Несколько последних лет в тренде направленные кибератаки, отличающиеся хорошим финансированием и высокими компетенциями злоумышленников, — технологии, средства и методы цифрового криминала продолжают активно развиваться. Эксперты группы компаний Angara отмечают особую изобретательность киберпреступников в сокрытии следов присутствия вредоносного программного обеспечения (ВПО) в корпоративной инфраструктуре, высокую скорость в использовании уязвимостей нулевого дня, усложняющиеся техники фишинга и первого проникновения.
Антивирусные решения, средства защиты сети, SIEM давно стали традиционными и покрылись «налетом» недостатков, проявившихся на фоне современных трендов киберугроз. Но технологии защиты развиваются — на рынке зазвучали новые термины EDR и SOAR. Что стоит за этими технологиями, чем они отличаются и, главное, являются ли они взаимозаменяемыми или дополняют друг друга, – рассмотрим ниже.
Если сравнить статистику от «Лаборатории Касперского» по развитию информационных угроз за последний расчетный квартал 2019 года и, например, за 2014 год, то можно проследить основную тенденцию – рост числа угроз. Понятно, что статистика не стабильна от квартала к кварталу, множество факторов мирового уровня может спровоцировать всплески активности киберзлоумышленников, плюс распространенность самого антивируса Kaspersky влияет на собираемую им статистику. Но основная тенденция четко прослеживается — практически все цифры удвоились (см. Табл. 1).
Табл. 1 – Сравнение статистики по отчетам о развитии информационных угроз от «Лаборатории Касперского» за 2019 и 2014 годы
Исследователи компании Positive Technologies в аналитическом отчете «Актуальные киберугрозы: II квартал 2019 года» также приходят к выводам, что количество уникальных киберинцидентов и целенаправленных атак планомерно растет, что усложняет работу по расследованию и предупреждению кибератак.
Если обратиться к отчету Trend Micro «Evasive threats pervasive effects» за первое полугодие 2019 года, подтверждается рост распространения бесфайловых вирусов. Они создают отдельную нишу рисков, так как по своей природе не используют запись на жесткий диск, и поэтому не детектируются антивирусным движком. Вредоносный код функционирует в оперативной памяти, реестре или в доверенных приложениях, например, Power Shell, Ps Exec, WMI, выполняя необходимые злоумышленнику активности: Ransomware, банковский троян и др. Такого рода активность можно обнаружить, применяя поведенческий анализ и выявляя аномальное поведение.
Что такое EDR и зачем он нужен?
Классическим антивирусным решением уже, объективно, не обойтись. Для эффективной проактивной защиты конечного устройства необходим поведенческий анализ активности ПО в системе и работа с аномальными событиями. Gartner дает определение Endpoint Detection and Response (EDR) Solutions – как решению, осуществляющему анализ и запись системных событий конечного устройства, детектирование аномального поведения в системе, блокирование подозрительной активности приложений, предложение по восстановлению пострадавших файлов и процессов в случае компрометации. Основные функции EDR, по мнению Gartner, это:
Поведенческий движок решения EDR обнаружит подозрительную активность в случае заражения файла, в том числе, неизвестным ВПО за счет анализа аномалий в системе, обнаружит сами вредоносные действия, например:
EDR может также обнаруживать известные вирусные сигнатуры — как правило, антивирусный механизм присутствует, но может быть отключен (что делать крайне не рекомендуется).
Кроме этого, большинство решений EDR умеет строить зависимости и цепочки внедрения: попадание ВПО, включая его источник, запись в системе, вызовы процессов, задействованные ключи реестра, распространение по компании (Lateral Movement). Помимо этого, есть функционал поиска по готовым индикаторам компрометации (IOC, Indicators of Compromise) и индикаторам атак (IOA, Indicators of Attack). EDR может направить подозрительный файл на анализ в интегрированную «песочницу» – систему виртуального исполнения и анализа файлов на наличие вредоносной активности.
Как выглядит работа EDR на практике на примере ВПО «WannaCry» (информация доступна из публичного видеоанализа шифровальщика в Cisco AMP for Endpoints):
И Gartner, и Forrester считают EDR-решение частью комплекса Endpoint Security Suite, распространяющего функции защиты на весь спектр агентских реализаций (для аппаратных серверов и ПК, для мобильного устройства, для виртуальной среды), таким образом, покрывая своим действием, практически, всю корпоративную среду на уровне конечного устройства (аппаратного, мобильного и виртуального).
Примеры EDR-систем включены в лидеры решений Endpoint Security Suites:
Рис. 1 – Квадрат Gartner для Endpoint Protection Platform, Рис. 2 – Forrester Endpoint Security Suites.
Рисунок 1 – Квадрат Gartner для Endpoint Protection Platform
Рисунок 2 – Forrester Endpoint Security Suites
Что такое SOAR и зачем он нужен?
Рост числа кибератак повлиял на другой фактор ИБ-среды — существенно выросло количество событий ИБ. Усложнилась сама природа атаки, вышли на первый план направленные атаки, для детектирования которых необходимо сопоставлять события, не очевидно зависимые и разнесенные во времени. На команды SOC обрушивается интенсивный поток инцидентов, количество задач стремительно растет. Отсюда появилась потребность в автоматизации шаблонных действий и появился класс решений SOAR (Security Orchestration, Automation and Response).
Gartner следующим образом описывает SOAR — система, позволяющая автоматизировать часть аналитической работы специалиста по ИБ компании с помощью автоматизированных машинных алгоритмов. Наиболее частое применение – анализ событий ИБ в системе SIEM, их корреляция и выявление инцидента ИБ и далее превращение этих действий в запрограммированный алгоритм, который будет срабатывать на подобных инцидентах или будет влиять на приоритет событий и обогащать их.
Основные функции SOAR-систем:
Рисунок 3 – Основные функции SOAR-систем, по мнению Gartner
Важный фактор, значительно влияющий на весь процесс работы с инцидентами, включая их блокирование, — это разнообразие технических средств защиты, с которыми работают команды ИБ. По данным исследования компании Demisto — одного из лидирующих производителей решений SOAR —практически в половине компаний количество средств защиты различных производителей превышает 6 (Рис. 1). Поэтому грамотная оркестрация важна для оптимизации работы эксперта ИБ с имеющимся парком ПО.
Рисунок 4 – Количество различных средств защиты информации в управлении ИБ компании
Ниже приводится пример разбора инцидентов с самым распространенным механизмом первого вхождения ВПО в корпоративную среду – фишинговыми e-mail – и автоматизируемых действий от компании Demisto:
SOAR-системы обладают функционалом, позволяющим снизить времени расследования критичных инцидентов ИБ:
За счет создания или использования соответствующего алгоритма производителя решения (playbook) силами системы SOAR можно решать некоторые процессные задачи ИБ, например, изменение правил межсетевого экранирования, прием/увольнение персонала и работа с правами доступа.
Волна поглощений SOAR-систем демонстрирует активный интерес рынка к этому классу решений информационной безопасности (источник Gartner):
Рисунок 5 - Поглощения SOAR-систем
«Вместе» или «вместо»?
С практической точки зрения системы EDR и SOAR решают разные задачи:
Оба решения обладают недостатками, связанными с парадигмой реализации:
Обе системы выполняют схожую роль, но с разными подходами. Они могут эффективно друг друга дополнять:
Что интересно, исследования компании Demisto показали, что EDR и SIEM (отсюда необходимость в SOAR-системе) статистически конкурируют, как средства расследования инцидентов:
Рисунок 6 – Технические средства, использующиеся для расследования инцидентов ИБ в компании
Это демонстрирует, что следы кибератаки остаются на всех уровнях информационной инфраструктуры. И одной из важных задач ИБ-специалиста является оперативная реконструкция этапов атаки, включая первое вхождение, горизонтальное распространение (Lateral Movement), влияние на скомпрометированные узлы (Impact), а также последующее распространение результатов расследования на средства защиты и автоматизация применения алгоритмов блокирования угроз.
С точки зрения целей ИБ обе системы предназначены для защиты конечных ПК пользователей компании от компрометации и оперативного расследования инцидентов, своевременного блокирования распространения ВПО. При этом технологии EDR и SOAR не являются взаимозаменяемыми, но позволяют повысить эффективность экспертов по кибербезопасности.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных