Представители ведущих игроков отечественного рыночного сегмента систем обнаружения киберугроз на конечных точках сети (Endpoint Detection & Response, EDR) собрались в студии Anti-Malware.ru, чтобы обсудить проблемы, связанные с выбором эффективного продукта этого класса. Как обычно, во время прямого эфира мы узнали у зрителей их мнения об актуальных вопросах по теме беседы. Предлагаем вашему вниманию анализ полученных ответов.
В первые дни декабря мы собрали ведущих экспертов российского рынка информационной безопасности в студии Anti-Malware.ru, чтобы поговорить о выборе эффективной EDR-системы. В процессе оживлённой дискуссии, продолжавшейся более двух с половиной часов, спикеры онлайн-конференции AM Live обсудили назначение систем обнаружения и обработки инцидентов из области информационной безопасности на конечных точках сети (Endpoint Detection and Response), рассказали о типовых и не очень типовых сценариях их применения, а также представили своё видение основных проблем пилотирования и внедрения систем этого класса применительно к условиям отечественного рынка.
Чтобы предоставить экспертам обратную связь и озвучить мнения потенциальных заказчиков EDR-систем, мы задали зрителям прямого эфира ряд вопросов. Аудитория онлайн-конференции поделилась своей позицией относительно необходимости EDR, вариантов использования и недостатков таких систем. Предлагаем вашему вниманию результаты этих опросов.
Для чего нужна EDR-система
Первый вопрос, который нас заинтересовал, — какие задачи в первую очередь решают (или планируют решать) наши зрители при помощи EDR? Мы предложили в качестве вариантов ответа несколько наиболее распространённых сценариев использования EDR, и вот как распределились голоса аудитории.
Для обнаружения следов сложных и целевых атак используют EDR 23 % участников опроса. Ещё 15 % зрителей назвали наиболее востребованной функцией систем этого класса возможность расследования инцидентов. Использование EDR для обогащения данных SOC или соблюдения регламентов отметили по 6 % ответивших, вариант «Для проверки гипотез Threat Hunting» собрал только 4 % голосов аудитории.
Наибольшей же популярностью среди зрителей прямого эфира пользовался «комплексный» ответ. О том, что все сценарии важны и нужны одинаково, заявили 46 % респондентов.
Рисунок 1. Для каких задач вам было бы интересно использовать EDR в первую очередь?
Может ли SOC обойтись без EDR
Затем мы поинтересовались у нашей аудитории, можно ли обойтись в работе SOC без данных EDR. В этом вопросе наибольшее число голосов зрителей предсказуемо набрал вариант «Да, но с EDR обнаружение и расследование упрощаются». Так считают 57 % опрошенных. Ещё 21 % занимают более жёсткую позицию и утверждают, что EDR является необходимой базой для работы SOC. Не видят необходимости в EDR-системах только 6 % наших респондентов — они придерживаются мнения, что данных для SOC и без того достаточно. Затруднились дать ответ на этот вопрос 16 % зрителей онлайн-конференции.
Рисунок 2. Можно ли обойтись в работе SOC без данных от EDR?
Слабые стороны EDR-систем
И заключительный вопрос, который был задан: что является слабой стороной EDR в настоящий момент? Нам показалось интересным узнать, как потенциальные заказчики систем реагирования на ИБ-инциденты в конечных точках оценивают их слабые стороны: ведь о достоинствах большинства разработок всем и так известно от вендоров и системных интеграторов.
Одной из главных проблем EDR-систем по мнению зрителей прямого эфира AM Live является необходимость привлечения аналитиков с высокой экспертной квалификацией. Этот фактор отметили как слабую сторону систем обнаружения и обработки инцидентов из области информационной безопасности на конечных точках сети 40 % респондентов. Ещё 16 % считают ключевым недостатком EDR высокую цену и стоимость владения (в TCO, кстати, можно включить и стоимость содержания команды высококлассных аналитиков).
Снижение производительности конечных точек из-за установленных агентов указали в качестве слабой стороны 10 % опрошенных, и ещё столько же выбрали вариант «Подход в целом слишком сложен и затратен». Непонятную функциональность EDR-систем отметили 8 % респондентов, а 16 % зрителей AM Live считают ключевым недостатком что-то другое.
Рисунок 3. Что является слабой стороной EDR в настоящий момент?
Онлайн-конференции AM Live проходят еженедельно и собирают в студии представительный состав экспертов. Каждый эфир посвящён одному из сегментов рынка и одному классу ИБ-систем, что позволяет комплексно взглянуть на него, понять расклад сил и узнать мнения ключевых игроков и потребителей. Чтобы не пропускать следующие прямые эфиры, не забудьте подписаться на YouTube-канал Anti-Malware.ru и включить уведомления о новых записях. До встречи на онлайн-конференции AM Live!
