Защита конечных точек

Обеспечение высокого уровня безопасности корпоративного сетевого периметра и серверной инфраструктуры – важная составляющая работы ИБ-департамента организации. Но многие эксперты в последние годы в качестве основной зоны риска называют конечные устройства, для защиты которых применение простого антивируса недостаточно. Да, антивирусное программное обеспечение сможет заблокировать распаковку архива с опасным файлом, а браузер запретит посещение скомпрометированного ресурса, но существует огромное количество угроз, перед которыми базовые продукты совершенно бессильны.

Под безопасностью конечных точек (Endpoint security) понимается подход к защите компьютерных сетей, удалённо подключённых к клиентским устройствам. Подключение конечных устройств к корпоративным сетям формирует пути атак на внутреннюю IT-инфраструктуру организации, поэтому Endpoint security необходимо для гарантии того, что такие устройства соответствуют стандартам.

Редакция CISOCLUB поговорила с экспертами на тему защиты конечных точек. Специалисты рассказали о том, какие факторы влияют на принятие решения о выборе средств для защиты конечных точек, какие подходы и технологии стоит применять для проактивного обнаружения атак на конечные точки, как адаптировать защиту конечных точек к меняющимся методам кибератак, а также привели примеры успешной интеграции средств защиты конечных точек с другими инструментами ИБ и ответили на многие другие вопросы.

С нами пообщались:

• Семен Рогачев, руководитель отдела реагирования на инциденты компании «Бастион».
• Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft.
• Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар».
• Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком».
• Свапнил Шете, вице-президент по маркетингу Scalefusion.
• Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE.

Какие ключевые факторы влияют на принятие решения о выборе средств для защиты конечных точек?

Семен Рогачев, руководитель отдела реагирования на инциденты компании «Бастион»:

«Из ключевых факторов, влияющих на выбор средств для защиты конечных точек, можно отметить: простоту интеграции с уже имеющимися другими средствами защиты информации, уровень надежности решения, так как ошибки в работе подобных средств могут приводить к нарушению функционирования отдельных узлов инфраструктуры, что может быть критично. Для некоторых компаний особо актуальным становится вопрос влияния данного средства на производительность».

Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft:

«Важное значение для принятия решения играет версия операционной системы, а также то, как и какой софт должен работать на конкретном узле. В идеале, желательно, чтобы система защиты конечных точек не влияла на работу штатного софта, используемого в компании. Кроме того, зачастую есть требования по документальному подтверждению совместимости работы со специализированным софтом. А в текущих реалиях влияние также оказывают требования регуляторов».

Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар»:

«Важным аспектом является способность инструмента эффективно обнаруживать сложные атаки. Решение должно обеспечить сбор полноценной телеметрии с конечных устройств (файловые изменения, действия с реестром, сетевые соединения, процессы, пользовательская активность), а также контроль за вносимыми изменениями, целостностью ОС и работы с внешними устройствами. Способность продукта быстро и эффективно реагировать на инциденты с помощью автоматизации (например, изоляция устройств, удаление вредоносного ПО) и в реальном времени также является одним из ключевых факторов при выборе решения.

Также важна возможность настройки под конкретные нужды инфраструктуры компании и масштабируемость решения по мере роста бизнеса. Продукт должен интегрироваться с уже существующими системами и платформами, такими как SIEM, чтобы не нарушить текущее рабочее окружение. Средства защиты конечных точек должны обеспечивать высокую производительность с минимальным влиянием на работу конечных устройств, чтобы избежать замедлений, которые могут нарушить бизнес-процессы.

Компании с критичной инфраструктурой и те, кто обязан соблюдать нормативные требования (например, ФСТЭК России), часто выбирают решения, которые имеют сертификаты соответствия.

Кроме того, важную роль играют общая стоимость владения и гибкость в лицензировании (скидки при увеличении количества приобретаемых лицензий)».

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком»:

«Основными точками проникновения злоумышленников в сети были и остаются пользовательские устройства и сервера, на которых функционируют компоненты программного обеспечения. В современных условиях недостаточно полагаться только на антивирус. При противодействии целевым атакам нам необходимо как можно раньше обнаружить присутствие злоумышленника, чтобы обеспечить себе время для успешного реагирования. А эту задачу могут помочь решить такие инструменты как EPP (Endpoint Protection Platform), которые предлагают защиту через различные методы обнаружения аномальной активности, включая системы обнаружения и предотвращения вторжений.

С учётом роста целевых атак, системы EDR (Endpoint Detection and Response) становятся важными для анализа телеметрии и выявления угроз на ранних стадиях, даже если вредоносный код уже в оперативной памяти. Но никакое средство пока не является панацеей, поэтому не стоит забывать о внедрении технологии многофакторной аутентификации (MFA) и управления привилегированными пользователями (PAM) для снижения рисков компрометации учетных данных.

При выборе средств защиты важно обращать внимание на такие аспекты, как централизованное управление, сложность эксплуатации, масштабируемость и соответствие регуляторным требованиям. Вместе с репутацией производителя и совместимостью с уже существующей инфраструктурой они играют ключевую роль в создании эффективной системы безопасности».

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

«Существует два основных класса решений по защите конечных точек: антивирусные средства, или EPP (endpoint protection platform), и EDR (endpoint detection and response). Критерии выбора для этих классов могут различаться. Мы рассмотрим преимущественно критерии для решений класса EDR:

1. Телеметрия. Это одно из главных свойств решений класса EDR, вокруг которого строится все остальное. Чем шире номенклатура собираемых событий и чем больше атрибутов содержится в событиях, тем шире возможности продукта по обнаружению сложных угроз. Преимуществом будет возможность кастомизации политик сбора телеметрии для снижения при необходимости объема собираемых данных и нагрузки на конечные точки. Важно и то, какие механизмы используются для получения телеметрии: разработанные компоненты, аудит операционной системы или бесплатные инструменты сторонних разработчиков. Решения, которые основываются только на аудите ОС или сторонних компонентах, будут всегда зависеть от воли разработчиков этих компонентов и не давать вендору возможность быстро реагировать на угрозы.

2. Качество обнаружения угроз поставляемой вендором базой детектирующих правил и индикаторов. Такая база должна регулярно обновляться и позволять выявлять различные техники атакующих. Кроме того, нужно обращать внимание на возможность добавлять исключения к правилам вендора, а также на возможности добавления собственных правил и индикаторов.

3. Доступные пользователю инструменты реагирования. EDR — это швейцарский нож, который удобно использовать в процессе реагирования на инциденты. Он предоставляет специалистам возможность сбора дополнительных данных для проведения расследования (forensics-артефакты), интерактивного анализа, запуска дополнительных проверок (IoC, YARA) и сдерживания активной атаки (сетевая изоляция, завершение процессов, удаление файлов и т. д.). Чем больше таких возможностей, тем эффективнее проведение расследований и реагирований. Также преимуществом является возможность автоматического реагирования, когда специалист может при необходимости настроить запуск действий по заданному триггеру.

4. Поддержка и совместимость со всеми операционными системами, используемыми в инфраструктуре. Покрытие большей части используемых ОС за счет одного решения позволит минимизировать трудозатраты на сопровождение парка разнородных средств. Кроме того, EDR-агент не должен негативно влиять на работу ОС и приложений. В связи с этим нужно обращать внимание на наличие возможностей для тонкой настройки политик мониторинга и защиты, позволяющих адаптировать решение под различные профили нагрузки. Помимо возможностей для самостоятельной настройки, вендоры могут предоставить предварительно настроенные политики для высоконагруженных систем».

Какие подходы и технологии стоит применять для проактивного обнаружения атак на конечные точки?

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE, заявил, что исторически для защиты конечных точек использовались средства антивирусной защиты, которые трансформировались в комплексные платформы защиты конечных точек (EPP). Они служат превентивным средством автоматического обнаружения и предотвращения угроз. Однако для противодействия современным угрозам (в частности, управляемые человеком атаки) превентивных средств уже недостаточно.

«Необходимо использовать класс решений EDR, который, в отличии от EPP, в большей степени является инструментом обнаружения без гарантированной автоматической реакции и в меньшей — инструментом предотвращения. Это позволяет использовать менее точные правила обнаружения без риска нарушить работу легитимных приложений и тем самым обеспечить видимость тех угроз, которые были пропущены EPP ввиду использования в них только высокоточных детектов.

Обнаружение атак в EDR достигается за счет различных технологий детектирования: сигнатурного движка (например, Yara), индикаторов компрометации (IoC), корреляции по поведению, профилирования поведения системных объектов, машинного обучения, анализа памяти и межпроцессного взаимодействия. В отличии от EPP, помимо поставляемых вендором правил обнаружения, в EDR у специалиста есть возможность использовать собственные алгоритмы. Это важно при реагировании и реализации кастомных сценариев.

Для выявления на конечных точках продвинутых атакующих, которые обходят даже правила обнаружения EDR, может помочь threat hunting — проверка гипотез по сырым событиям. Для этого EDR собирает телеметрию в централизованное хранилище и предоставляет инструмент быстрого поиска. Хорошим дополнением является использование объектов-приманок, создаваемых на конечных точках и в домене Active Directory, для привлечения внимания атакующих и мониторинга попыток использования полученных данных. Такой подход к защите может быть реализован как на базе отдельного класса решений — Deception, так и с помощью интегрированной функциональности Deception в некоторых EDR-решениях.

Помимо выявления атак, отличным дополнением является возможность обнаружения уязвимостей и мисконфигураций на конечных точках. Это позволяет проактивно выявлять потенциальные векторы атак и устранять их на раннем этапе. Такие возможности присутствуют лишь в некоторых решениях по защите конечных точек (EPP и EDR).

Ни одно техническое решение не может дать 100% гарантии защиты, поэтому рекомендуется проводить ежегодную оценку инфраструктуры на наличие следов возможной компрометации. Это своего рода чекап инфраструктуры, который позволяет убедиться в том, что в настоящий момент отсутствуют следы компрометации и артефакты развития атаки в инфраструктуре. Проведение анализа стоит доверять профессиональной команде специалистов по реагированию и охоте на угрозы (threat hunting)».

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком», указал на то, что для проактивного обнаружения атак на конечные точки организациям следует использовать современные подходы и технологии, основываясь на существующих стандартах и законодательствах. При разработке системы информационной безопасности необходимо учитывать как национальные законы (например, ФЗ-149), так и международные практики (ISO/IEC 27001, NIST SP 800-53). Это обеспечит комплексный подход к защите.

«Одним из ключевых факторов успешной защиты является использование киберразведки (Threat Intelligence, TI). Однако данный инструмент может быть посилен только достаточно зрелым организациям. Тем, кто находится в начале пути или не обладает достаточным количеством ресурсов — достаточно собирать информацию из открытых источников и следить за уязвимостями программного обеспечения. Регулярный мониторинг новостных сайтов и агрегаторов уязвимостей позволит своевременно выявлять угрозы и принимать меры до выхода обновлений от разработчиков.

Отдельные инструменты, такие как банк данных угроз безопасности от ФСТЭК и бюллетени НКЦКИ, могут предоставить важную информацию о новых уязвимостях и индикаторах компрометации (IOC). Платформы анализа информации об угрозах (Threat Intelligence Platforms, TIP) также могут значительно облегчить процесс отслеживания уязвимостей и минимизировать риски, например, при появлении эксплойтов для уязвимостей нулевого дня. Использование этих технологий и подходов поможет значительно повысить уровень обеспечения безопасности информации в организации».

Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар», напомнила, что использование телеметрии позволяет собирать и анализировать данные обо всех действиях на конечных точках, таких как сетевые подключения, запущенные процессы, обращения к памяти и файловой системе. Анализ событий в режиме реального времени, например, с помощью корреляции событий через SIEM-системы, позволяет идентифицировать и блокировать подозрительные действия на самых ранних стадиях.

«Индикаторы компрометации (IoC) и индикаторы аномалий (IoA) помогают обнаруживать угрозы на основе известных признаков атак (хешей, IP-адресов) и характерного поведения злоумышленников. IoC позволяет быстро реагировать на уже известные угрозы, в то время как IoA помогает распознавать тактики, техники и процедуры (TTP), используемые при атаках.

Подключение к платформам Threat Intelligence (TI) позволяет обогащать данные о потенциальных угрозах, используя информацию о последних инцидентах и новых методах атак. Песочница создает изолированную среду, в которой подозрительные файлы и программы запускаются для анализа их поведения. Если файл демонстрирует вредоносное поведение, система блокирует его распространение. UEBA анализирует поведение пользователей и устройств, фиксируя аномалии и подозрительные действия. Технология позволяет отслеживать изменения в шаблонах использования учетных записей, доступах и активности.

Виртуальные «приманки», которые имитируют реальные сервисы или устройства, привлекают злоумышленников и позволяют выявить их действия без риска для основной инфраструктуры. Фальшивые данные или файлы, помещенные в систему, могут быть полезными для обнаружения попыток несанкционированного доступа. Когда злоумышленник взаимодействует с этими объектами, система сразу же фиксирует инцидент».

Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft, предлагает в этом вопросе начать с того, что здесь важно не допустить проникновение злоумышленника или ВПО на конечные точки. Для этого нужно выстраивать эшелонированную защиту, контролировать VPN-подключения и, соответственно, обучать, информировать сотрудников по вопросам информационной гигиены.

«Далее уже идут технологические средства защиты, такие как EDR, VM, которые позволяют собрать достоверную информацию о текущем состоянии узла и выявить уязвимые места на контролируемых узлах. Отмечу, что для технологических средств всегда должны использоваться только актуальные информационные базы, а также версии защитного ПО и последние обновления устройств».

Семен Рогачев, руководитель отдела реагирования на инциденты компании «Бастион», объяснил, что Threat hunting – процесс, направленный на проактивный поиск угроз, и во многом полагается на данные, собираемые с конечных устройств. Важно отметить, что Threat hunting – метод, который реализуется в инфраструктурах, обладающих высоким уровнем зрелости ИБ. Данный подход полагается на составление гипотез о тех следах, которые мог оставить злоумышленник в процессе развития атаки. Гипотезы во многом основываются на актуальных данных об атакующих, то есть на Threat intelligence.

Как адаптировать защиту конечных точек к меняющимся методам кибератак?

Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft, уверен, что в этом случае нужно применять средства защиты, работающие по методу «белого списка», с доступом к изменениям в реестре. Помимо стандартных антивирусных средств необходимо использовать комплексные решения, которые позволяют отслеживать не только запуск файлов, но и поведение программных продуктов в сетевой инфраструктуре.

Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар», заявила, что для адаптации защиты конечных точек к новым методам кибератак, компании могут использовать интеграцию данных Threat Intelligence (TI) для получения актуальной информации о тактиках и инструментах злоумышленников, позволяющую формировать точные индикаторы компрометации и атак, а также применять поведенческий анализ в сочетании с алгоритмами машинного обучения. Это позволяет обнаруживать аномалии и адаптироваться к постоянно изменяющимся методам атак.

«Регулярное обновление и патчинг систем помогает закрывать уязвимости, которые могут использовать злоумышленники, а автоматизация обновлений уменьшает риск ошибок.

Постоянное тестирование на проникновение и симуляции атак через Penetration Testing и Red Teaming позволяют выявлять слабые места в защите, своевременно корректировать защитные механизмы и повышать готовность компании к новым видам угроз.

Адаптация на основе анализа инцидентов и Threat Hunting обеспечивает проактивный поиск угроз, позволяя лучше понимать и настраивать защиту для актуальных угроз в конкретной инфраструктуре.

Обучение команды безопасности, включая регулярные тренинги и повышение осведомленности, помогает специалистам оставаться в курсе современных угроз и противостоять им, поскольку такие методы атак, как социальная инженерия и фишинг, остаются одними из наиболее распространенных угроз для конечных точек».

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком», убеждён, что для того, чтобы адаптировать защиту конечных точек к новым методам кибератак, достаточно обеспечить базовую кибергигиену, которая включает в себя регулярные обновления программного обеспечения и сигнатур средств защиты информации, а так же внедрение многофакторной аутентификации (MFA) и технологий единого входа (SSO), которые позволяют снижать риск компрометации учетных данных.

«Кроме того, необходимо стремиться воплощать в управлении доступом т.н. принцип минимальных привилегий. Не стоит забывать и про контроль привелигированных пользователей, помочь организовать который могут системы управления привилегированными пользователями (PAM). Также следует использовать контроль сетевого доступа (NAC) для автоматизации управления подключаемыми устройствами.

Слабым звеном были и остаются конечные пользователи, поэтому важно проводить регулярные тренинги для повышения их осведомленности о новых методах атак. Не стоит забывать и о повышении квалификации специалистов по ИБ.

На российском рынке выделяется класс систем обеспечения информационной безопасности, известных как «Средства защиты от целенаправленных атак» (Anti-APT). Он представляет из себя своеобразный «комбайн» различных средств защиты информации, набор которого может варьироваться в зависимости от разработчика. Эти системы интегрируют EPP, EDR и анализ трафика, что позволяет эффективно отслеживать сложные атаки. Также стоит использовать активный поиск угроз (Threat Hunting), где специалисты выдвигают гипотезы о потенциальных атаках и проверяют их, принимая во внимание, что злоумышленники постоянно совершенствуют свои методы. Процесс моделирования угроз и управления рисками следует регулярно пересматривать в ответ на изменения в бизнес-процессах, нормативных требованиях и геополитических условиях, чтобы система защиты оставалась актуальной».

Свапнил Шете, вице-президент по маркетингу Scalefusion:

«Защита конечных точек должна работать как динамическая, адаптивная система, а не как один раз установленный барьер. Такой подход означает переход от реактивных к проактивным механизмам защиты, которые эволюционируют по мере изменения тактик кибератак. Среди ключевых стратегий адаптации можно выделить:

Введение принципа «нулевого доверия» к конечным точкам: это гарантирует постоянную проверку пользователей, устройств, их местоположения и сети, к которой конечные точки подключены. Система постоянно отправляет на устройства запрос на валидацию доступа и позволяет в реальном времени оценивать, можно ли им доверять. Если оценка доверия оказалась низкой, то доступ устройства к конечным точкам моментально ограничивается.

Частые микрообновления: быстрые, не нарушающие работу обновления позволяют защите конечных точек оставаться актуальной при минимальном отвлечении пользователя от работы, которое неизбежно при более масштабных апдейтах системы. Небольшие, но частые патчи помогают обеспечивать устойчивость конечных точек к новейшим уязвимостям без необходимости ждать более крупных, но менее частых обновлений.

Расследование угроз с помощью ИИ: использование ИИ для обнаружения угроз может позволить системам прогнозировать и адаптироваться к новым паттернам кибератак в реальном времени или превентивно.

Обнаружение угроз на основе анализа поведения: поскольку злоумышленники все чаще обходят защиту на основе сигнатур, поведенческий анализ становится необходимым для обеспечения надежной защиты. Такой подход позволяет выявлять нетипичные для пользователя действия, которые могут сигнализировать об атаке, что позволяет своевременно локализовать и отреагировать на скрытые, нетривиальные угрозы».

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE, уточнил, что самое простое и в тоже время самое важное — регулярно осуществлять обновление экспертизы и компонентной базы решения. Вендоры таких средств защиты постоянно отслеживают актуальный ландшафт угроз для добавления новых правил по обнаружению и адаптации уже существующих. Таким образом, это позволит держать руку на пульсе и быть готовым к противодействию новейшим угрозам.

«Важно обновлять не только базы правил обнаружения, но и бинарные компоненты решений по защите конечных точек. Зачастую, чтобы начать детектировать новую угрозу, вендору необходимо добавить новое событие или реализовать новый перехват в ядре. Это изменение в коде, выпуск новой версии продукта или патча, а также добавление новых правил, оперирующих новыми событиями и перехватами. Чтобы новые правила обнаружения начали работать и защищать конечные точки, нужно не только обновлять базы правил, но и получать от вендора обновление бинарных компонентов и распространять его по инфраструктуре. На практике мы часто видим, как клиенты отказываются от обновлений самих компонентов продукта, тем самым лишая себя улучшенных возможностей, предоставляемых каждым выпускаемым обновлением, для обнаружения угроз.

Помимо получения обновлений от вендора, не стоит забывать про возможность добавления в решения класса EDR собственных правил и индикаторов (в средствах антивирусной защиты такой возможности, как правило, нет). Каждый вендор EDR в своем наборе правил придерживается принципа универсальности: правила должны быть максимально релевантны для большинства инфраструктур. А значит, если требуется что-то очень эксклюзивное, то с высокой долей вероятности в базу правил вендора это не попадет. Именно для таких случаев и нужна возможность добавления собственных правил и исключений.

Также эта возможность является отличным инструментом при реагировании, когда в процессе расследования выявляются индикаторы или паттерны поведения, которые вендор еще не успел добавить в свой пакет экспертизы, но в рамках реагирования уже требуется их выявлять и, возможно, блокировать в автоматическом режиме. В таком случае специалист может создать собственное правило обнаружения или добавить свой индикатор и наслаждаться результатом».

Какие методы стоит применять для повышения точности выявления инцидентов и сокращения ложных срабатываний при защите конечных точек?

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком», пояснил, что для повышения точности выявления инцидентов и сокращения ложных срабатываний при защите конечных точек важно четко регламентировать действия привилегированных пользователей и иметь глубокое понимание технологических и бизнес-процессов внутри организации. Интеграция SIEM с ИТ-системами управления и мониторинга, а также другими средствами защиты информации (СЗИ) позволит эффективно агрегировать и коррелировать события, что поможет избежать ложноположительных инцидентов из-за недостатка информации у специалистов по безопасности при принятии решений.

«Необходима также разработка матрицы зон ответственности и порядка эскалации инцидентов информационной безопасности. Архитектура также важна: средства защиты должны располагаться не только внутри корпоративной сети, но и в сегментах DMZ, а также на периметре организации. В случае выявления событий, которые могут указывать на вредоносную активность, крайне важна координация между ИТ-подразделениями, эксплуатацией и владельцами информационных систем. Если событие оказывается нормальным, следует отредактировать правила обнаружения или корреляции и внести исключения, чтобы снизить нагрузку на специалистов по безопасности. Также важно давать обратную связь для возможных изменений в работе самой информационной системы».

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE, первым методом назвал сокращение ложных срабатываний достигается профилированием решения под особенности инфраструктуры путем добавления исключений. Возможности управления исключениями существенно различаются для средств антивирусной защиты (EPP) и EDR. В случае EPP у пользователя не так много возможностей — можно добавлять простые исключения проверки для объектов файловой системы и процессов без сложных фильтров.

«Однако стоит отметить, что для средств антивирусной защиты проблема ложных срабатываний почти не актуальна. На практике исключения в средства антивирусной защиты в большинстве случаев добавляются не для снижения количества ложных срабатываний, а для оптимизации потребления системных ресурсов. Этими исключениями не стоит злоупотреблять. Мы неоднократно видели в реальных инцидентах, когда администраторы добавляли слишком широкие исключения, которые атакующие использовали для обхода обнаружения путем копирования своих инструментов и вредоносного программного обеспечения в исключенные из проверки каталоги.

Проблема ложных срабатываний более актуальна для решений класса EDR. Ввиду того что точность некоторых правил обнаружения в EDR может быть гораздо ниже, чем в антивирусных средствах, такие срабатывания, скорее всего, будут. Для их минимизации требуется регулярно добавлять исключения к правилам обнаружения, а некоторые вовсе отключать из-за неприменимости к конкретной инфраструктуре. Как правило, в EDR-решениях можно добавлять достаточно гибкие исключения к любым правилам, так как возможности конструктора исключений в них гораздо шире, чем в средствах антивирусной защиты. Дополнительно в некоторых решениях может применяться машинное обучение для автоматического выявления ложноположительных срабатываний.

Стоит отметить, что большое количество ложных срабатываний также может быть вызвано низкой кибергигиеной в корпоративной инфраструктуре и недостаточной киберграмотностью пользователей. Если пользователи имеют бесконтрольный доступ в интернет, переходят по сомнительным ссылкам, не ограничены в правах на АРМ, используют для своего удобства инструменты удаленного управления, то последуют регулярные срабатывания средств защиты, на которые придется тратить ресурсы отдела безопасности. Поэтому, помимо внедрения средств защиты, важно непрерывно повышать киберграмотность сотрудников».

Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар»: «Для повышения точности выявления инцидентов и сокращения ложных срабатываний при защите конечных точек стоит применять следующие методы:

1. Использование индикаторов атаки (IoA). В отличие от индикаторов компрометации (IoC), которые устаревать, IoA фокусируются на паттернах и действиях, характерных для атаки (например, попытки эскалации привилегий). Это позволяет с большей точностью обнаруживать подозрительные действия, даже если они не соответствуют известным сигнатурам.
2. Контекстный и кросс-системный анализ. Для объединения данных из различных источников (конечных точек, сети, серверов и т. д.), можно использовать системы класса XDR, что позволяет получать более полное представление о контексте инцидентов, так как система может учитывать корреляцию событий по всей инфраструктуре.
3. Кросс-системный анализ сокращает число ложных срабатываний, так как подозрительные действия проверяются на предмет их связи с другими активностями, и инциденты подтверждаются на основе более полной картины.
4. Поведенческий анализ и машинное обучение. Анализ поведения пользователей и устройств с помощью машинного обучения позволяет выявлять аномалии, которые выходят за рамки обычной активности. Алгоритмы машинного обучения могут обучаться на больших наборах данных и адаптироваться к специфике инфраструктуры, тем самым снижая количество ложных срабатываний.
5. Оптимизация правил детектирования и использование динамических правил. Настройка и оптимизация правил детектирования с учетом специфики компании и добавление динамических правил на основе контекста позволяет снизить количество ложных срабатываний и уменьшить нагрузку на команду безопасности.
6. Многоуровневая фильтрация и предобработка данных. Многоуровневая система фильтрации позволяет отсеивать менее значимые инциденты до того, как они попадут в основной анализ. Это снижает количество ложных оповещений, оставляя более важные события для дальнейшего расследования, предотвращает перегрузку системы и команды безопасности незначительными инцидентами, позволяя сосредоточиться на ключевых угрозах».

Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft, рекомендовал использовать актуальные базы для EDR и антивирусных решений, прорабатывать более детально для каждого узла настройки защиты конечных устройств. При необходимости – добавить функционал мониторинга действий пользователя.

Семен Рогачев, руководитель отдела реагирования на инциденты компании «Бастион», заметил, что методы зависят от конкретной ИТ-инфраструктуры и многих других факторов. В качестве базового подхода перед внедрением детектирующего правила можно провести бэктест на уже имеющихся исторических данных.

Приведите примеры успешной интеграции средств защиты конечных точек с другими инструментами ИБ

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE: «Несмотря на то что средства защиты конечных точек (например, такие как EDR или EPP) хорошо справляются со своей задачей, для защиты требуется применять комплексный подход. Каждое решение имеет свои преимущества, поэтому интеграция EDR/EPP с решениями других классов позволяет расширить имеющийся у EDR/EPP контекст, которого может не хватать для автоматического реагирования на выявленный инцидент. Также данный метод позволяет предоставить возможность другим решениям реагировать на инциденты при помощи EDR/EPP. Рассмотрим несколько примеров интеграции.

1. Интеграция EDR и sandbox. Интеграция EDR c песочницей позволяет проводить более глубокий анализ подозрительных файлов. Ввиду ограничений вычислительных ресурсов на конечной точке нет возможности выполнять глубокую проверку файлов, и имеются ограничения по контролируемым событиям. Интеграция с sandbox призвана устранить эти ограничения: по предварительному детекту потенциально подозрительный файл может быть автоматически отправлен на дополнительную проверку в песочницу. В случае подтверждения вредоносности файла EDR добавит выявленные IoCs на блокировку, а также выполнит их поиск и удаление на конечных точках. Помимо автоматического реагирования на выявленную угрозу, EDR зарегистрирует на сервере обнаружение со всеми данными, полученными от песочницы и EDR.
2. Интеграция EDR и NTA. EDR и системы анализа сетевого трафика (NTA) могут эффективно дополнять друг друга, работая на разных уровнях. С точки зрения сетевого мониторинга, EDR собирает информацию о сетевых подключениях, обогащая ее сведениями о процессе-инициаторе, но не выполняет полноценный анализ на L7 ввиду ограничений по потреблению ресурсов конечной точки. С другой стороны, NTA глубоко анализирует трафик на L7, но не обладает информацией об источнике сетевой активности на хосте-инициаторе. Интеграция этих решений делает возможным кросс-обогащение телеметрии и алертов и устраняет недостатки. Например, в алертах NTA можно увидеть процесс-инициатор подозрительной сетевой активности и при необходимости завершить его через EDR на хосте источнике. Также события EDR о сетевых подключениях могут быть обогащены результатами анализа трафика от NTA, и на основании этого EDR сможет принимать соответствующие решения. Еще один сценарий возможной интеграции EDR и NTA заключается в автоматическом запуске сетевой изоляции через EDR конечной точки, служащей источником сетевой атаки, обнаруженной NTA.
3. Интеграция EDR/EPP с SOAR. Другим успешным примером является интеграция SOAR-решения с EDR/EPP. Такая интеграция позволит запускать различные действия реагирования из SOAR на EDR/EPP как по запросу аналитика, так и автоматически на базе заранее подготовленного сценария реагирования (плейбука)».

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком», рассказал, что интеграция средств защиты конечных точек с инструментами информационной безопасности, такими как SIEM и аналитика поведения пользователей (UBA/UEBA), позволяет создать непрерывную среду для мониторинга событий и аномалий, что значительно повышает эффективность выявления инцидентов.

Менее распространена интеграция средств управления уязвимостями с системами патч-менеджмента, которая может помочь автоматизировать обновление программ, но несет существенные риски несовместимости. Классической практикой остается интеграция SIEM с службой каталогов для выявления несанкционированного доступа и с антивирусами для корреляции данных, а использование EDR помогает снизить ложные срабатывания.

Какие ошибки в настройке и управлении защитой конечных точек встречаются чаще всего, и как их избежать?

Свапнил Шете, вице-президент по маркетингу Scalefusion, заявил, что эффективная защита конечных точек зависит от правильной конфигурации и проактивного управления, тем не менее часто ошибки могут возникать из-за некорректной кастомизации и нехватки контроля. Среди ключевых проблем можно выделить применение стандартных политик безопасности, которые не отвечают уникальным потребностям различных устройств и ролей пользователей. Индивидуальные же политики могут помочь избежать этого, добавляя необходимые уровни защиты, особенно для конечных точек с высоким риском.

«Стандартные аудиты безопасности также могут со временем терять свою эффективность и приводить к ошибкам, поэтому частые аудиты и автоматизированный мониторинг необходимы для выявления возникающих и требующих внимания пробелов. Обучение пользователей является еще одним очень важным аспектом.

Даже самая лучшая защита конечных точек дает сбои, если пользователи не знают об основных методах обеспечения безопасности, например, не могут распознать попытки фишинга. Наконец, непоследовательные обновления и патчи делают системы уязвимыми. Внедрение автоматизированной системы установки патчей, которая отдает приоритет критическим обновлениям для конечных точек с высоким риском, помогает обеспечить надежную и актуальную защиту по всей сети».

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком», объяснил, что частые ошибки при настройке защиты конечных точек включают предоставление слишком широких прав пользователям, игнорирование базовых средств защиты и недостаточное обновление систем. Для их предотвращения важно отключать стандартные учетные записи, применять политику сложных паролей, настраивать правила аудита, внедрять базовые средства защиты и использовать централизованное управление обновлениями. Также рекомендуется хранить важную информацию на выделенных ресурсах и настраивать шифрование на устройствах пользователей для повышения безопасности.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE, рассказал об основных ошибках:

1. Неполное покрытие инфраструктуры агентами защитного решения является одной из самых частых проблем, с которой мы сталкиваемся при реагированиях на инциденты. Как правило, есть три причины. Первая — незнание своей инфраструктуры. Вторая причина — отсутствие инструментов централизованного администрирования, из-за чего распространение агентского решения вызывает сложности. И третья — намеренное исключение из области развертывания решения отдельных хостов или даже сегментов. Это происходит из-за того, что эксплуатирующие подразделения опасаются негативного влияния на работу сервисов. В данном случае имеет смысл совместно с вендором провести тонкую настройку решения и подстроить под профили нагрузки критичных систем.
2. Еще одной ошибкой является отключение важных компонентов в политиках средств защиты конечных точек (например, в поведенческом анализе). К этому часто прибегают администраторы для снижения потенциального влияния на работу хоста вместо полного удаления агента. В результате решение установлено, но перестает качественно функционировать. Поэтому в случае потенциальных проблем с негативным влиянием на работу устройства нужно решать их совместно с вендором, а не отключать важные компоненты или решение целиком.
3. Игнорирование регулярных обновлений как баз детектирующих правил, так и самих компонентов решения по защите конечных точек. Это происходит из-за ошибок настройки требуемых сетевых доступов к серверам обновлений вендора или из-за боязни получить негативное влияние на работу хостов. Вендоры решений непрерывно следят за актуальным ландшафтом угроз и подстраивают свои продукты под него, выпуская обновления детектирующих правил. Иногда новая угроза может потребовать не просто выпуска нового правила, а изменений в коде продукта (например, добавление нового события телеметрии). Поэтому, чтобы решение обеспечивало защиту от актуальных угроз, оно должно регулярно обновляться.
4. Игнорирование срабатываний средств защиты. Во многих серьезных инцидентах мы неоднократно видели, как задолго до нанесения атакующим ущерба инфраструктуре антивирус или EDR непрерывно сигнализировал об обнаруженных угрозах, но команды сопровождения их игнорировали, следуя логике «раз антивирус заблокировал, то все хорошо». Это большая ошибка: в журналы средств защиты нужно регулярно заглядывать и проводить анализ. Если такой экспертизы нет внутри, то эту задачу можно передать коммерческому SOC.
5. Серверы управления решений по защите конечных точек — лакомый кусочек для атакующих, но тем не менее компании пренебрегают их защитой. Минимально необходимым является включение двухфакторной аутентификации при доступе в консоль управления. На наличие такой возможности нужно обращать внимание при выборе решения. Во многих продуктах 2FA есть, но пользователи, к сожалению, не всегда ее включают, тем самым упрощая жизнь атакующим.

Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар», тоже привела свой список ошибок:

1. Неоптимальная конфигурация разрешений пользователей. Слишком высокие права доступа для большого числа пользователей увеличивают риски компрометации и внутренних угроз. Оптимальнее использовать принцип минимально необходимого доступа, предоставляя сотрудникам только те права, которые необходимы для выполнения их работы.
2. Отсутствие регулярного обновления и патчей. Несвоевременное обновление операционных систем и приложений создает уязвимости, которые могут быть использованы злоумышленниками. Необходимо настроить автоматические обновления и планировать регулярные проверки на наличие доступных патчей, особенно для критически важных приложений.
3. Неправильная настройка политик безопасности. Чрезмерно жесткие или слабые политики безопасности могут привести к ложным срабатываниям или недостаточному обнаружению угроз. Необходимо оптимизировать политики с учетом специфики инфраструктуры, провести тестирование для настройки уровней чувствительности системы и исключить часто используемые безопасные процессы из списка угроз.
4. Неправильная настройка индикаторов компрометации (IoC). Использование устаревших индикаторов компрометации (IoC) или их неверная настройка ведет к ложным срабатываниям или недостоверным данным. Необходимо обеспечить регулярное обновление IoC и IoA (индикаторов атак) на основе актуальных данных Threat Intelligence, проверяя их корректность и релевантность.
5. Отсутствие тестирования и проверки защиты. Системы защиты конечных точек часто остаются ненастроенными, либо настройки защиты не проверяются после внедрения. Необходимо регулярно проводить тесты на проникновение и симуляции атак для проверки эффективности настроек. Это позволяет оценить готовность к инцидентам и скорректировать политику безопасности.
6. Недостаток автоматизации и реагирования. Полное полагание на ручное реагирование снижает эффективность защиты. Можно внедрить автоматизированные сценарии реагирования на инциденты (SOAR) для быстрого выполнения типичных действий, таких как изоляция устройства, блокировка IP или восстановление системы.

Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft: «Основная ошибка – отключение, зачастую из-за неправильной настройки, отдельных компонентов СЗИ. Наиболее часто встречаемые – отключение ssl-инспектирования, а также защиты от запуска сторонних программ (из-за некорректно сформированного списка приложений)».

Семен Рогачев, руководитель отдела реагирования на инциденты компании «Бастион», уточнил, что ошибки в настройке и управлении защитой конечных точек зависят от уровня зрелости компании в вопросах информационной безопасности. Часто встречается игнорирование сработок средств защиты конечных точек, слишком «широкая» настройка исключений и отсутствие мониторинга изменения конфигурации подобных средств защиты.

Какие изменения в процессах моделирования угроз и управления рисками стоит внести, чтобы усилить защиту конечных точек и повысить их устойчивость к атакам?

Кристина Середа, ведущий инженер группы продуктов детектирования и реагирования на кибератаки ГК «Солар», считает, что для того, чтобы усилить защиту конечных точек и повысить их устойчивость к кибератакам, необходимо внести изменения в процессы моделирования угроз и управления рисками, применяя регулярное обновление моделей угроз с учетом изменений в инфраструктуре и новых методов атак.

«Внедрение проактивного обнаружения угроз (Threat Hunting) позволяет командам гибко адаптироваться к тактикам атакующих, выявляя потенциальные инциденты на ранних этапах.

Оценка рисков для новых устройств и конечных точек помогает учесть их уникальные особенности и избежать пробелов в защите. Приоритизация рисков на основе фреймворка MITRE ATT&CK фокусирует внимание на наиболее значимых угрозах и позволяет точечно усилить защиту.

Автоматизация процессов оценки и реагирования на инциденты через платформы SOAR позволяет оперативно устранять инциденты и снижает нагрузку на команду. Также значительную роль играет человеческий фактор, поэтому регулярные тренинги и курсы для ИБ-команды способствуют уменьшению вероятности ошибок. Оценка рисков с акцентом на возможный ущерб (Impact-Based Risk Assessment) позволяет распределять ресурсы для защиты критичных уязвимостей.

Кроме того, важно учитывать сценарии атак на цепочку поставок, поскольку злоумышленники часто используют конечные точки как способ проникновения в сеть. Добавление таких сценариев в модели угроз, контроль над внешними приложениями и регулярные проверки поставщиков позволяют значительно повысить устойчивость к атакам».

Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft, рекомендует вести более детальный учет сетевой инфраструктуры, в частности, обратить внимание на умные устройства: принтеры, колонки, камеры.

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком», ответил, что самое главное в процессе моделирования угроз – не обманывать себя, подгоняя угрозы под имеющиеся средства и механизмы защиты, а честно признавать то, как в системы может проникнуть злоумышленник.

«А тут как раз один из основных сценариев – это воздействие на пользователей. Далее надо просто честно моделировать различные сценарии атак и анализировать, способны ли мы их обнаруживать и выявлять.

С точки зрения оценки рисков изменений не требуется – любое средство защиты усиливает т.н. контрольную среду, которая противодействует атакам. Но и тут надо быть честными самими с собой: факт приобретения средства защиты не делает организацию защищенной, пока данные средства и информация, которую они могут дать не будет использована в сценариях обнаружения, в конкретных решающих правилах и плейбуках».

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE, пояснил, что для противодействия современным угрозам при моделировании нужно исходить из того, что лишь защиты антивирусными решениями уже недостаточно. В дополнение к ним необходимо использовать решения класса EDR, нацеленные в большей степени на усиление возможностей обнаружения и реагирования и в меньшей — на автоматическое предотвращение.

«Также нужно рассматривать каждую конечную точку как отдельный самостоятельный периметр и выстраивать ее защиту исходя из предположения, что классического внешнего периметра инфраструктуры может не быть вовсе. Иными словами, необходимо придерживаться концепции zero trust. Каждая отдельная конечная точка должна быть самодостаточной единицей противодействия угрозам. Это значит, что на решение о необходимости использования средств защиты конечных точек или настройку их политики не должно влиять наличие периметральных средств защиты. Например, если хост за межсетевым экраном в сегменте без интернета, то неправильно считать, что на него можно не устанавливать никаких средств защиты или можно отключить большую часть компонентов в политике.

Следует избегать допущений, что в каких-то операционных системах угрозы вредоносного кода неактуальны (например, считать что Linux/macOS в этой части более защищены), а значит, соответствующие хосты можно исключить из области применения решений по защите точек. Во-первых, ВПО давно существует не только для Windows. А во-вторых, злоумышленники активно используют штатные инструменты ОС для реализации своих атак без использования какого-либо вредоносного ПО. Современные решения класса EDR позволяют без проблем выявлять подобные атаки.

Отдельно стоит сказать про мобильные рабочие места. Моделируя риски, необходимо учитывать, что устройство может быть изначально скомпрометировано в отсутствие VPN-подключения к корпоративной сети, а значит, и в отсутствие видимости для мониторинга в момент первичной компрометации. Поэтому, выстраивая защиту мобильных АРМ, необходимо предусмотреть техническую возможность их мониторинга даже в таких условиях. Эта задача отлично решается с помощью EDR и возможности взаимодействия агента EDR с сервером управления напрямую через интернет.

Если для компании актуальна задача защиты мобильных АРМ, то при выборе EDR-решения необходимо учитывать, что безопасность канала взаимодействия агент — сервер должна самодостаточно обеспечиваться используемым протоколом и не требовать поверх него дополнительно VPN. Также решение предполагает одностороннее взаимодействие от агента к серверу, исключая необходимость подключения сервера к агенту. В отсутствие VPN будет проблематично обеспечить сетевую связность для подключений, инициируемых сервером в сторону агента».

Какие изменения в подготовке и обучении специалистов стоит учитывать для обеспечения квалифицированной поддержки средств защиты конечных точек?

Рустам Галимов, начальник отдела эксплуатации средств защиты информационных систем, ПАО «Ростелеком»: «Надо помнить, что любое средство защиты – это всего лишь инструмент. И тут даже самый простой инструмент в умелых руках сможет дать много, а самый лучший в руках профана – бесполезен.

В применении к нашей теме – есть несколько точек приложения усилий. Это и специалисты SOC, которые готовят правила корреляции – их надо учить пониманию техник и тактик, используемых нарушителем, чтобы они могли разрабатывать более чувствительные и менее «фолзящие» решающие правила. Это и специалисты первых линий, которые должны освоить новый инструментарий и способы обогащения информации об инцидентах. Некоторые из этих навыков могут дать вендорские курсы, но гораздо больший эффект может дать отработка практических ситуаций на киберполигонах. На таких площадках можно проводить тесты и масштабные учебные атаки на основе сценариев, чтобы специалисты и другие сотрудники могли правильно реагировать в стрессовых ситуациях.

Как гласит известная фраза: «В критической ситуации ты не поднимешься до уровня своих ожиданий, а упадешь до уровня своей подготовки», поэтому систематическое и качественное обучение является ключом к эффективному использованию данного инструментария защиты».