Обзор «Продвинутая защита конечных станций» 28.02.2019 09:56В преддверии XI Уральского форума Центр информационной безопасности «Инфосистемы Джет» выпустил третий ежегодный обзор ИБ-решений. На этот раз он посвящен продвинутой защите конечных станций. Исследование охватило 7 продуктов классов EPP и EDR российских и зарубежных вендоров. В рамках обзора решения проанализировали по более чем 80 критериям.
На протяжении последних лет одним из основных способов компрометации ИТ-инфраструктуры для хакеров остается атака на рабочие станции. Традиционные средства защиты зачастую не успевают за новыми угрозами и специально кастомизированными для конкретной компании вредоносами. Крайне сложно обнаружить и отследить бесфайловые атаки, при которых вредоносное программное обеспечение не размещает никаких файлов на жестком диске, а вместо этого полезная нагрузка загружается непосредственно в оперативную память. Как результат, компьютер становится жертвой вируса-шифровальщика, используется для проникновения в корпоративную сеть или майнинга криптовалют в интересах злоумышленников.
Всесторонняя защита конечных станций требует комплексного подхода, включающего все перечисленные этапы: предотвращение, передовое обнаружение, реагирование, устранение последствий атак и расследование. Обеспечить такую функциональность позволяет совместная эксплуатация решений класса EPP и EDR.
EPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.
EDR (Endpoint Detection&Response) — класс решений, предназначенный для обнаружения и реагирования на продвинутые угрозы. Оперативно выявляет отклонения в поведении приложений и объектов с возможностью их быстрого восстановления в случае подтверждения инцидента офицером безопасности. Системы EDR не опираются на сигнатуры или черные списки.
«Часто такие решения интегрируются, в том числе, и с сетевыми “песочницами”, что значительно повышает эффективность их использования. В этом случае, даже если не удастся спасти конкретный узел, и он, например, станет жертвой шифровальщика, хранимые централизованно детальные логи не будут потеряны, и ИБ-инженер сможет разобраться в причинах заражения и принять необходимые меры для блокирования дальнейшего распространения вредоноса в сети», — отмечает Александр Русецкий, руководитель направления защиты от направленных атак Центра информационной безопасности «Инфосистемы Джет».
Обзор «Продвинутая защита конечных станций» включает следующие решения классов EPP и EDR:
FireEye HX
CyberBit
Carbon Black Response
Check Point SandBlast Agent
Kaspersky Endpoint Detection and Response (EDR)
Symantec EDR
Trend Micro Apex One
Для оценки данных решений было выбрано более 80 критериев, в основе которых лежит как стандартный функционал EPP и EDR, так и кейсы заказчиков, а также собственный опыт компании «Инфосистемы Джет» в тестировании, эксплуатации и внедрении продуктов для продвинутой защиты конечных станций.