная архитектура позволяет выбирать необходимые функции EPP; l тестирование совместимости с дру- гими СЗИ и бизнес-приложениями для предотвращения проблем; l гибкие настройки исключений на устройствах (например доверенные про- цессы или фильтрация событий); l ресурсоемкие задачи выполняются на выделенных серверах, а не на конеч- ных устройствах; l техническая поддержка оперативно решает проблемы и обновляет базы без переустановки продукта. Юрий Бережной, Positive Technologies: Такие атаки известны. Меры противо- действия им – это, в первую очередь, использование экспертизы для своевре- менного обнаружения такого типа атак, применение превентивных мер детекти- рования, что позволяет среагировать на подобную атаку раньше, чем она про- изойдет. Не менее важно внедрение механизмов и инструментов, предотвра- щающих попытки остановить работу EDR, или необходимых для его деятель- ности компонентов и приложений. Теймур Хеирхабаров, BI.ZONE: Попытки злоумышленников нарушить работоспособность EDR-агента встре- чаются все чаще. Главная мера по проти- водействию таким атакам – реализация так называемого механизма самозащиты EDR-агента. Он позволяет заблокировать попытки злоумышленника повредить ключевые файлы, остановить службы и сервисы, функционирование которых необходимо для обеспечения работоспо- собности EDR-агента. Этот механизм генерирует также оповещения для ана- литиков в случае фиксации попыток нару- шить работоспособность EDR-агента. Ярослав Каргалев, F.A.C.C.T.: У атакующих два пути – отключить EDR или обойти детект-логику. 1. Для отключения агента требуются наи- высшие привилегии в системе, а их нужно еще получить. Этап с мероприятиями по повышению привилегий со стороны ата- кующих будет обнаружен EDR до момента своего отключения. Да и самфакт отключе- ния также должен мониториться. 2. Базовая задача EDR – собирать всю необходимую для обнаружения вре- доносного поведения телеметрию, поверх которой уже накладывается детект-логика, отвечающая за обнару- жение. EDR – не самостоятельное реше- ние, оно эффективно работает в ком- плексе с другими модулями, например песочницей. Сергей Солдатов, Лаборатория Касперского: Технических мер много, но все они сводятся в общем случае к увеличению требуемого времени на реализацию атаки. За это время при наличии опера- тивного мониторинга попытка атаки будет обнаружена, и предприняты меро- приятия по ее нейтрализации. Павел Петров, Лаборатория Касперского: Kaspersky EDR Expert имеет механизм самозащиты, который препятствует попыт- кам выгрузить агент: предотвращает изме- нение и удаление файлов программы на жестком диске, процессов в памяти, запи- Актуальными становятся атаки по нейтрализации EDR-решения или уклоне- нию от обнаружения им. Какими мерами можно им противостоять?