Обзор рынка Endpoint Detection and Response (EDR)

Системы EDR (Endpoint Detection and Response) защищают конченые точки — сервера, рабочие станции и корпоративные мобильные устройства, закрывая целый класс угроз ИБ, которые не ловятся сигнатурными методами. Выясняем, какие решения представлены на российском рынке и зачем они нужны бизнесу.

 

 

 

 

 

 

1. 1. Введение
2. 2. Функциональность решений класса EDR
3. 3. Как развивается мировой рынок EDR
4. 4. Как развивается российский рынок EDR
5. 5. Обзор отечественных EDR-решений
   
   1. 5.1. BI.ZONE EDR
   2. 5.2. F6 Endpoint Detection and Response
   3. 5.3. Kaspersky EDR Expert
   4. 5.4. Kaspersky Endpoint Security Cloud
   5. 5.5. MaxPatrol EDR
   6. 5.6. RT Protect EDR
   7. 5.7. R-Vision Endpoint
   8. 5.8. Security Vision EDR
   9. 5.9. Solar Endpoint Security
   10. 5.10. ViPNet EndPoint Protection
   11. 5.11. UserGate Client
6. 6. Выводы

Введение

Кибератаки становятся с каждым днём всё сложнее и изощрённее. Сегодня российский бизнес чаще сталкивается со сложными целевыми угрозами, которые не так просто распознать. При этом от современных средств защиты ждут не только обнаружения киберугроз, но и оперативного реагирования на них, а также восстановления полной картины атаки для понимания и расследования инцидента. С этими всеми задачами могут справиться EDR-системы (Endpoint Detection and Response).

EDR — системы обнаружения и нейтрализации угроз на конечных точках. Это современный класс решений информационной безопасности, обеспечивающих непрерывный мониторинг аномалий на рабочих станциях, ноутбуках, серверах и других конечных устройствах в корпоративной сети. Большинство атак по-прежнему начинается именно с них — через фишинговые письма, вредоносные вложения или эксплуатацию уязвимостей в установленном на рабочих устройствах ПО. Яркий пример — рассылка фейковых электронных писем с бэкдорами от имени ФСБ России, прочих регуляторов и ведомств, а также под видом жалоб граждан.

По этой причине системы EDR считают критически важным инструментом для проактивной защиты. Они не только выявляют подозрительную активность, но и позволяют эффективно реагировать на инциденты.

Функциональность решений класса EDR

EDR-система осуществляет сбор телеметрии о действиях и событиях на конечных точках в реальном времени. С помощью алгоритмов поведенческого анализа она выявляет аномалии на хостах, такие как нестандартные сетевые подключения или несанкционированные модификации файлов. Такой подход позволяет обнаруживать атаки на начальных стадиях, до причинения существенного ущерба инфраструктуре.

Сбор расширенной телеметрии (по сравнению с базовыми средствами защиты) даёт возможность проводить углублённый анализ инцидентов. Это позволяет точно определить источник атаки, использованные методы проникновения и масштаб нанесённого урона. Применение EDR ускоряет реагирование на киберинциденты и значительно сокращает время, необходимое для их полного расследования.

Система EDR не функционирует изолированно. Она может передавать собранные данные в SIEM, участвовать в автоматизированных сценариях реагирования SOAR или выполнять команды от систем управления. Такая интеграция обеспечивает полное понимание происходящего на конечной точке и его взаимосвязи с другими событиями в корпоративной инфраструктуре.

Кроме того, системы EDR послужили основой для разработки решений XDR (Extended Detection and Response) и MDR (Managed Detection and Response). Однако новые продукты не заменили и не вытеснили системы EDR с рынка: хотя их возможности существенно больше, системы EDR по-прежнему выступают ключевым элементом киберзащиты во многих российских компаниях.

 

Рисунок 1. Взаимодействие EDR с другими СЗИ в рамках SOC

 

При этом следует понимать, что EDR недостаточно для обеспечения безопасности периметра организации. Целесообразно дополнять и усиливать их другими СЗИ – например, системами анализа трафика NTA (Network Traffic Analysis). Ещё один класс решений, который часто упоминается в связке с EDR, — платформы защиты конечных точек (EPP, Endpoint Protection Platform). Подробнее о функциях EPP, их отличиях и возможностях совместного применения с системами EDR мы писали здесь.

Как развивается мировой рынок EDR

Согласно отчёту Coherent Market Insights, объем мирового рынка EDR в 2025 году составил 5,456 млрд долларов и может к 2032 году достигнуть 27,7 млрд долларов, если среднегодовой прирост составит 26,12 %. При этом 66 % рынка занимают специализированные решения, а оставшиеся 34 % — сервисы в составе комплексных систем.

 

Рисунок 2. Оценка мирового рынка EDR (источник: coherentmarketinsights.com)

 

Схожие данные приводятся и в других аналитических обзорах. Так, согласно отчёту Verified Market Reports, в 2024 году объём мирового рынка EDR был оценён в 6,5 млрд долларов. Ожидается, что при ежегодном темпе роста в 15,8 % к 2033 году он достигнет 23,2 млрд долларов.

 

Рисунок 3. Прогноз роста мирового рынка EDR (источник: )

 

Ключевыми игроками рынка на сегодняшний день являются: Microsoft, CrowdStrike, SentinelOne, Palo Alto Networks, Trend Micro, Sophos, Carbon Black, Cisco, Symantec, FireEye.

На динамику рынка программного обеспечения EDR влияет сочетание развивающихся ландшафтов киберугроз, регулирующих факторов, технологических достижений и изменений ИТ-инфраструктуры. Всё более сложные и частые кибератаки, такие как вымогатели, бесконечные вредоносные программы и фишинговые кампании, вызывают спрос на эффективный мониторинг конечных точек и реакцию.

Нормативные требования, такие как GDPR, HIPAA и другие, обеспечивают строгие правила безопасности данных, мотивируя организации для развёртывания надёжных решений для безопасности конечных точек.

Как развивается российский рынок EDR

До 2022 года значительную часть российского рынка средств защиты конечных точек занимали продукты иностранных вендоров, таких как Microsoft, Trend Micro, CrowdStrike, Check Point, Carbon Black, SentinelOn и Cisco.

Ситуация кардинально изменилась, когда эти компании прекратили свою деятельность в России: импортные EDR-решения управлялись из центров вендоров, расположенных за рубежом, и были отключены. В результате этого заказчики из России были вынуждены оперативно перейти на отечественные решения. Данная ситуация не только стимулировала рост локального рынка, но и ускорила создание конкурентоспособных продуктов, адаптированных к требованиям российских регуляторов.

Оценить объём российского рынка EDR затруднительно, поскольку последние исследования и прогнозы экспертов по этому сегменту датируются 2023 годом. К примеру, компания Positive Technologies оценивала российский сегмент рынка ИБ в 1–2 % от общемирового объёма EDR-решений, который на тот момент составлял 8,6 млрд долларов.

Однако данные аналитики позволяют оценить прогресс в использовании систем EDR российскими компаниями. Если по результатам опроса, проведённого компанией Positive Technologies в 2023 году, только 14 % респондентов использовали EDR-решения, то по результатам опроса 2025 года на этот вопрос положительно ответили уже 58 %.

 

Рисунок 4. Результаты опроса относительно используемых средств защиты конечных устройств (источник: ptsecurity.com)

 

Возможно, этот процент был бы выше, если бы не ограниченность бюджета на закупку СЗИ. На невозможность внедрить EDR в связи с финансовыми трудностями сослались 42 % опрошенных. Увеличилась и доля компаний, находящихся в стадии тестирования и оценки EDR-решений — с 12 % в 2023 году до 21 % в указанном опросе.

Эта динамика свидетельствует о растущем интересе к системам обнаружения и реагирования на угрозы на серверах и рабочих станциях пользователей, а также о более вдумчивом подходе российских компаний к выбору защитных решений.

 

Рисунок 5. Причины отказа от покупки EDR-решений (источник: ptsecurity.com)

 

Обзор отечественных EDR-решений

За последние годы количество российских EDR-систем существенно возросло и на отечественном рынке сформировалась серия сильных решений. При этом рынок продолжает пополняться новыми продуктами.

 

 

BI.ZONE EDR

BI.ZONE EDR — решение класса Endpoint Detection and Response (EDR) для выявления и расследования сложных целевых атак на раннем этапе их развития. Сейчас у продукта BI.ZONE EDR более 900 тысяч инсталляций. Решение доступно как в коробочной версии, так и в рамках сервисов управляемой безопасности (MSSP) и обладает полным набором функций, необходимых для интеграции в существующие центры мониторинга (SOC).

Благодаря комбинации различных технологий детектирования и обширной библиотеке правил автоматического обнаружения, продукт способен выявлять сложные многоэтапные атаки, которые часто остаются незамеченными для традиционных превентивных средств защиты. BI.ZONE EDR собирает уникальную телеметрию в режиме мониторинга и инвентаризации. Продукт отличается гибкостью политик мониторинга: в нём реализована возможность расширения правил телеметрии и выявления угроз.

 

Рисунок 6. Раздел «Алерты» в BI.ZONE EDR

 

Особенности продукта:

• Совместимость со всеми популярными ОС: Windows, macOS, Linux (включая отечественные дистрибутивы).
• Инвентаризация контейнеров и мониторинг активности внутри них.
• Выявление недостатков конфигурации ОС и ПО, которыми могут воспользоваться киберпреступники, предоставление рекомендаций по их устранению.
• Полноценная работа модуля Deception в Windows- и Linux-средах. Помимо подложных учётных данных, система поддерживает эмуляцию файловых объектов.
• Управляемая нагрузка на хосты, в том числе профили потребления для Linux.

BI.ZONE EDR состоит в реестре отечественного ПО (реестровая запись №26299 от 12.02.2025), а также сертифицировано ФСТЭК России (сертификат №5021 от 26.12.2025). На нашем сайте представлен обзор версии 1.35 этого продукта. Ещё больше информации о нём вы найдёте на официальном сайте вендора.

 

 

F6 Endpoint Detection and Response

EDR-решение от F6 позволяет обнаруживать угрозы на начальных стадиях атаки, производит сбор телеметрии с конечных точек и обеспечивает оперативное реагирование на угрозы. Версия EDR 3.0 может работать как самостоятельный продукт для защиты конечных устройств или интегрироваться в более широкую платформу F6 Managed XDR для комплексного управления безопасностью. Система поддерживает гибкие модели развёртывания — облачную или локальную (on-premise).

Обнаружение атак производится путём сопоставления индикаторов атаки (IoA) и индикаторов компрометации (IoC). В F6 Endpoint Detection and Response интегрирован модуль Malware Detonation Platform, который изолирует и анализирует подозрительные файлы, детонируя вредоносный код в контролируемой среде для точного определения его поведения. При этом в системе фиксируются все события, важные для проведения криминалистического расследования.

 

Рисунок 7. Схема работы F6 Endpoint Detection and Response

 

Особенности продукта:

• Управление из единого интерфейса, уведомление службы ИБ о подозрительной активности.
• Разные сценарии реагирования на угрозы: изоляция скомпрометированных хостов, удаление заражённых файлов, принудительное завершение вредоносного процесса, блокировка учётной записи и т. д.
• Сбор криминалистических данных для проведения расследования, извлечение файлов для поведенческого анализа.
• Поддержка ОС Windows, MacOS, Linux (включая российские дистрибутивы — Astra Linux, RedOS и РОСА).
• Сбор телеметрии без падения производительности: нагрузка агентов на ЦПУ хоста составляет не более 5 %.

F6 Endpoint Detection and Response состоит в реестре отечественного ПО (реестровая запись №27635 от 21.04.2025). Больше информации о продукте вы найдёте на официальном сайте вендора.

 

 

Kaspersky EDR Expert

Kaspersky EDR Expert — решение класса Endpoint Detection and Response (EDR) для команд SOC и специалистов по ИБ, предназначенное для обнаружения сложных угроз, проактивного поиска и нейтрализации многоэтапных атак на конечные устройства.

Продукт работает на едином с «Kaspersky Security для бизнеса» агенте, а потому не требует дополнительных затрат на поддержку и практически не влияет на производительность системы. Решение может выступать дополнением к продукту для защиты от угроз на уровне сети — Kaspersky Anti Targeted Attack, обеспечивая комплексную защиту от целевых кибератак.

 

Рисунок 8. Графа распространения угрозы в Kaspersky EDR Expert

 

Особенности продукта:

• Более 2100 регулярно обновляемых правил обнаружения признаков атак (IoA), поставляемых экспертами «Лаборатории Касперского», покрывающих 490+ техник MITRE ATT&CK.
• Поиск угроз с помощью YARA-правил и обнаружение индикаторов компрометации (IoC).
• Проактивный поиск угроз с обогащением данными из глобальной репутационной базы Kaspersky Security Network и Threat Intelligence.
• Встроенный Sandbox для безопасного запуска подозрительных файлов.
• Автоматическое реагирование (плейбуки) и AI-поддержка для формирования краткого заключения об атаке, запросов на поиск угроз в ретроспективных данных и пр.

Kaspersky Anti Targeted Attack Platform EDR Agent (агентское ПО для защиты конечных точек) состоит в реестре отечественного ПО (реестровая запись №8353 от 30.12.2020). На нашем сайте представлен обзор Kaspersky EDR Expert 7.0. Ещё больше информации о продукте вы найдёте на официальном сайте вендора.

 

 

Kaspersky Endpoint Security Cloud

Kaspersky Endpoint Security Cloud — это удобное облачное решение, обеспечивающее современную защиту от киберугроз. Встроенная функциональность EDR способна блокировать сложные целевые атаки, включая ранее неизвестные угрозы. Инструменты платформы обеспечивают комплексную безопасность корпоративных устройств, предлагая единую точку управления защитой через облачную панель мониторинга.

Платформа предоставляет возможности для обнаружения и нейтрализации угроз на рабочих станциях, обеспечивая защиту от сложных кибератак. Она поддерживает проактивный поиск индикаторов компрометации для выявления скрытых угроз в корпоративной ИТ-инфраструктуре. Также решение включает централизованное управление установкой обновлений и исправлений безопасности для всех устройств, как локальных, так и удалённых.

 

Рисунок 9. Обнаружение угроз на рабочих местах в Kaspersky Endpoint Security Cloud

 

Особенности продукта:

• Управление облачным сервисом осуществляется через веб-браузер, без затрат на сервер администрирования.
• Три варианта подписки для компаний с разными потребностями: базовая, расширенная, максимальная.
• Защита от программ-шифровальщиков, почтовых, файловых и веб-угроз.
• Контроль над корпоративными данными в облаке и распределённых рабочих средах.
• Управление различными корпоративными устройствами: компьютеры и файловые серверы Windows, устройства macOS, смартфоны iOS и Android, а также Microsoft Office 365 (доступно в версиях Kaspersky Endpoint Security Cloud Plus и Kaspersky Endpoint Security Cloud Pro).

Kaspersky Endpoint Security Cloud состоит в реестре отечественного ПО (реестровая запись №2804 от 10.02.2017). На нашем сайте представлен обзор этого продукта. Ещё больше информации о нём вы найдёте на официальном сайте вендора.

 

 

MaxPatrol EDR

MaxPatrol EDR — это продукт, который вместе с MaxPatrol EPP входит в комплексное решение MaxPatrol Endpoint Security от Positive Technologies. При этом оба продукта можно использовать по отдельности: MaxPatrol EPP в качестве средства защиты для предотвращения массовых и известных киберугроз, MaxPatrol EDR — для продвинутой защиты и выявления сложных кибератак и реагирования на них.

MaxPatrol EDR — продукт для обнаружения и реагирования на скрытые угрозы, которые часто не выявляют традиционные средства защиты. Система обеспечивает оперативное пресечение атак, останавливая злоумышленника в течение секунд после его обнаружения. MaxPatrol EDR подойдёт для компаний, которым нужна продвинутая защита от APT-группировок и опытных злоумышленников, имеющих внутренний SOC для работы с продуктом.

 

Рисунок 10. Схема работы MaxPatrol EDR

 

Особенности продукта:

• Более 40 вариантов реагирования «из коробки», которые можно запускать автоматически, вручную, через API.
• Корреляционный движок для поведенческого анализа и выявления сложных атак.
• Возможность автономной работы в закрытых сегментах сети.
• Сканирование YARA-правилами, обнаружение TTP по MITRE ATT&CK.
• Поддержка более 30 видов операционных систем.

MaxPatrol EDR состоит в реестре отечественного ПО (реестровая запись №20685 от 25.12.2023). На нашем сайте представлен обзор версии 8.1 этого продукта. Ещё больше информации о нём вы найдёте на официальном сайте вендора.

 

 

RT Protect EDR

Компания «РТ-Информационная безопасность» (входит в Госкорпорацию «Ростех») в 2024 году представила полностью отечественную систему RT Protect EDR, разработанную для обнаружения кибератак на конечных устройствах и автоматического противодействия угрозам. Решение уже успешно внедрено на ключевых предприятиях Ростеха, включая авиастроительные, двигателестроительные и оборонные заводы.

Обнаружение угроз в RT Protect EDR построено на поведенческом анализе: через агенты на конечных устройствах отслеживается активность объектов в почтовом и интернет-трафике, контролируются сетевые взаимодействия и выявляются отклонения. В результате обработки телеметрии, поступающей с хостов в защищаемой сети, система формирует предупреждения для экспертной оценки специалистами ИБ. В ходе расследования инцидента аналитик определяет степень его опасности и принимает решение о дальнейших действиях по нейтрализации угрозы или её игнорированию.

 

Рисунок 11. Информация об инфраструктурных уязвимостях в RT Protect EDR

 

Особенности продукта:

• Возможность терминального доступа к хостам. В случае потери связи с сервером агент продолжает функционировать в автономном режиме, применяя сохранённые на конечной точке политики безопасности.
• Блокировка вредоносной активности в момент инициации, а не в результате корреляции на сервере.
• Модуль защиты от вирусов-шифровальщиков с функцией резервирования файлов в специальном хранилище на хосте.
• Конструктор правил для детектирования вредоносных программ, возможность создавать сигнатуры на базе YARA-правил, их выгрузки в формате Sigma.
• Наборы агентов для разных платформ и конечных точек разного назначения.

RT Protect EDR состоит в реестре отечественного ПО (реестровая запись №20927 от 29.12.2023). На нашем сайте представлен обзор версии 2.0 этого продукта. Ещё больше информации о нём вы найдёте на официальном сайте вендора.

 

 

R-Vision Endpoint

R-Vision — российский разработчик систем цифровизации и кибербезопасности. С 2011 года компания создаёт технологии, которые помогают организациям эффективно противостоять киберугрозам, поддерживать надёжность ИТ-инфраструктуры и обеспечивать цифровую трансформацию.

R-Vision Endpoint представляет собой агентское решение, выполняющее следующие функции на конечных устройствах: инвентаризация, сбор событий и телеметрии, поиск уязвимостей и реагирование. R-Vision Endpoint является компонентом платформы R-Vision EVO, который расширяет функциональные возможности других продуктов вендора и предоставляет дополнительные преимущества от их использования.

R-Vision Endpoint обеспечивает получение информации с конечных устройств в автоматическом режиме, поиск устройств без сложных настроек МСЭ (межсетевого экрана), в том числе расположенных за NAT/VPN. Решение позволяет обнаруживать киберугрозы и осуществлять реагирование на инциденты на конечных устройствах. Для реагирования доступно многообразие вариантов: сетевая изоляция хоста, отправка подозрительного файла во внешние системы проверки, остановка процесса, выполнение команд, скриптов и пр.

R-Vision Endpoint позволяет выявлять уязвимости путем анализа установленного на конечных устройствах ПО без необходимости предоставлять удаленный доступ для сканера, данные отправляются по расписанию на центральный сервер для анализа. Также решение позволяет автоматически проводить технический аудит конфигураций ОС на предмет соответствия установленным стандартам безопасности.

 

Рисунок 12. Интерфейс управления R‑Vision Endpoint

 

Особенности продукта:

• Централизованное управление полнотой сбора данных о поведении ОС и пользователей.
• Гибкая фильтрация в процессе сбора событий, подключение к журналам аудита и eBPF, маршрутизация событий через конвейеры, выполнение команд и чтение файлов.
• Управление и мониторинг инфраструктуры агентов.
• Поддержка всех популярных ОС: Windows, Linux, MacOS.
• Установка агентов без указания учётной записи администратора, автоматизация процесса через SCCM, MDM, Ansible, KSC.

R‑Vision Endpoint состоит в реестре отечественного ПО (реестровая запись №18790 от 05.09.2023). Больше информации продукте вы найдете на официальном сайте вендора.

 

 

Security Vision EDR

Security Vision EDR — решение класса Endpoint Detection and Response, предназначенное для выявления, анализа и предотвращения угроз на конечных точках. Продукт обеспечивает мониторинг активности на хостах под управлением Windows и Linux, выявляя вредоносные действия на основе корреляции событий непосредственно на уровне конечной точки.

Архитектурной особенностью решения является выполнение корреляции на агенте. Это позволяет обнаруживать атаки в реальном времени без зависимости от центральной инфраструктуры и снижает задержки при принятии решений о реагировании. Встроенные механизмы автоматической блокировки позволяют оперативно пресекать вредоносную активность до её распространения.

Функциональные возможности ручного реагирования дополняют автоматические механизмы и позволяют оператору выполнять точечные действия в рамках инцидента.

 

Рисунок 13. Инцидент в Security Vision EDR

 

Security Vision EDR включает более 800 преднастроенных правил корреляции, покрывающих типовые техники атак. Для адаптации под особенности инфраструктуры предусмотрен no-code-редактор, позволяющий создавать и модифицировать правила без необходимости программирования. Гибкая настройка сенсоров и собираемой телеметрии позволяет оптимизировать баланс между полнотой данных и нагрузкой на систему.

Отдельное внимание уделено управлению агентской инфраструктурой. В системе реализованы функции централизованного распространения агентов, контроля их доступности и анализа стабильности работы. Соответствующие показатели представлены на дашбордах и в отчётах, что упрощает эксплуатацию и контроль покрытия.

В составе решения доступен полнофункциональный модуль управления активами, обеспечивающий сканирование, идентификацию и инвентаризацию хостов и сервисов. Модуль позволяет формировать группы активов, классифицировать их по ролям и критичности, а также выстраивать ресурсно-сервисную модель инфраструктуры. Такой подход обеспечивает аналитикам полный контекст при расследовании: становится доступной информация о значимости затронутого актива, его принадлежности к сегменту и роли в бизнес-процессах, что повышает качество принимаемых решений.

Особенности:

• выполнение корреляции на конечной точке;
• более 800 правил корреляции и no-code-редактор;
• автоматическая блокировка вредоносной активности;
• гибкая настройка сенсоров и телеметрии;
• встроенный модуль управления активами;
• контроль состояния и доступности агентов.

Security Vision EDR внесена в реестр российского ПО (реестровая запись № № 364 от 08.04.2016) и имеет следующие заключения и сертификаты:

• Заключение 8 Центра ФСБ России 149/3/6/908 от 01.10.2024;
• Сертификат соответствия ФСТЭК России по 4 уровню доверия (сертификат соответствия ФСТЭК № 4964 от 19.08.2025);
• Сертификат соответствия МО РФ № 7564 от 28.08.2025 по 2 уровню доверия (НДВ-2);
• Сертификат соответствия ОАЦ при Президенте Республики Беларусь № BY/112 02.02. ТР027 036.01 01673 от 6.12.2024.

Больше информации о Security Vision SIEM можно найти на сайте производителя.

 

 

Solar Endpoint Security

Сервис защиты конечных точек (EDR) подключается как расширенная защита Solar JSOC в рамках услуги SOC (Security Operation Center, а также как отдельная услуга MDR (Managed Detection and Response) на базе решений EDR различных вендоров. Агенты EDR устанавливают на критически важных серверах и рабочих станциях в инфраструктуре клиента, осуществляя сбор телеметрии о событиях на конечных узлах. Команда аналитиков SOC анализирует собранные данные, применяет экспертные правила для выявления инцидентов безопасности, информирует заказчика об обнаруженных угрозах и предоставляет рекомендации по реагированию и устранению последствий.

Агенты EDR, установленные на хостах, обеспечивают контроль над файлами, процессами, приложениями, состоянием ОС, сетевыми соединениями, учётными записями пользователей. EDR ведет детальный журнал инцидентов, что позволяет проводить глубокое расследование и точно устанавливать первопричину компрометации.

 

Рисунок 14. Схема работы Solar Endpoint Security

 

Особенности продукта:

• Сбор расширенной телеметрии с серверов и рабочих станций, поиск и обнаружение инцидентов по индикаторам IOC, YARA, TAA.
• Оповещение о выявленных угрозах, предоставление рекомендаций по их устранению.
• Защита от угроз, не детектируемых базовыми СЗИ: вирусов-шифровальщиков, бесфайловых вредоносных программ, внутренних угроз со стороны персонала и подрядчиков, атак через скомпрометированные учётные записи.
• Собственные экспертные правила Solar JSOC для выявления угроз безопасности, непрерывное обогащение индикаторов компрометации и сигнатур данными от экспертов центра исследования Solar 4RAYS.
• Настройка реагирования на угрозы (по согласованию с заказчиком).

Больше информации о Solar Endpoint Security найдёте на официальном сайте вендора.

 

 

ViPNet EndPoint Protection

ViPNet EndPoint Protection — это система комплексной защиты рабочих станций и серверов, разработанная для противодействия файловым, бесфайловым и сетевым атакам, а также для обнаружения вредоносной активности и реагирования на неё. ViPNet EndPoint Protection включает модули обнаружения и предотвращение вторжений, межсетевого экранирования, контроля приложений, поведенческого анализа и модуль Antimalware. Централизованное управление модулями производится из единой консоли.

Решение объединяет несколько передовых технологий для противодействия современным угрозам, включая ранее неизвестные атаки. Выявляет аномальную активность на устройствах и использует методы машинного обучения для повышения точности детектирования. Дополнительная защита обеспечивается за счёт межсетевого экранирования с фильтрацией трафика и контролем поведения приложений, который ограничивает их доступ к системным ресурсам и контролирует запуск приложений на основе «белых» и «чёрных» списков.

Правила (базы разрешающих правил) для работы модулей поставляются в рамках подписочной модели, пользователь может использовать их as is или добавлять свои собственные.

 

Рисунок 15. Настройка режимов работы ViPNet EndPoint Protection

 

Особенности продукта:

• Обнаружение и предотвращение атак на основе эвристического и сигнатурного метода.
• Предотвращение бесфайловых атак, отслеживание техник Keylogging и Process injection.
• Проверка соответствия хоста политикам ZTNA (доверия нулевого уровня).
• Преднастроенные режимы работы модулей продукта для быстрого применения правил безопасности.
• Поддержка широкого спектра ОС: Windows, Astra Linux, Ред ОС, Альт, Debian.

ViPNet EndPoint Protection состоит в реестре отечественного ПО (реестровая запись №8640 от 31.12.2020), а также сертифицирован ФСТЭК России (сертификат №4666 от 22.03.2023). Больше информации о продукте вы найдёте на официальном сайте вендора.

 

 

UserGate Client

UserGate Client — программное обеспечение (ПО), которое объединяет в себе функциональность VPN-агента, клиента для контроля сетевого доступа (NAC) и агента для UserGate SIEM, который может работать в режиме обнаружения и реагирования на конечных точках. UserGate Client обеспечивает защиту конечных устройств, организует удалённый доступ по модели «нулевого доверия» (ZTNA) и поддерживает безопасность в «плоских» сетях. Главная задача продукта — защита устройств и соблюдение корпоративных политик безопасности за пределами основного защитного периметра организации.

ПО UserGate Client предоставляет защиту уровня персонального межсетевого экрана. Решение позволяет передавать логи событий информационной безопасности с конечных точек (запуск-остановка процессов, подключение и отключение устройств, Windows Events) в UserGate SIEM и UserGate LogAn, а также в syslog-сервер. Кроме того, UserGate Client выполняет роль дополнительного уровня аутентификации пользователей и VPN-клиента для управления безопасным удалённым доступом к корпоративным ресурсам.

 

Рисунок 16. Схема работы UserGate Client для доступа конечных устройств к корпоративной сети

 

Особенности продукта:

• Проверка безопасности АРМ и изменений на хостах, отправка телеметрии на сервер управления.
• Защита конечных точек вне периметра, функциональность межсетевого экрана уровня узла.
• Обеспечение безопасного соединения с ИТ-инфраструктурой компании, встроенный VPN-клиент.
• Функция контроля доступа в сеть (NAC, Network Access Control) на основе соответствия конечного устройства политикам безопасности.
• Возможность организовать архитектуру нулевого доверия (ZTNA) в корпоративной сети.

UserGate Client состоит в реестре отечественного ПО (реестровая запись №13087 от 21.03.2022). Больше информации о продукте вы найдёте на официальном сайте вендора.

Выводы

Функциональность решений класса EDR, включающая поведенческий анализ, механизмы реагирования и логирование, уже давно стала стандартом защиты информационных ресурсов. Современные тенденции развития связаны с повышением интеллектуальности данных систем и их интеграцией в комплексные процессы обеспечения ИБ.

Однако EDR является значимым, но не универсальным элементом защиты. Данная технология не обеспечивает защиту периметра, не осуществляет фильтрацию почтового трафика и не управляет правами доступа, функционируя исключительно на конечных устройствах и активируясь лишь при обнаружении на них подозрительной активности.

По этой причине не стоит пренебрегать другими средствами защиты в ожидании, что EDR обеспечит полное покрытие угроз. Хотя EDR эффективно решает задачи контроля конечных точек, для построения полноценной системы кибербезопасности целесообразно применение дополнительных инструментов. Интеграция EDR с другими СЗИ позволяет сформировать целостную картину угроз, ускорить реагирование на инциденты и повысить точность выявления сложных целевых атак.