EDR и SOAR – «вместе» или «вместо»?

EDR и SOAR – «вместе» или «вместо»?

Несколько последних лет в тренде направленные кибератаки, отличающиеся хорошим финансированием и высокими компетенциями злоумышленников, — технологии, средства и методы цифрового криминала продолжают активно развиваться. Эксперты группы компаний Angara отмечают особую изобретательность киберпреступников в сокрытии следов присутствия вредоносного программного обеспечения (ВПО) в корпоративной инфраструктуре, высокую скорость в использовании уязвимостей нулевого дня, усложняющиеся техники фишинга и первого проникновения.

Антивирусные решения, средства защиты сети, SIEM давно стали традиционными и покрылись «налетом» недостатков, проявившихся на фоне современных трендов киберугроз. Но технологии защиты развиваются — на рынке зазвучали новые термины EDR и SOAR. Что стоит за этими технологиями, чем они отличаются и, главное, являются ли они взаимозаменяемыми или дополняют друг друга, – рассмотрим ниже.

Если сравнить статистику от «Лаборатории Касперского» по развитию информационных угроз за последний расчетный квартал 2019 года и, например, за 2014 год, то можно проследить основную тенденцию – рост числа угроз. Понятно, что статистика не стабильна от квартала к кварталу, множество факторов мирового уровня может спровоцировать всплески активности киберзлоумышленников, плюс распространенность самого антивируса Kaspersky влияет на собираемую им статистику. Но основная тенденция четко прослеживается — практически все цифры удвоились (см. Табл. 1).

Табл. 1 – Сравнение статистики по отчетам о развитии информационных угроз от «Лаборатории Касперского» за 2019 и 2014 годы

Исследователи компании Positive Technologies в аналитическом отчете «Актуальные киберугрозы: II квартал 2019 года» также приходят к выводам, что количество уникальных киберинцидентов и целенаправленных атак планомерно растет, что усложняет работу по расследованию и предупреждению кибератак.

Если обратиться к отчету Trend Micro «Evasive threats pervasive effects» за первое полугодие 2019 года, подтверждается рост распространения бесфайловых вирусов. Они создают отдельную нишу рисков, так как по своей природе не используют запись на жесткий диск, и поэтому не детектируются антивирусным движком. Вредоносный код функционирует в оперативной памяти, реестре или в доверенных приложениях, например, Power Shell, Ps Exec, WMI, выполняя необходимые злоумышленнику активности: Ransomware, банковский троян и др. Такого рода активность можно обнаружить, применяя поведенческий анализ и выявляя аномальное поведение.

Что такое EDR и зачем он нужен?

Классическим антивирусным решением уже, объективно, не обойтись. Для эффективной проактивной защиты конечного устройства необходим поведенческий анализ активности ПО в системе и работа с аномальными событиями. Gartner дает определение Endpoint Detection and Response (EDR) Solutions – как решению, осуществляющему анализ и запись системных событий конечного устройства, детектирование аномального поведения в системе, блокирование подозрительной активности приложений, предложение по восстановлению пострадавших файлов и процессов в случае компрометации. Основные функции EDR, по мнению Gartner, это:

• детектирование инцидентов информационной безопасности (ИБ);
• расследование инцидентов ИБ;
• предложение по исправлению причиненного инцидентом ИБ вреда;
• хранение информации об инцидентах ИБ.

Поведенческий движок решения EDR обнаружит подозрительную активность в случае заражения файла, в том числе, неизвестным ВПО за счет анализа аномалий в системе, обнаружит сами вредоносные действия, например:

• попытку сетевого соединения с URL с плохой репутацией,
• попытку шифрования жесткого диска или файлов,
• попытку инсталляция недоверенного драйвера,
• попытку эскалации привилегий, изменения параметров безопасности,
• добавление ссылки на недоверенный файл при проверке объектов автозапуска,
• внедрение в код «чужого» процесса,
• изменение ключей реестра, связанных с автозапуском,
• нелегитимную установку службы,
• использование внутренних отладочных привилегий ОС,
• нелегитимное использование Power Shell.

EDR может также обнаруживать известные вирусные сигнатуры — как правило, антивирусный механизм присутствует, но может быть отключен (что делать крайне не рекомендуется).

Кроме этого, большинство решений EDR умеет строить зависимости и цепочки внедрения: попадание ВПО, включая его источник, запись в системе, вызовы процессов, задействованные ключи реестра, распространение по компании (Lateral Movement). Помимо этого, есть функционал поиска по готовым индикаторам компрометации (IOC, Indicators of Compromise) и индикаторам атак (IOA, Indicators of Attack). EDR может направить подозрительный файл на анализ в интегрированную «песочницу» – систему виртуального исполнения и анализа файлов на наличие вредоносной активности.

Как выглядит работа EDR на практике на примере ВПО «WannaCry» (информация доступна из публичного видеоанализа шифровальщика в Cisco AMP for Endpoints):

• ВПО будет загружено, например, через Explorer с FTP-сервера и разархивировано в локальной папке – этот факт отобразится в дереве форенсики;
• после разархивации, при наличии обновлений, агент уже среагирует, но, предположим, что это первое использование вируса;
• вирус будет выполнять свою активность:
• создавать файлы и утилиты с атрибутами скрытых файлов, изменять настройки привилегий, запускать сгенерированные скрипты, удалять в системе возможности восстановления и теневые копии – на этом сработает поведенческий анализ или IOC;
• устанавливать HTTPS-соединения с сайтами, которые в репутационном анализе связаны с TOR-компонентами и майнингом, – на эти соединения также сработает поведенческий движок.
   

И Gartner, и Forrester считают EDR-решение частью комплекса Endpoint Security Suite, распространяющего функции защиты на весь спектр агентских реализаций (для аппаратных серверов и ПК, для мобильного устройства, для виртуальной среды), таким образом, покрывая своим действием, практически, всю корпоративную среду на уровне конечного устройства (аппаратного, мобильного и виртуального).

Примеры EDR-систем включены в лидеры решений Endpoint Security Suites:

Рис. 1 – Квадрат Gartner для Endpoint Protection Platform, Рис. 2 – Forrester Endpoint Security Suites.

Рисунок 1 – Квадрат Gartner для Endpoint Protection Platform

Рисунок 2 – Forrester Endpoint Security Suites

Что такое SOAR и зачем он нужен?

Рост числа кибератак повлиял на другой фактор ИБ-среды — существенно выросло количество событий ИБ. Усложнилась сама природа атаки, вышли на первый план направленные атаки, для детектирования которых необходимо сопоставлять события, не очевидно зависимые и разнесенные во времени. На команды SOC обрушивается интенсивный поток инцидентов, количество задач стремительно растет. Отсюда появилась потребность в автоматизации шаблонных действий и появился класс решений SOAR (Security Orchestration, Automation and Response).

Gartner следующим образом описывает SOAR — система, позволяющая автоматизировать часть аналитической работы специалиста по ИБ компании с помощью автоматизированных машинных алгоритмов. Наиболее частое применение – анализ событий ИБ в системе SIEM, их корреляция и выявление инцидента ИБ и далее превращение этих действий в запрограммированный алгоритм, который будет срабатывать на подобных инцидентах или будет влиять на приоритет событий и обогащать их.

Основные функции SOAR-систем:

• Оркестрация – интеграция и координация разных технических средств и технологий с единой целью, как правило, через Workflow – автоматизированный бизнес-процесс.
• Автоматизация части процессов, выполняемых ранее людьми, повторяемых низкоуровневых операций для ускорения расследования, но при этом функция принятия решения остается на человеке.
• Управление инцидентами и реакциями – основной элемент SOAR-систем. Автоматизация этого процесса принципиально меняет его качество за счет сквозного всестороннего понимания инцидентов и более информированного ответа. Плюс предоставление индикаторов и обратной связи в имеющиеся в компании средства защиты.
• Отчетность и наглядность (Dashboards) – визуализация данных с их параллельным обогащением и корреляцией дает наглядность и возможность принятия специалистом SOC быстрого решения.

Рисунок 3 – Основные функции SOAR-систем, по мнению Gartner

Важный фактор, значительно влияющий на весь процесс работы с инцидентами, включая их блокирование, — это разнообразие технических средств защиты, с которыми работают команды ИБ. По данным исследования компании Demisto — одного из лидирующих производителей решений SOAR —практически в половине компаний количество средств защиты различных производителей превышает 6 (Рис. 1). Поэтому грамотная оркестрация важна для оптимизации работы эксперта ИБ с имеющимся парком ПО.

Рисунок 4 – Количество различных средств защиты информации в управлении ИБ компании

Ниже приводится пример разбора инцидентов с самым распространенным механизмом первого вхождения ВПО в корпоративную среду – фишинговыми e-mail – и автоматизируемых действий от компании Demisto:

• Сотрудник компании получает e-mail со спамом и перемещает его в карантин. Команда ИБ должна проверить репутацию индикаторов сообщения и вложения (имя отправителя, домен, IP, и т.д.) и, возможно, создать правило в blacklist. Действия исследования и проверки, а также предложение по правилу блокирования могут быть автоматически выполнены SOAR-системой.
• Сотрудник компании получает фишинговое e-mail. Необходимо убедиться в нелегитимности сообщения, отработать вложение в «песочнице» для проверки наличия ВПО, а также проверить не получили ли аналогичное сообщение другие сотрудники компании и выработать блокирующие правила на анти-спам шлюзе и в системе EDR. Для всех этих действий система SOAR может предложить прозрачный алгоритм и систему отслеживания инцидента (Case Management), автоматически обогатить данные информацией из источников SIEM и Threat Intelligence, например, попытки соединения ВПО с C&C-серверами, попытки эскалации привилегий в системе. SOAR также может предложить правило по блокированию и IOC-файл для систем защиты (межсетевого экрана, EDR-решения), кроме того, получить измерение времени расследования (Mean Time to Respond – MTTR) и сквозную отчетность по расследованию инцидента.

SOAR-системы обладают функционалом, позволяющим снизить времени расследования критичных инцидентов ИБ:

• приоритизация событий;
• корреляция событий и действий различных источников (SIEM, запросы тикетной системы, сообщения из облачных сервисов и т.д.) в соответствии с имеющимися алгоритмами (playbook);
• создание шаблонов правил для большого спектра решений ИБ: как правило, присутствует интеграция со всеми распространенными средствами;
• формирование метрик скорости расследования инцидентов и рекомендаций по улучшению процесса, отчетность.

За счет создания или использования соответствующего алгоритма производителя решения (playbook) силами системы SOAR можно решать некоторые процессные задачи ИБ, например, изменение правил межсетевого экранирования, прием/увольнение персонала и работа с правами доступа.

Волна поглощений SOAR-систем демонстрирует активный интерес рынка к этому классу решений информационной безопасности (источник Gartner):

Рисунок 5 - Поглощения SOAR-систем

 
«Вместе» или «вместо»?

С практической точки зрения системы EDR и SOAR решают разные задачи:

• EDR занимается поведенческим анализом на конечном устройстве, детектирует аномалии и ВПО.
• SOAR облегчает жизнь аналитику SOC (SIEM) и повышает скорость расследования инцидента.

Оба решения обладают недостатками, связанными с парадигмой реализации:

• В EDR полностью отсутствует аналитика сетевых аномалий в корпоративной сети (не считая запросы конкретного хоста) – сетевые аномалии часто являются одним из важных показателей присутствия ВПО в корпоративной среде.
• SOAR может охватывать всю инфраструктуру, но, по своей природе, это только реактивная защита, не проактивная.

Обе системы выполняют схожую роль, но с разными подходами. Они могут эффективно друг друга дополнять:

• EDR может значительно дополнить данные SIEM об активности на узле пользователя, а, значит, при грамотном использовании усилить возможности SOAR-системы.
• Вовремя обнаруженным инцидентом можно сформировать блокирующее правило для EDR с целью остановки распространения ВПО, а также сформировать IOC-файл для передачи в EDR-систему с целью обнаружения следов компрометации.

Что интересно, исследования компании Demisto показали, что EDR и SIEM (отсюда необходимость в SOAR-системе) статистически конкурируют, как средства расследования инцидентов:

Рисунок 6 – Технические средства, использующиеся для расследования инцидентов ИБ в компании

Это демонстрирует, что следы кибератаки остаются на всех уровнях информационной инфраструктуры. И одной из важных задач ИБ-специалиста является оперативная реконструкция этапов атаки, включая первое вхождение, горизонтальное распространение (Lateral Movement), влияние на скомпрометированные узлы (Impact), а также последующее распространение результатов расследования на средства защиты и автоматизация применения алгоритмов блокирования угроз.

С точки зрения целей ИБ обе системы предназначены для защиты конечных ПК пользователей компании от компрометации и оперативного расследования инцидентов, своевременного блокирования распространения ВПО. При этом технологии EDR и SOAR не являются взаимозаменяемыми, но позволяют повысить эффективность экспертов по кибербезопасности.