Журнал "Information Security/ Информационная безопасность" #5, 2024

• 19 SOC + EDR www.itsec.ru сей в системном реестре. EDR-решение наследует многолетние наработки "Лабо- ратории Касперского" по противодействию попыткам обхода и блокировки. Дополнительно в составе решения пред- усмотрен компонент Sandbox, оснащенный методами противодействия вредоносным программам, которые пытаются обходить средства защиты информации, включая эмуляцию запуска. Кроме того, Sandbox позволяет загружать пользовательские образы операционных систем Windows, что дает возможность максимально точно воспроизвести рабочую среду, характер- ную для конкретной компании. Юрий Бережной, Positive Technologies: Да, несомненно! В MaxPatrol EDR мы внедряем механизмы превентивного детектирования угроз, которые позво- ляют обнаруживать цепочки событий раньше реализации целевых действий злоумышленников. Искусственный интеллект также может прийти на помощь: в ряде случаев ML-механизмы позволяют быстрее обнаружить паттер- ны атаки среди тысяч событий и доста- вить информацию о подобных подо- зрительных действиях до реализации атаки. Теймур Хеирхабаров, BI.ZONE: В ряде отечественных EDR-решений уже существуют механизмы обнаруже- ния угроз и автоматического реагирова- ния на них в момент выявления. Это и является воплощением принципа RPP. Однако важно понимать, что это пре- имущественно функция антивирусных решений или решений класса EPP. Одной из основных задач EDR все же является обнаружение сложных угроз, пропущенных антивирусом, за счет использования правил с нечеткой логи- кой. Для них автоматическое реагиро- вание не может быть применено ввиду возможных ложных срабатываний. Конечное решение об отнесении сраба- тывания правила обнаружения EDR к угрозе принимается аналитиком. EPP- решения должны выявлять и блокиро- вать те угрозы, которые могут быть детектированы почти со 100% точностью, и где нет риска автоматического реаги- рования. Павел Петров, Лаборатория Касперского: В нашем комплексном решение по защите конечных устройств использу- ется автоматическое реагирование на атаки с высоким уровнем уверенности (Confidence). В EPP-функциональности автомати- чески блокируются операции с вредо- носными файлами, далее происходит лечение или удаление файла. При ана- лизе поведения, если активность при- ложения совпадает с шаблоном опас- ного поведения, также выполняется настроенное автореагирование. На Windows поддерживается откат дей- ствий, произведенных вредоносными приложениями в ОС. В EDR-функциональности доступна автоматическая блокировка запуска файлов с заданными хеш-суммами. Определенные действия выполняются вручную аналитиком после изучения полученных сообщений об обнаруже- ниях (индикаторов атак) и понимания, что обнаружение не является ложным срабатыванием и инвазивное действие по реагированию будет оправдано и не нанесет ущерб активам компа- нии. В XDR-функциональности доступно создание плейбуков с автоматическим реагированием на конечных устройствах. Сергей Солдатов, Лаборатория Касперского: Термин RPP я слышу впервые и пола- гаю, что это очередная маркетинговая аббревиатура. Но есть термин EPP, предложенный Gartner, который в инду- стрии понимается одинаково, ведь оче- видно, что EDR не эффективен без функционала полностью автоматическо- го обнаружения и реагирования, реали- зуемого ранее в антивирусах. Поэтому зрелые поставщики EDR позиционируют себя именно как производители ком- плексного решения по защите конечных точек, то есть EPP. Юрий Бережной, Positive Technologies: l Фокус на повышение качества сбора событий и скорости детектирования. l Повышение качества фильтрации событий и инцидентов, с которыми рабо- тают аналитики SOC. l Обновления в части пользователь- ского опыта в настройках политик, рас- следовании инцидентов и цепочках атак. Теймур Хеирхабаров, BI.ZONE: l Поиск неуправляемых устройств для выявления хостов в слепых зонах, где еще не установлены EDR-агенты. l Контроль целостности конфигурации конечной точки (FIM) для контроля целостности конфигурационных файлов и критичных файлов. l Удобный интерфейс для разработки корреляционных правил и исключений к ним. l Развитие самозащиты и сетевой изоля- ции, в том числе, защиты от техник обхода EDR и техник дампа учетных данных. l Контроль и блокировка подключае- мых устройств. Павел Петров, Лаборатория Касперского: l Расширение EDR для Linux: карантин файлов, блокировка по хешу, сбор форензики. l Улучшение сбора событий для точного детектирования атак и настройки исклю- чений. l Поддержка SIGMA-правил для про- верки инфраструктуры на индикаторы атак (CERT). l Возможность для непривилегирован- ных пользователей отправлять файлы в Sandbox. l Live-консоль реагирования для Wind- ows/Linux в режиме, близком к реально- му времени. l Развитие гибкой фильтрации событий для снижения нагрузки на устройства и серверы. l Какие новые возможно- сти появятся в вашем EDR в ближайшем году? Идет ли развитие рос- сийских EDR по пути RPP (Real-Time Protec- tion Platform) с реагиро- ванием в реальном вре- мени, а не постфактум? Ваше мнение и вопросы присылайте по адресу is@groteck.ru