Перейти к содержанию
AM_Bot

Обзор рынка Endpoint Detection and Response (EDR)

Recommended Posts

AM_Bot
Обзор рынка Endpoint Detection and Response (EDR)
Для многих организаций все актуальнее становится вопрос пересмотра стратегии защиты конечных точек, традиционных средств уже становится недостаточно для противодействия современным киберугрозам. В обзоре мы расскажем о решениях нового поколения по передовой защите конечных точек от сложных угроз — Endpoint Detection and Response (EDR): почему появился новый рынок, какие тенденции на нем присутствуют, какие преимущества и особенности есть у решений от Сisco, Cyberbit, FireEye, «Лаборатории Касперского», Microsoft, Palo Alto и Symantec. ВведениеСовременные угрозы, направленные на конечные точки2.1. Рост бесфайловых (fileless) атак2.2. Потребность в дополнительной защите конечных точек2.3. Рост стоимости и сложности защиты конечных точек2.4. Рост ущерба от атак на конечные точкиМировой рынок EDR-решений3.1. Gartner3.2. Forrester3.3. IDC3.4. The Radicati GroupФункциональность решений класса EDRКраткий обзор EDR-решений, представленных на российском рынке5.1. Check Point SandBlast Agent5.2. Cisco Advanced Malware Protection5.3. Cyberbit EDR5.4. FireEye Endpoint Security5.5. Kaspersky Endpoint Detection and Response5.6. Microsoft Advanced Threat Protection в Защитнике Windows5.7. Palo Alto Networks Traps5.8. Symantec Advanced Threat ProtectionВыводы ВведениеВсе более острой проблемой для многих организаций из различных сфер деятельности становится вероятность столкновения с целенаправленными атаками, которые все чаще применяют сочетание распространенных угроз, уязвимостей нулевого дня, уникальных схем без использования вредоносного программного обеспечения, бесфайловых методов и пр. Использование решений, построенных на базе превентивных технологий, а также систем, нацеленных точечно на обнаружение сложных вредоносных активностей только в сетевом трафике, не может быть достаточным для защиты предприятия от сложносоставных целенаправленных атак. Конечные точки, включая рабочие станции, ноутбуки, серверы и смартфоны, также являются критически важными объектами контроля, так как они остаются для злоумышленников в большинстве случаев достаточно простыми и популярными точками проникновения, что повышает значимость контроля за ними.Платформы защиты конечных точек (Endpoint Protection Platform — EPP), которые обычно присутствуют на инфраструктуре у большинства организаций, отлично защищают от массовых, известных, а также и ряда неизвестных угроз, но в большинстве случаев, построенных на базе уже ранее встречающихся вредоносных программ.Со временем техники нападения киберпреступников претерпели значительные изменения. Злоумышленники стали более агрессивны в своих атакующих подходах и более совершенны в организации всех этапов процесса. А потому большое количество компаний, несмотря на использование решений по защите конечных точек (EPP), все же подвергаются компрометации. Это означает, что сегодня организациям уже необходимы дополнительные инструменты, которые помогут им эффективно обнаруживать новейшие, более сложные угрозы, с которыми уже не в состоянии справиться традиционные средства защиты, изначально не разрабатываемые против подобного рода угроз. Эти средства защиты хотя и выявляют инциденты на конечных точках, но обычно не способны определить, что поступающие предупреждения могут быть составными частями более опасной и сложной схемы, которая может повлечь за собой значимый для организации ущерб.Современная защита конечных точек нуждается в адаптации к современному ландшафту сложных угроз и должна включать функциональность по обнаружению комплексных атак, направленных на конечные точки, и быть способной оперативно реагировать на найденные инциденты (Endpoint Detection and Response — EDR).Ожидаемым результатом от внедрения EDR-решения по противодействию сложным угрозам будет организация передовой защиты конечных устройств, что приведет к заметному уменьшению поверхности комплексных целевых атак и тем самым к сокращению общего числа киберугроз.В обзоре мы расскажем о технологии EDR, о взаимодействии EDR с решениями класса EPP, а также о рынке решений данного класса в целом. Современные угрозы, направленные на конечные точкиВсе чаще и чаще появляются новости об очередном громком инциденте. Компаниям приходится признавать факт направленной на них кибератаки и подсчитывать прямые и косвенные убытки.Очевидно, что опубликованная информация об успешно проведенных атаках, направленных на различные государственные и коммерческие организации, — это всего лишь маленькая часть от их реального количества. С уверенностью можно утверждать, что количество киберинцидентов и уровень последствий от них гораздо выше, чем представляется нам в средствах массовой информации.Например, собранные цифры в ходе глобального исследования рисков информационной безопасности для бизнеса Kaspersky Lab Global Corporate IT Security Risks Survey подтверждают, что успешные кибератаки действительно обходятся дорого компаниям.  Для каждой из рассматриваемых категорий затрат были рассчитаны средние потери, которые понесли организации в России, столкнувшиеся с ИБ-инцидентами. А сумма всех категорий позволила оценить среднюю величину общего ущерба, нанесенного успешной атакой, которая составила более 16 миллионов рублей. Рисунок 1. Средние затраты компаний, столкнувшихся с ИБ-инцидентами, Kaspersky Lab Global Corporate IT Security Risks Survey, 2017 По данным исследования компании PWC, опубликованным в отчете «Глобальные тенденции информационной безопасности на 2018 год», руководители организаций, использующих системы автоматизации, признали растущую опасность киберугроз и значимость потенциальных негативных последствий от кибератак. В качестве основного возможного результата кибератаки 40% участников опроса в мире и 37% по России назвали нарушение операционной деятельности, 39% — утечку конфиденциальных данных (48% — в России), 32% — причинение вреда качеству продукции (27% — в России).В наши дни на рынке отмечается новая тенденция современных направленных атак, где злоумышленники в качестве своих жертв выбирают уже не только крупные организации, но и цели поменьше и все чаще используют небольшие организации в цепочке атаки на крупные компании. Злоумышленники становятся более аккуратными к затратам на подготовку атак и стремятся как можно сильнее минимизировать расходы, вследствие чего стоимость организации эффективной целенаправленной атаки значительно снижается, и, соответственно, возрастает и общее количество атак в мире.Это подтверждает и статистика. По данным международного опроса, проведенного аналитическим агентством B2B International по заказу «Лаборатории Касперского», доля целенаправленных атак в 2017 году выросла на 10% по сравнению с 2016 годом и составила 23%.  Это означает, что почти четверть компаний стали жертвами этих атак и почти две трети респондентов (63%) считают, что угрозы, с которыми они столкнулись в 2017 году, стали на порядок сложнее. А 53% компаний считают, что защита их организаций рано или поздно будет взломана. В результате большинство организаций понимают, что невозможно избежать брешей в системах ИБ и вероятность столкновения с целенаправленной атакой с каждым днем возрастает.В комплексных атаках, направленных на конкретные организации, применяются: мультивекторный подход к проникновению, поиск уязвимых мест в инфраструктуре, тщательное изучение существующих средств защиты с целью их обхода, использование специально разработанного или модифицированного вредоносного кода, применение социальной инженерии, шифрования и последующей обфускации для исключения вероятности обнаружения.По данным отчета о современном ландшафте угроз SANS 2017 Threat Landscape Survey: Users on the Front Line:74% респондентов назвали одним из распространенных способов проникновения вредоносных объектов в организацию зараженные ссылки в теле электронных писем или исполняемые вредоносные файлы, распространяющиеся в виде вложений;48% респондентов выделили активацию вредоносов с зараженных веб-сайтов или самостоятельную загрузку вредоносных файлов при посещении веб-страниц;30% указали на уязвимости приложений на конечных точках пользователя и др. Рисунок 2. Vectors Threats Use to Enter Organizations, SANS 2017 Threat Landscape Survey: Users on the Front Line  По данным этого же отчета, 81% опрошенных компаний считают, что средства по защите конечных точек становятся наиболее востребованными инструментами.Наблюдая за эволюцией угроз от массовых к направленным, мы видим потребность в добавлении к автоматическому блокированию более простых угроз, продвинутое обнаружение направленных сложных угроз и в целом перестроения рынка и смене фокуса от защиты отдельных рабочих мест к обеспечению безопасности целого предприятия с привлечением не только специалистов ИТ-департамента, но и специалистов по информационной безопасности и аналитиков для дальнейшего расследования инцидентов, оперативного реагирования и поиска новейших угроз.Рассмотрим более подробно ключевые тенденции развития угроз, затрагивающие конечные точки сети.Рост бесфайловых (fileless) атакБесфайловые атаки — это атаки, которые не размещают никаких файлов на жестком диске. Отследить такого рода активности на порядок сложнее. Злоумышленники могут использовать эксплойты, макросы, скрипты и легитимные инструменты. Можно выделить несколько видов бесфайловых атак:размещение в оперативной памяти;сохранение в реестре Windows;использование доверенного программного обеспечения: инструментов Windows, различных приложений и т.п. для получения учетных данных целевых систем для вредоносных целей;атаки с использованием скриптов.С каждым годом вероятность столкновения с направленными атаками на конечных точках для организаций увеличивается. Вместо установки вредоносных исполняемых файлов, которые антивирусные движки могут без проблем оперативно находить и блокировать, злоумышленники используют различные комбинации с применением бесфайловых методов, заражая конечные точки и не оставляя при этом артефактов, которые можно было бы обнаружить в ста процентах случаев антивирусом.Опрос CISOs Investigate: Endpoint Security by Security Current, в котором были включены отзывы руководителей по информационной безопасности, которые уже используют решения по продвинутой защите конечных точек или только планируют, а также ответы проанкетированных производителей этих решений показали, что противодействие бесфайловым атакам на конечных точках является одним из главных атрибутов информационной безопасности, на который стоит обратить особое внимание. Рисунок 3. Top 10 Endpoint security attributes, CISOs Investigate: Endpoint Security by Security Current, 2017 По данным опрошенных организаций, 29% нападений, с которыми они столкнулись в течение 2017 года, были бесфайловыми, что на 9% больше, чем годом ранее. New Ponemon Institute прогнозируют, что эта пропорция продолжит расти, и в 2018 году бесфайловые атаки составят 35% от общего количества всех прогнозируемых атак. Рисунок 4. График роста бесфайловых атак, New Ponemon Institute, 2017Потребность в дополнительной защите конечных точекБольшое количество успешных бесфайловых атак еще больше подрывает доверие организаций к их существующим защитным средствам. Согласно отчету аналитического агентства Forrester по заказу Google за 2017 год Rethink Enterprise Endpoint Security In The Cloud Computing Era, более половины мировых предприятий (53%) столкнулись в течение года по меньшей мере с одним фактом компрометации или нарушением на стороне конечных устройств, несмотря на использование технологий защиты. Стоит отметить, что более трех четвертей обнародованных случаев на инфраструктуре, связанных с компрометацией, касались бесфайловых методов. Проведенное глобальное исследование также показало, что предприятия начали активно рассматривать продвинутые инструменты по обнаружению и аналитике сложных угроз на конечных точках. 48% компаний считают приоритетным для себя повысить эффективность обнаружения сложных угроз на конечных точках, а 42% планируют улучшить аналитику. В результате всё больше организаций начинают задумываться о дополнительных инвестициях в новые продвинутые технологии по защите конечных точек, в решения класса EDR. Рисунок 5. Данные по приоритетным направлениям защиты конечных точек, Rethink Enterprise Endpoint Security In The Cloud Computing Era, Forrester, 2017Рост стоимости и сложности защиты конечных точек  Контроль всех конечных точек, взаимодействующих с ресурсами компании, становится все более сложным процессом, поскольку их количество и разнообразие растет с огромной скоростью. Почти три из четырех респондентов (73%) исследования New Ponemon Institute отметили, что для их организации стало более сложным и трудоемким процессом контролировать конечные точки, и при этом только треть респондентов указали, что они обладают достаточным количеством собственных ресурсов для мониторинга и управления рабочими станциями и серверами и еще меньше для расследования инцидентов и оперативного реагирования.Согласно информации, предоставленной в отчете «Новые угрозы — новые подходы: готовность к риску для защиты от сложных атак» от «Лаборатории Касперского» за 2017 год, становится очевидным недостаток квалифицированных специалистов по реагированию на инциденты и отсутствие у многих компаний собственных экспертов, что вынуждает прибегать к сторонней помощи для ликвидации последствий атак. 40% российских респондентов сообщили, что кибератака заставила их обратиться к услугам сторонних консультантов, способных разобраться с угрозой. В сегменте крупного бизнеса 48% компаний отметили, что им требуется больше ИБ-специалистов в противовес ИТ-специалистам общего профиля.Компании, планирующие использовать функциональность по обнаружению сложных угроз на конечных точках, сталкиваются с тем фактом, что значительная часть из них не обладает необходимыми знаниями и ресурсами для полномасштабного развертывания EDR-решения или его надлежащего использования.Переход от простого администрирования ИТ-отделом решений EPP к необходимости привлечения соответствующих ресурсов ИТ-безопасности при использовании EDR-решений приводит к потребности в инженерах по безопасности и аналитиках угроз с достаточным уровнем знаний и опыта, чтобы обеспечить максимальную пользу от внедрения EDR.Это могут быть внутренние обученные сотрудники или привлеченные эксперты в рамках различных сервисов, понимающие, как извлечь выгоду из платформы EDR и организовать эффективный процесс реагирования на инциденты.По данным отчета Cisco по информационной безопасности за 2017 год, в России организации начинают предпочитать внешние услуги, например, 35% крупных корпораций пользуются внешними услугами по реагированию на инциденты, а 39% сервисами по аналитике угроз. Рисунок 6. Процент крупных корпораций, использующих внешние услуги, Cisco Systems, 2017Рост ущерба от атак на конечные точкиИсходя из цифр, которые предоставляет нам New Ponemon Institute, в среднем за 2017 год компании потеряли из-за успешных атак, в которых злоумышленники обошли существующие системы безопасности конечных точек, в общей сложности более 5 миллионов долларов (средняя стоимость 301 доллар США на одного сотрудника), что является значительной цифрой и говорит о том, что современные компании нуждаются в пересмотре своей стратегии защиты конечных точек. Рисунок 7. Стоимость атак на конечные точки сети, New Ponemon Institute, 2017  Мировой рынок EDR-решенийНесмотря на популярность традиционных средств защиты конечных точек, многие организации тем не менее рассматривают и добавляют новые технологические возможности поверх своих EPP-решений, чтобы повысить качество обнаружения сложных угроз и ускорить процесс реагирования на них, уменьшая тем самым вероятность возникновения успешных атак и разрушительного влияния на бизнес.Как мы видим, в обеспечении безопасности конечных точек на рынке присутствуют две разные категории средств: предотвращение/блокирование угроз (EPP) и расширенное обнаружение и реагирование (EDR). Объединяющим элементом этих решений, в большинстве случаев, выступает антивирусный движок, который для систем класса EPP работает в режиме блокировки, а для EDR служит одним из движков, ориентированным на обнаружение сложных угроз в комплексе с другими детектирующими механизмами, такими как: IoC-сканирование, Yara-правила, песочница (поддерживают не все производители в рамках своих EDR-решений), доступ к Threat Intelligence и пр.Отдельно стоит отметить, что в решениях класса EPP включена еще функциональность по контролю приложений и устройств, веб-контролю, оценке уязвимостей, патч-менеджменту, URL-фильтрации, шифрованию, межсетевому экранированию и пр. Рисунок 8. The Endpoint Security Continuum, ESG: Redefining Next-generation Endpoint Security Solutions Как мы видим, каждая из систем EPP и EDR сочетает в себе то, что отсутствует (или частично присутствует) в другой системе и что безусловно приводит к необходимости и важности взаимодействия этих решений. У EPP и EDR есть общая цель по противодействию угрозам, для достижения которой эти продукты используют различные подходы и функциональные возможности. Синергия использования этих решений ведет к общему более глобальному подходу защиты конечных точек.В момент появления полнофункциональных самостоятельных систем класса EDR рынок решений по защите конечных точек был разделен на поставщиков, которые обеспечивают автоматическое предотвращение, и на тех, которые обеспечивают продвинутое обнаружение и реагирование. Хотя стоит отметить, что у пары-тройки вендоров на тот момент в портфеле уже присутствовали оба класса решений — и EPP, и EDR, но позиционировались они как совсем отдельные продукты.Со временем произошли изменения, и большинство поставщиков начали объединять свои подходы в обеспечении как продвинутого обнаружения, так и предотвращения. Рынок решений данного класса активно развивается и формируется. Некоторые из поставщиков решений класса EPP выпустили собственные новые продукты класса EDR для получения полной картины по защите конечных устройств, другие просто доработали решения для предоставления возможности взаимодействия со сторонними поставщиками, как EPP, так и EDR-решений соответственно. Тенденция объединения решений EPP и EDR хороша для потребителей этих технологий и, вероятнее всего, продолжит развиваться в этом направлении, что должно привести к более глубокому взаимодействию этих решений. Например, к использованию единого агента на конечных точках, если это еще не реализовано в рамках одного производителя двух технологий, так и к более прозрачному взаимодействию по передаче вердиктов из EDR в EPP-решения и пр.Рынок все еще находится на стадии формирования. По прогнозу аналитического агентства Gartner, принимая во внимание растущую потребность в быстром и эффективном обнаружении и оперативном реагировании на передовые угрозы на конечных точках, рынок EDR-решений будет стремительно расти. В настоящее время агенты EDR-решений установлены примерно на 40 миллионах конечных точек (менее чем у 6% от общей базы конечных устройств). По оценкам Gartner, совокупные расходы организаций на решения EDR будут расти и к 2020 году составят около 1,5 млрд долларов США. Это при совокупном среднегодовом темпе роста в 45.3%, что заметно быстрее, чем прогноз совокупного среднегодового темпа роста в 2.6% для рынка решений EPP, а также чем в 7.0% для общего рынка решений по ИБ. Рисунок 9. EDR Market vs EPP Market, Gartner, CS Communications Infrastructure Team, Credit Suisse Research Аналитические агентства, вслед за формирующимися тенденциями рынка, перестраиваются в сторону формирования единых отчетов по защите конечных устройств (EPP+EDR), и уже почти каждый либо упоминает про EDR-функциональность, либо уже добавил в свои сравнительные анализы как полноценный критерий оценки.Ведущие аналитические агентства в своих отчетах упоминают следующих производителей по защите конечных точек с включенной EDR-функциональностью. Рассмотрим кратко основные из них. GartnerАналитическое агентство Gartner в ноябре 2017 года выпустило отдельный обзор рынка по EDR: Market Guide for Endpoint Detection and Response Solutions, где детально описаны направления EDR-рынка, деление, тренды и прочее.В разделе Representative Vendors EDR-обзора Gartner для возможности представления масштаба рынка перечисляет следующих представителей этого рынка решений в алфавитном порядке: Carbon Black, Check Point Software Technologies, Cisco, CounterTack, CrowdStrike, Cyberbit, Cybereason, Cynet, CyTech Services, Digital Guardian, Endgame, enSilo, ESET, Fidelis Cybersecurity, FireEye, G Data Software, IBM, Kaspersky Lab, Malwarebytes, McAfee, Microsoft, OpenText (Guidance), RSA Security, Secdo, SentinelOne, Sophos, Symantec, Tanium, Trend Micro, WatchGuard, Ziften.Также стоит отметить, что в этом обзоре Gartner начинает упоминать о важности взаимодействия решений классов EDR и EPP и, соответственно, об адаптивной стратегии: Prevent (предотвращение), Detect (обнаружение), Respond (реагирование), Predict (прогнозирование). Рисунок 10. EDR Functionality, Gartner Market Guide for Endpoint Detection and Response Solutions, 2017 В январе 2018 год Gartner опубликовывает обновленную редакцию своего Магического квадранта Endpoint Protection Platforms по поставщикам решений по защите конечных устройств, где представляет полностью скорректированное определение решений класса EPP. Теперь под решениями класса EPP он понимает решения, предназначенные для контроля и блокирования угроз на конечных точках, а также продвинутого обнаружения сложных угроз и обеспечения оперативного реагирования на инциденты. Это означает, что магический квадрант Endpoint Protection Platforms за 2018 год включает решения класса EPP с включенной функциональностью EDR.Gartner выделяет следующих производителей, находящихся в квадранте лидеров, и те компании, которые остались на один шаг от лидерства: Symantec, Sophos, Trend Micro, Kaspersky Lab, CrowdStrike. Рисунок 11. Gartner Magic Quadrant for Endpoint Protection Platforms, 2018  В апреле 2018 года Gartner выпустил еще один отчет касательно платформ защиты конечных точек — Critical Capabilities for Endpoint Protection Platforms, где была проведена оценка по пятибалльной шкале каждого выделенного функционального критерия. В оценке принял участие 21 производитель. Важно отметить, что Gartner в отчете относит две из девяти критически необходимых возможностей решений к EDR-технологии — это EDR Core Functionality (базовая функциональность EDR) и EDR Advanced Response (продвинутое реагирование EDR). Со всеми критериями оценки и представленными аналитическим агентством результатами в табличной форме вы можете ознакомиться в самостоятельном порядке. ForresterМеждународное аналитическое агентство Forrester в своем отчете The Forrester Wave™: Endpoint Security Suites за 2 квартал 2018 года частично учитывает функциональность решений класса EDR, а именно в оценке присутствует следующая функциональность с учетом также функциональности систем класса EPP: automated prevention, detection, remediation, full endpoint visibility, automation, orchestration.Лидерами по отчету Forrester являются: Bitdefender, Check Point, CrowdStrike, ESET, Sophos, Symantec, Trend Micro. К сильным игрокам на рынке Forrester причисляет следующие компании: Carbon Black, Cisco, Cylance, Kaspersky Lab, Malwarebytes, McAfee, Microsoft. Рисунок 12. The Forrester Wave™: Endpoint Security Suites, Q2 2018 IDCМеждународная исследовательская и консалтинговая компания IDC в своем отчете Endpoint Specialized Threat Analysis and Protection (STAP) Vendor Assessment отмечает следующих лидеров: Carbon Black, Cisco Systems, CrowdStrike, Cylance, McAfee, Symantec, Trend Micro. Рисунок 13. IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017  The Radicati GroupНекоторые аналитические агентства, например The Radicati Group, сравнивают комплексные подходы к противодействию сложным угрозам, включая как сеть, так и конечные устройства, и в своем отчете Advanced Persistent Threat (APT) Protection — Market Quadrant 2018 оценивают поставщиков комплексных Anti-APT решений в соответствии со списком основных функций и возможностей, с которым вы всегда можете ознакомиться детально, изучив отчет. Отдельно выделяется критерий сравнения по предоставлению решением EDR-функциональности или возможность взаимодействия со сторонними продуктами класса EDR. Особое внимание уделяется возможностям систем EDR по передаче собранной информации с конечных устройств в централизованную базу данных для дополнительного анализа и объединения этой информации с данными, полученными от других средств обнаружения угроз, например, на сети для получения полной картины развития возникающих угроз на всей инфраструктуре.The Radicati Group отмечает на рынке решений по защите от APT угроз (Advanced Persistent Threat Protection) следующие компании: Barracuda Networks, Cisco, FireEye, Forcepoint, Fortinet, Kaspersky Lab, McAfee, Microsoft, Palo Alto Networks, Sophos, Symantec, Webroot. Рисунок 14. Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018 Функциональность решений класса EDRВ этом разделе остановимся более подробно на функциональных возможностях решений Endpoint Detection and Response (EDR).Современные решения класса EDR позволяют:обеспечивать мониторинг конечных точек в режиме реального времени и представлять наглядную визуализацию активностей всех рабочих станций и серверов в корпоративной инфраструктуре из единой консоли;эффективно обнаруживать и приоритизировать инциденты информационной безопасности по мере их возникновения на конечных точках;записывать и хранить информацию по активностям на конечных точках для последующего расследования комплексных инцидентов;предоставлять необходимую информацию специалистам ИБ для оперативного расследования инцидентов;реагировать на инциденты, обеспечивая их сдерживание, а также помогают в восстановлении рабочих станций в исходное до инцидента состояние;поддерживать возможность взаимодействия с решениями класса EPP. Рисунок 15. Основные функциональные блоки решений класса EDR Рассмотрим далее более подробно каждый из блоков.НаглядностьРешение EDR позволяет проводить наблюдение за всеми действиями конечных точек, например, установка нового программного обеспечения, скачивание файлов, повышение уровня привилегий учетных записей, а также изменения в запущенных процессах, в сетевой активности, в поведении пользователей и др.Детальный мониторинг всех процессов, запущенных на рабочих станциях и серверах, а также их взаимодействие, например, с исполняемыми файлами и корпоративными приложениями, позволяет организациям получать наглядную картину всего происходящего. А именно отслеживать подозрительное поведение, фиксировать несанкционированный доступ и иные злонамеренные действия. В случае инцидента можно проверить эти данные и понять, на каких пользователей была направлена атака, какие системы могли быть скомпрометированы и какая информация могла пострадать.Решение EDR отслеживает запуск программ и позволяет определять местоположение вредоносных объектов в корпоративной сети, а также предоставлять информацию о выполняемых ими действиях.Когда файл попадает на конечную точку, EDR продолжает наблюдать, анализировать и записывать всю активность файла, независимо от его расположения. Если в какой-то момент в будущем будут обнаружены следы атаки, решение может предоставить всю записанную историю поведения используемого в атаке вредоноса: откуда появился, где был, что делал и прочее. Эта информация поможет увидеть всю цепочку процесса и оперативно принять меры по реагированию.ОбнаружениеКрайне важно обнаружить развивающуюся атаку как можно быстрее, до того, как она нанесет серьезный ущерб организации. Решения EDR позволяют обнаружить сложносоставные атаки на их ранних стадиях, используя комбинацию различных механизмов поиска и методов анализа неизвестных угроз, в том числе построенных на базе машинного обучения и поведенческого анализа.  Методы обнаружения:IoC-сканированиеEDR осуществляет поиск индикаторов компрометации на конечных точках и их проверку путем периодического или постоянного сканирования всех конечных точек по списку известных артефактов (например, хэши файлов, IP-адреса, имена доменов, значения реестра и пр.). Загрузка в EDR индикаторов компрометации, полученных из внутренних или внешних баз данных об угрозах или других источников, например, через рассылку от ФинЦЕРТ, позволяет организациям оперативно обнаруживать и реагировать на угрозы, а также задавать автоматические правила их предотвращения.Антивирусный модульФункциональность антивируса по проверке файлов на предмет наличия вредоносной составляющей с помощью сигнатурного, эвристического методов анализа.Обнаружение аномального поведенияНетипичные изменения в поведении или базовой конфигурации могут указывать на угрозу. Регистрация таких событий помогает идентифицировать угрозы и предоставлять, например, информацию о том, когда произошел инцидент и какие изменения или последствия произошли в результате вредоносных действий, вызванных обнаруженной направленной атакой и пр.ПесочницаНекоторые производители в рамках своих EDR-решений поддерживают функциональность песочницы или взаимодействуют с отдельными решениями данного класса. Подозрительные файлы, требующие дополнительного анализа, могут быть автоматически загружены в специально выделенную среду для их безопасного исполнения и вынесения соответствующего вердикта на основании поведения файла. В случае подтверждения факта вредоносности файла песочницей файл сразу может быть заблокирован на всех рабочих станциях в сети.Threat IntelligenceВ зависимости от конкретного производителя решения ЕDR могут взаимодействовать с собственной Threat Intelegence (TI) и/или сторонними сервисами по предоставлению доступа к TI, позволяя получать данные об угрозах, доверенных объектах и паттернах поведения. Подобное взаимодействие с TI позволяет более оперативно реагировать на глобальные угрозы.ДругиеНапример, использование YARA-правил для сканирования объектов, механизма проверки валидности подписанных сертификатов и пр.Ретроспективный анализПоиск информации о действиях вредоносных объектов в прошлом, о том, какие системы, машины, файлы подвергались воздействию зловредного кода и прочее – эти данные значительно облегчают процесс комплексного расследования инцидентов.КорреляцияEDR позволяет сопоставлять различные данные и события с разных конечных точек в единый инцидент для дальнейшего расследования и реагирования, используя для проведения корреляции получаемую телеметрию в режиме реального времени, исторические данные и вердикты от механизмов обнаружения.Расследование Быстрый доступ ко всем данным с конечных точек и к информации об активностях позволяет аналитикам выполнять комплексное расследование и глубокий анализ источников угроз.EDR может собирать разнообразные данные, например,Метаданные с конечных точекIP, MAC, DNS-именаПодключенные USB-устройстваСетевые данныеТаблицы DNS и ARPОткрытые порты и связанные процессыСетевые подключенияПросматриваемые URL-адресаДанные процессовПотоки и метаданные запущенных процессовСлужбы WindowsСобытия операционной системыСобытия доступа к реестру и доступа к дискуДругие данныеСобытия загрузки DLLАктивные драйверы устройств и загруженные модули ядраРасширение браузера и историяИстория команд CMD и PowerShellEDR консолидирует данные о событиях, последовательность которых привела к обнаружению действующей атаки на конечных точках. Визуализация всей хронологии событий позволяет оперативно расследовать инциденты.EDR предоставляет подробные сведения о каждой обнаруженной угрозе, например,как угроза проникла в инфраструктуру организации;список затронутых рабочих станций и серверов;информация об изменениях в затронутых атакой конечных точках;запускаемые приложения;созданные в ходе атаки файлы;загруженные файлы и пр.EDR предоставляет возможность приоритизировать инциденты, в зависимости от критичности событий, путем анализа полученных данных и их корреляции, что позволяет специалистам сосредоточиться в первую очередь на самых релевантных сложным атакам инцидентах и оперативно реагировать на обнаруженные угрозы.РеагированиеШирокий набор инструментов позволяет специалистам по информационной безопасности просматривать события, оценивать масштаб нарушений и определять все затронутые конечные точки. Решения EDR позволяют обеспечивать сдерживание сложносоставных инцидентов, устраняя угрозы на отдельных конечных точках, и их последствий без воздействия на работу пользователей.В случае обнаружения вредоносной активности информация об инциденте оперативно передается администратору. Используя централизованную консоль управления, специалист может принять следующие ответные меры:остановка работающих вредоносных процессов;карантин файлов;изолирование зараженных рабочих станций;проведение необходимых удаленных действий с файлами и реестром;блокировка подключений конечных точек к злонамеренным доменам, URL- и IP-адресам;сбор криминалистических артефактов (образ оперативной памяти, образ жесткого диска);восстановление рабочих мест в предынфекционное состояние.ПредотвращениеНаличие решений класса EPP, построенных на базе превентивных технологий, ориентированных на обнаружение и автоматическую блокировку известных угроз, очевидно вредоносных объектов, а также части неизвестных угроз, помогают устранить необходимость анализа большого количества инцидентов, которые не имеют отношения к сложным атакам, тем самым повышая эффективность EDR-платформ, направленных на обнаружение сложных угроз. Решения EDR, в свою очередь, могут отправлять вердикты в EPP-решения и тем самым обеспечить действительно комплексный подход к противодействию передовым угрозам.ИнтеграцияРешения по обнаружению сложных угроз на конечных точках и реагирования на них, кроме взаимодействия с решениями класса EPP, должны быть способны встраиваться в более широкую инфраструктуру информационной безопасности организаций. Поддержка возможности взаимодействия с существующими средствами ИБ, например, с системами по обнаружению сложных угроз на сети, с песочницей в случае отсутствия встроенной в решение EDR, с инструментами по расследованию и пр. Немаловажно, чтобы решение поддерживало открытый API для интеграции с SIEM/SOC для обогащения этих систем информацией и предоставления дополнительных возможностей для мониторинга и проведения расследований. EDR-решения помогают SIEM, выступая источником логов и событий, предоставляя при этом уже проанализированную и нужную информацию для проведения корреляции с информацией, получаемой от иных источников.Экспертиза Разумеется, важно иметь инструменты, необходимые для надлежащего обнаружения и реагирования, однако и этого в наше время становится недостаточно для противостояния современным угрозам, во главе которых стоят люди, руководящие всем процессом подготовки и проведения самых сложносоставных направленных атак. Организации, использующие EDR-решения, также нуждаются в выделенных квалифицированных кадрах. Чтобы постоянно оставаться в курсе нынешнего ландшафта угроз, применять знания для поиска угроз внутри сети и понимать, как эффективно использовать специализированные наборы инструментов, нужна глубокая экспертиза в этой области, как внутренняя, так и внешняя.Некоторые компании при использовании инструментов по обнаружению и реагированию на передовые угрозы на конечных точках предпочтут задействовать в полном объеме свои собственные ресурсы и только в случае острой необходимости частично привлекать внешних специалистов и использовать сторонние сервисы. В этом случае усиление экспертизы внутри организации может строиться на прохождении различных обучающих программ по повышению квалификации специалистов ИБ, а также путем доступа к информационному порталу угроз, получению потоков данных об угрозах и различных аналитических отчетов, которые обычно предоставляют производители решений по противодействию передовым угрозам.Для перегруженных или недостаточно укомплектованных специалистами компаний будет привлекательным использовать в большей степени сторонние профессиональные услуги, такие как: сервисы реагирования на инциденты, активный поиск угроз, анализ вредоносных программ, использованных в рамках атаки, сервис по цифровой криминалистике, устранение последствий и иные необходимые экспертные сервисы.СоответствиеРешения данного класса призваны помочь организациям в соблюдении требований внутренних служб ИБ, внешних регулирующих органов и действующего законодательства в сфере ИБ.В частности, решения должны быть нацеленными на соответствие требованиям N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и указа Президента РФ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Тем самым помогать в обнаружении компьютерных атак, в агрегации и анализе информации, установлении причин возникновения инцидентов, реагировании на них, а также ликвидации последствий.Роль EDR становится еще важнее для тех компаний, которые должны соответствовать требованиям стандартов банковской отрасли, PCI DSS, нормативным требованиям GDPR и др. благодаря включенной функциональности по постоянному мониторингу и записи инцидентов.Для организаций, у которых остро стоит вопрос необходимости соответствия строгим политикам конфиденциальности по обработке критичных данных, на рынке присутствуют EDR-решения, которые могут предоставлять вариант полностью изолированного режима работы решения, без передачи данных за пределы контролируемого периметра организации. Краткий обзор EDR-решений, представленных на российском рынкеНа западном рынке класс решений EDR уже давно нашел практическое применение, тогда как на российском рынке внедренные решения данного класса встречаются редко и пока являются скорее лишь предметом обсуждения, нежели реально используемым инструментом.В данный обзор мы включили производителей EDR-решений, которые были оценены аналитическими агентствами на достаточно высоком уровне в своих сравнительных анализах и которые представлены на российском рынке. Check Point SandBlast AgentРешение SandBlast Agent от компании Check Point Software Technologies объединяет в себе комплекс продвинутых технологий превентивной защиты (EPP), реагирования, расследования, лечения (EDR) и проактивного (ретроспективного) поиска угроз на конечных станциях (Threat Hunting).SandBlast Agent является частью единого модульного агентского решения Check Point Endpoint Security, включающего также функции традиционных средств защиты, таких как проверка состояния станции (Compliance), контроль приложений, сетевой активности и защита данных на жестком диске и съемных носителях.Однако, модули SandBlast Agent может применяться и самостоятельно для защиты от новых угроз, полностью заменяя традиционные антивирусные продукты  или дополняя их (интеграция с Kaspersky, Trend Micro, Symantec, и др.) Рисунок 16. Дерево процессов в отчете Forensics от SandBlast Agent Один агент SandBlast Agent решает все основные задачи EPP+EDR, эффективно сокращая количество возможных инцидентов, время их решения и потенциальный ущерб:Предотвращение проникновения (даже если станция находится вне контролируемого периметра или не возможна инспекция SSL как при TLS 1.3)Проактивная конвертация скачиваемых пользователем документов в браузере в безопасный формат (Threat Extraction). Пользователь мгновенно получает 100% безопасную версию документов (в PDF или исходном формате), пока они проверяются в «песочнице».Перехват в браузере и динамический анализ в реальном времени в облачной или локальной «песочнице» всех скачиваемых файлов (Threat Emulation), используя  машинное обучение, техники Anti-Evasion и технологию CPU-Level Detection.Эвристический анализ содержимого посещаемых пользователем веб-страниц и блокировка новых фишинговых сайтов (ZeroPhishing).Перехват и блокировка атаки, когда она уже началасьРаннее обнаружение новых шифровальщиков с помощью приманок и по поведению непосредственно на конечной станции, блокировка вредоносных процессов и автоматическое восстановление зашифрованных файлов, включая подключенные сетевые папки (Anti-Ransomware). Агент анализирует файловые операции, не позволяет внести изменения в MBR или удалить теневые копии. Модуль Anti-Ransomware работает автономно, не требует «песочницы» и постоянного доступа к репутационным сервисам, .Блокировка эксплойтов (Anti-Exploit) для приложений, наиболее часто используемых для первоначального взлома: Microsoft Office, Adobe Reader, Flash, браузеры. Если новый эксплоит использует одну из известных техник эксплуатации уязвимости, то встроенная в защищаемый процесс DLL-ловушка терминирует процесс и атака будет остановлена в самом начале.Все новые файлы, доставленные на станцию по сети или со съемных носителей, автоматически проверяются в «песочнице» (Threat Emulation). Полученный  вердикт позволяет отправить вредоносные файлы в карантин и начать процесс лечения и расследования.Anti-Bot проверяет сетевую активность станции (включая DNS, HTTP/S запросы) и автоматически блокирует попытки подключиться к известным серверам злоумышленников (C&C).В 2018 году Check Point планирует добавить в SandBlast Agent дополнительный модуль защиты Behavioral Guard, который будет обнаруживать и блокировать новые версии ранее известных семейств вредоносов по поведению на основе машинного обучения.Автоматическое восстановление рабочей станции и расследование инцидентаМодуль Forensics автоматически логирует все изменения на рабочей станции (запуск процессов, файловые операции, ключи реестра, сетевая активность), что позволяет в момент срабатывания любой технологии защиты автоматически коррелировать события, определить между ними взаимосвязь, изолировать, откатить выполненные вредоносом изменения и построить детальный отчет для расследования инцидента.Интерактивный отчет Forensics генерируется для каждого инцидента в виде веб-сайта. Он  визуализирует не только дерево запущенных процессов,  параметры запуска и выполненные ими операции, но и такие неявные связи как инъекция кода, автозагрузка через AutoRun или планировщик Windows, раскрывается история команд Shell, PowerShell и запуска различных скриптов.Импорт сторонних индикаторов (IoC) и Threat HuntingSandBlast Agent позволяет использовать данные сторонних сервисов Threat Intelligence (например, FinCERT и ГосСОПКА) для поиска скомпрометированных станций различным индикторам, например, по хешам, IP, DNS-именам и URL.«Песочница» SandBlast анализирует файлы с рабочих станций, защищенных агентом, и позволяет импортировать сторонние IoC на языке YARA.В случае обнаружения IoC на любой из станций автоматически запускается функционал модуля Forensics, описанный выше.   Подробнее с решением Check Point Sandblast Agentможно ознакомиться здесь или в статьях Технология Check Point SandBlast Zero-Day Protection для предотвращения ранее неизвестных и целевых атак и Защита от вирусов-шифровальщиков при помощи Check Point SandBlast Agent. Cisco Advanced Malware ProtectionCisco Advanced Malware Protection (AMP) for Endpoints — самостоятельный компонент по обеспечению безопасности конечных устройств нового поколения, предоставляющий усовершенствованную защиту от сложных угроз и являющийся частью распределенной и многокомпонентной системы защиты от вредоносной активности Cisco Advanced Malware Protection, которая включает в себя компоненты для NGFW, NGIPS, почтовых шлюзов, прокси-решений, облачных сред и т. д. Решение обеспечивает непрерывный анализ и расширенную аналитику, а также поддерживает возможность отследить процессы по активностям файлов в прошлом, что позволяет понять объем заражения, выявить исходную причину и произвести восстановление. Такие инструменты, как ретроспективный анализ, взаимосвязь элементов траектории атаки, поиск нарушений с помощью поведенческого анализа, помогают специалистам по безопасности определить масштабы атак и эффективно устранять все угрозы прежде, чем будет нанесен серьезный ущерб. Рисунок 17. Интерфейс решения Cisco Advanced Malware Protection Cisco выделяет следующие ключевые функциональные возможности своего решения Cisco AMP:Предотвращение, обнаружение, реагированиеРешение Cisco AMP обеспечивает полную защиту конечных устройств, от блокирования вредоносных программ в точках входа до обнаружения, изолирования и устранения угроз повышенной сложности в случае обхода первой линии защиты и проникновения вредоноса в систему. Для обнаружения вредоносной активности используется более 10 различных движков — от сигнатур или песочницы до машинного обучения и индикаторов компрометации, от сопоставления потоков устройств и детектирования бесфайловых угроз до обнаружения угроз, использующих легальные возможности ПК (например, PowerShell), и анализа уязвимостей на компьютере, используемых вредоносным кодом.Углубленный мониторинг и записьРешение Cisco AMP для конечных устройств предоставляет возможность углубленного мониторинга активностей на уровне исполняемых файлов на всех конечных устройствах, что позволяет быстро обнаруживать сложные вредоносные программы, оценивать масштаб вторжения и незамедлительно принимать меры по устранению. При обнаружении вредоносных действий Cisco AMP отображает сохраненную историю поведения вредоноса: его источник, местонахождение и действия.Аналитика угроз и технология песочницыCisco AMP использует облачную (публичное облако Cisco или частное облако на территории заказчика) аналитику больших объемов данных, постоянно оценивая новые и исторические данные, собираемые в целях выявления скрытых атак. А также использует безопасную среду для выполнения, анализа и тестирования поведения вредоносной программы, помогая обнаруживать ранее неизвестные угрозы, угрозы нулевого дня. Расширенные функции песочницы реализуют автоматизированный статический и динамический анализ файлов, используя более 700 индикаторов поведения, что позволяет выявлять скрытые угрозыШирокий охват конечных устройствCisco AMP защищает конечные точки под управлением Windows, macOS, Android, Linux и iOS. Cisco AMP выполняет часть операций по анализу в публичном или частном облаке, а не на самих конечных устройствах, тем самым не снижая производительность устройств.Интегрированный центр управленияCisco AMP автоматически сопоставляет данные о событиях в системе безопасности из разных источников, например, события о вторжении или данные о вредоносах, чтобы помочь командам по обеспечению безопасности связать события с более крупными, скоординированными атаками. Cisco Unity позволяет собирать, анализировать, коррелировать события безопасности от компонентов Cisco AMP for Endpoints, Cisco AMP for NGFW, Cisco AMP for NGIPS, Cisco AMP for Email Security, Cisco AMP for Web Security и пр. Еще один компонент Cisco Visibility позволяет коррелировать данные об угрозах, полученные от Cisco AMP for Endpoints с событиями безопасности от других средств защиты, развернутых в корпоративной сети, а также обогащать их данными из внешних источников Threat Intelligence компании Cisco или из иных источников (например, VirusTotal). Для интеграции с решениями сторонних производителей (например, SIEM) Cisco AMP4E обладает развитым API.Подробнее с решением Cisco Advanced Malware Protection можно ознакомиться здесь. Cyberbit EDRCyberbit EDR — система обнаружения и реагирования для конечных устройств, которая обнаруживает и предотвращает появление неизвестных угроз, в том числе программ-вымогателей, за считанные секунды, а также предоставляет расширенные возможности для проведения экспертизы и обнаружения различных угроз. Благодаря машинному обучению, анализу вредоносных программ, поведенческой аналитике и больших массивов данных по событиям на ИТ-сети Cyberbit EDR может быстро находить угрозы, с которыми не справляются традиционные системы ИБ, и автоматизировать процесс обнаружения угроз, экономя при этом рабочее время аналитиков. Рисунок 18. Интерфейс решения Cyberbit EDR Cyberbit выделяет следующие функциональные преимущества в отношении своего решения Cyberbit EDR:Обнаружение неизвестных целевых атак в реальном времениПлатформа Cyberbit EDR использует алгоритмы машинного обучения, которые обеспечивают возможность обнаружения целевых атак, которые не удается определить с помощью традиционных средств ИБ. Автоматизируя в значительной степени процесс обнаружения следов атак, недокументированных вложений, что помогает ИБ-аналитикам экономить время на расследование.Анализ угрозАнализ угроз с помощью инструментов анализа Big Data и экспертизы обеспечивает быстрый доступ к предварительно обработанным детализированным данным для более эффективного контроля и быстрого обнаружения.Быстрое реагирование, профилактика и борьба с программами-вымогателямиCyberbit EDR позволяет аналитикам легко и быстро реагировать на несанкционированные действия конкретного конечного устройства или целой сети. Платформа автоматически обнаруживает и блокирует программы-вымогатели, предотвращает шифрование и обеспечивает резервное копирование важных данных, прежде чем будет нанесен ущерб.Тем самым позволяет сократить время, отводимое на процесс ручного анализа, за счет просмотра всего сюжета инцидента, осуществляемого с целью выявления его первопричины и принятия ответных действий и предупредительных мер.Повышение эффективности работы командыCyberbit EDR определяет приоритет угроз, отфильтровывает ложные срабатывания и визуализирует результаты автоматизированного поиска угроз, для возможности эффективного реагирования на наиболее актуальные угрозы, с минимальным отвлечением специалистов.Открытая и настраиваемая платформаCyberbit предоставляет расширенный API для настройки пользовательских интерфейсов, дополнительных функций, и импорта/экспорта данных в продукты сторонних разработчиков.Подробнее с решением Cyberbit EDR можно ознакомиться здесь. FireEye Endpoint SecurityFireEye Endpoint Security — защита рабочих станций от современных киберугроз. Обеспечивает сотрудников информационной безопасности надежным инструментом для обнаружения, анализа и расследования инцидентов в кратчайшие сроки по сравнению с традиционными подходами. Решение позволяет быстро и точно принимать меры относительно событий на конечных станциях, а также позволяет объединить активности, которые производятся на уровне сети и на уровне рабочих мест, что позволяет сократить временные затраты на восстановление в связи с инцидентом информационной безопасности. Рисунок 19. Интерфейс решения FireEye Endpoint Security Основные функциональные возможности, которые FireEye выделяет в своем решении FireEye Endpoint Security:Мониторинг и подтверждение угрозподтверждение угроз, обнаруженных сетевыми устройствами путем корреляции их с событиями на рабочих станциях;мониторинг всех хостов на предмет угроз, обнаруженных в периметре или идентифицированных другими платформами безопасности;запрос необходимых данных с конечной станции вплоть до полного образа диска (RAW) конечной станции;обеспечение непрерывной защиты информации за пределами корпоративной сети, даже при отсутствии доступа к интернету.Блокирование угрозблокирование взломанных рабочих станций для немедленного прерывания атаки;блокирование угроз, как с известной сигнатурой (AV), так и неизвестных по техникам эксплойта (ExploitGuard);обеспечение доступа к системе для расследования инцидента безопасности с возможностью гарантировать нормальную работу рабочей станции с доверенными IP-адресами.Интеграция с другими платформами FireEyeFireEye Endpoint Security использует индикаторы компрометации (IOC), полученные с других платформ FireEye (Email Security, Network Security, File Content Security, Malware Analysis), для оперативного обнаружения атак на конечных станциях. В процессе постоянного мониторинга всех рабочих станций, решение FireEye Endpoint Security позволяет коррелировать уведомления с сетевых устройств с событиями на рабочих местах.Подробнее с решением FireEye Endpoint Security можно ознакомиться здесь.Обзор решения FireEye Endpoint Security на нашем сайте. Kaspersky Endpoint Detection and ResponseKaspersky Endpoint Detection and Response (Kaspersky EDR) от «Лаборатории Касперского» — решение по обнаружению и реагированию на передовые киберугрозы на конечных точках. Решение предназначено для проведения глубокого анализа состояния рабочих станций и серверов. Направлено на поиск признаков возникновения инцидентов, дальнейшего их централизованного расследования и применения оперативных мер по сдерживанию распространения сложных угроз. Kaspersky EDR помогает выявить сложные угрозы, максимально быстро восстановить работоспособность затронутых рабочих станций и серверов, что позволяет сократить стоимость ликвидации инцидента и убытки от простоя.Kaspersky EDR может поставляться как отдельный продукт, так и в рамках расширения функциональных возможностей решения Kaspersky Security для бизнеса (Kaspersky Endpoint Security). Тем самым обеспечивается полный цикл защиты конечных точек, начиная от автоматического блокирования менее комплексных угроз до обнаружения и реагирования на продвинутые угрозы, без необходимости установки дополнительных агентов. Также может работать совместно с сертифицированным ФСТЭК России и ФСБ России специализированным решением по противодействию передовым угрозам и целенаправленным атакам на сети Kaspersky Anti Targeted Attack, предоставляя заказчикам единую специализированную платформу по противодействию целенаправленным атакам и передовым угрозам. Поддерживает многоуровневый контроль возможных точек проникновения в инфраструктуру включая не только сеть, почту, веб-ресурсы, но и конечные точки. Kaspersky Anti Targeted Attack и Kaspersky EDR построены на единой технологической платформе, на одной инсталляционной базе и управляются из унифицированного интерфейса. Используется единая база вердиктов и механизмов обнаружения, единый центр анализа целенаправленных атак с возможностью корреляции событий и ретроспективного анализа, что позволяет существенно сократить время на поиск и устранение сложносоставных угроз. Рисунок 20. Интерфейс решения Kaspersky Endpoint Detection and Response «Лаборатория Касперского» выделяет следующие функциональные возможности и преимущества своего решения Kaspersky Endpoint Detection and Response:Передовые возможности обнаружения на основе машинного обученияПодсистема машинного обучения и анализатор целенаправленных атак (Targeted Attack Analyzer) в Kaspersky EDR позволяют выявлять отклонения в поведении рабочих станций и процессов от исходного значения нормального поведения. А также позволяет соотносить вердикты от разных технологий анализа (антивирусный движок, IoC-сканирование, передовая песочница, Yara-правила, поиск угроз (Threat Hunting), Threat Intelligence и др.) с ретроспективными данными и телеметрией, поступающей в режиме реального времени.  Тем самым формируется многоуровневый подход к анализу угроз и выявлению потенциальных вторжений или уже развивающихся целенаправленных атак.Сбор данных и контроль Kaspersky EDR помогает специалистам ИБ собирать и анализировать огромные объемы информации, так или иначе связанной с безопасностью рабочих станций и серверов, не снижая производительности работы пользователей конечных устройств. Полученные с помощью решения сведения об инцидентах безопасности позволяют быстро принимать необходимые меры по реагированию.Адаптивное реагированиеKaspersky EDR поддерживает ряд автоматизированных ответных мер: сдерживание инцидентов, прерывание процессов, карантин и восстановление из карантина, удаление вредоносных объектов, восстановление работоспособности и пр. Оперативные меры по реагированию на инциденты уменьшают их негативное влияние на бизнес-процессы, сокращают время простоев и пр.Активный поиск угрозKaspersky EDR в режиме реального времени ищет признаки инцидентов по централизованной базе угроз и индикаторы компрометации (IoC) на каждом рабочем устройстве сети. За счет автоматизации ключевых задач по выявлению угроз и реагированию на них упрощает расследование и управление инцидентами. Вместо пассивного ожидания уведомлений специалисты могут самостоятельно искать и блокировать угрозы, проверяя конечные устройства на аномалии и нарушения безопасности. А также могут воспользоваться круглосуточным сервисом от «Лаборатории Касперского» по мониторингу и реагированию на инциденты Kaspersky Managed Protection и доступом к порталу глобальной базы аналитических данных об угрозах Kaspersky Threat Intelligence Portal.Поддержка полностью локального исполнения решения для изолированных сетей, соблюдение требованийKaspersky EDR включает локально размещаемую передовую песочницу, которая позволяет автоматически извлекать объекты с рабочих мест для глубокого анализа, работая параллельно с другими продвинутыми механизмами обнаружения. При необходимости строгого соответствия ИБ-требованиям в вопросе обработки критичных данных, «Лаборатория Касперского» может поставлять полностью изолированное решение без потери качества обнаружения, предоставляя локальную базу угроз, все преимущества облачной Threat Intelligence, без передачи данных за пределы корпоративного контура.Также Kaspersky EDR позволяет вести постоянный мониторинг и запись инцидентов, что в совокупности позволяет соблюдать строгие требования, выставляемые внешними и внутренними регуляторами, а также в частности быть нацеленным на соответствие №187-ФЗ и ГосСОПКА.Подробнее с решением Kaspersky Endpoint Detection and Response можно ознакомиться здесь или в обзоре Kaspersky Threat Management and Defense (KTMD). Часть 1 — Основные возможности и Часть 2 — Сценарии использования. Microsoft Advanced Threat Protection в Защитнике WindowsAdvanced Threat Protection (ATP) в Защитнике Windows обеспечивает профилактическую защиту от угроз, позволяет обнаруживать атаки и выявлять угрозы, в том числе эксплойты нулевого дня, используя современные возможности анализа поведения и машинного обучения.  А также предоставляет функциональность по расследованию и реагированию. Advanced Threat Protection (ATP) в Защитнике Windows глубоко интегрирован в операционную систему Windows 10 и не требует агента. Датчики поведения конечных точек, встроенные в Windows 10, собирают и обрабатывают поведенческие сигналы из операционной системы (например, процессы, реестр, файлы и сетевые подключения) и передают эти данные в изолированный облачный экземпляр ATP в Защитнике Windows. Рисунок 21. Интерфейс решения Advanced Threat Protection в Защитнике Windows Microsoft выделяет следующие функциональные возможности и преимущества своего решения Advanced Threat Protection (ATP) в Защитнике Windows:Определение расширенных атак Поддержка возможности поиска атак, которые преодолели традиционные средства защиты (обнаружение после взлома). Использование больших данных, машинного обучения и уникальной оптики Microsoft по всей экосистеме Windows позволяет преобразовывать поведенческие сигналы в аналитические данные для выявления угроз и дальнейших оповещений с предложениями рекомендуемых действий по реагированию.Расследования и устранение последствийВозможность в визуальном режиме изучать следы вторжения на конечных точках и оценки масштаба взлома, а также оперативно выполнять поиск и анализ исторических данных с клиентских устройств (до 6 месяцев). Полученные дополнительные сведения с любого компьютера при расследовании способствуют более оперативному реагированию на угрозы и предотвращению повторного заражения.Встроенная база данных аналитики угрозСистема анализа угроз, созданная специалистами Microsoft совместно с предоставленной аналитикой угроз партнерами, позволяет ATP в Защитнике Windows определять используемые злоумышленниками средства, приемы и процедуры и формировать оповещения, как только в собранных данных датчиков будут появляться какие-то сомнительные признаки.ВзаимодействиеATP в Защитнике Windows работает с существующими технологиями защиты Windows на конечных точках, таких как антивирусная программа Защитник Windows, AppLocker и Device Guard в Защитнике Windows. Поддерживается также одновременная работа со сторонними решениями безопасности и продуктами защиты от вредоносных программ.Подробнее с решением Advanced Threat Protection (ATP) в Защитнике Windows можно ознакомиться здесь. Palo Alto Networks TrapsPalo Alto Networks Traps — это решение, способное предотвращать атаки с использованием эксплойтов, вредоносных исполняемых файлов еще до выполнения каких-либо злонамеренных действий на рабочих станциях и серверах.При попытке атаки агенты Traps на рабочих станциях сразу же блокируют злонамеренные операции, завершают процесс и информируют о предотвращении угрозы. Далее Traps собирает подробные аналитические данные, включающие название вредоносного процесса, состояние памяти во время блокировки и другую информацию и предоставляет отчеты. Рисунок 22. Интерфейс решения Palo Alto Networks Endpoint Security Manager (консоль управления агентами Traps) Palo Alto Networks выделяет следующие функциональные преимущества в отношении своего решения Traps:Защита от вредоносных исполняемых файлов Traps позволяет не только защититься от эксплойтов, скрытых в файлах данных или запускаемых по сети, но и использует комплексный подход для предотвращения запуска вредоносных исполняемых файлов. Механизм Traps для защиты от вредоносных программ сочетает ограничения на базе политик, анализ файлов в песочнице WildFire™ и защитные модули, которые позволяют избежать запуска вредоносных исполняемых файлов, например криптолокеров. Одновременное использование всех методов значительно повышает уровень защиты от вредоносных программ.Анализ и предотвращение запуска исполняемых файлов с помощью WildFireИнтеграция с WildFire позволяет задавать детализированные параметры запуска и одновременно использовать динамические политики безопасности с автоматическим анализом неизвестных исполняемых файлов. Если на рабочей станции появился новый исполняемый файл, Traps может незамедлительно отправить хеш-код файла в WildFire для идентификации. Если WildFire сообщит о том, что файл является вредоносным, Traps предотвратит его запуск и не позволит этому файлу нанести какой-либо ущерб. Поскольку загружать файлы в WildFire может как Traps, так и межсетевые экраны нового поколения, происходит эффективный обмен данными об угрозах.Также благодаря интеграции с облаком песочниц WildFire клиентам доступна обширная экосистема по анализу угроз, участники которой ежедневно загружают в нее более миллиона образцов и обмениваются информацией о новых угрозах нулевого дня со всем миром. За счет автоматической загрузки и анализа неизвестных исполняемых файлов возможно анализировать каждый новый исполняемый файл на рабочей станции.Модули защиты от вредоносных программЕсли вредоносный файл все-таки запустился, его действия все равно можно заблокировать при помощи модуля защиты от вредоносных программ. В отличие от модулей предотвращения эксплойтов, защитные модули выполняют поиск стандартных алгоритмов, используемых многими типами программ-злоумышленников. Например, они предотвращают внедрение вредоносного кода в доверенные приложения.Сбор аналитических данных Обширную информацию можно получить при помощи агента Traps. Агент постоянно записывает подробные сведения по каждому запускаемому процессу. Кроме того, агент выдает предупреждения при обнаружении попыток остановить работу Traps, удалить программу или иным образом вмешаться в ее функционирование. После предотвращения атаки с рабочей станции можно собрать дополнительную информацию, например, сделать снимок памяти и зафиксировать действия, предпринятые вредоносным кодом. Сделав снимок, Traps выполняет вторичный анализ содержания инцидента и ищет в памяти возможные следы злонамеренных действий.Защита любых приложений от эксплойтов За счет того, что решение Traps отслеживает техники работы эксплойтов, а не сигнатуры отдельных экземпляров кода, оно может позволить пользователям обеспечить безопасность сотен специализированных приложений.Простота управления и минимальные затраты ресурсовАгент может оставаться полностью незаметным для конечных пользователей, не снижая производительности и не затрагивая работу программ.Важно, что решение Traps не требует постоянно его обновлять, т. к. выполняет обнаружение именно техник эксплуатации уязвимостей, а новые техники атак обнаруживают 1-2 раза в год.Дополнительно отметим, что компания Palo Alto Networks недавно приобрела израильскую компанию Secdo и планирует использовать их решение по выявлению угроз и реагированию на киберинциденты на конечных точках для усиления своего решения Traps и также для усиления позиции на рынке.Подробнее с решением Traps можно ознакомиться здесь. Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection (ATP: Endpoint) — решение по защите от сложных и целенаправленных угроз на уровне конечных точек, обеспечивающее полный цикл безопасности от предотвращения простых угроз до обнаружения и реагирования на более сложные:Блокировка угроз на различных этапах атаки с минимальным числом ложных срабатыванийВыявление аномалий и расследование подозрительных событийОперативное отражение комплексных атак и последствий от них на всех конечных точкахATP: Endpoint использует функции EDR, встроенные в продукт Symantec Endpoint Protection (SEP), без необходимости установки дополнительных агентов. Для обнаружения сложных комплексных атак в ATP: Endpoint применяются передовые технологии машинного обучения и поведенческого анализа, минимизирующие число ложных срабатываний и открывающие доступ к ресурсам глобальной сети анализа угроз GIN (Global Intelligence Network). Функциональность SEP Deception, позволяющая имитировать фейковую активность на хостах с целью приманки и обнаружения целевых атак, доступна в рамках лицензии на решение SEP.ATP: Endpoint — это часть платформы Advanced Threat Protection (ATP), которая дает возможность сопоставлять данные от других модулей по мониторингу сети и электронной почты (ATP: Endpoint, ATP: Network и ATP: Email) и автоматически устанавливать взаимосвязи между событиями для выявления сложносоставных угроз.Все компоненты решения ATP имеют также возможность отправки подозрительных файлов на анализ в облачную (Symantec CYNIC) или внутреннюю (Symantec Blue Coat) песочницу (Network Sandbox), что позволяет получать оперативную информацию по zero-minute атакам, а также синхронизировать поток данных по неизвестным угрозам между решениями безопасности внутри компании.ATP: Endpoint позволяет аналитикам не только быстро находить и изолировать зараженные конечные точки, но и исследовать угрозы с использованием локальных ресурсов или облачной изолированной среды. Непрерывная запись всех действий на конечных точках позволяет точно знать, что на них происходит, и запрашивать информацию в режиме реального времени. Решение позволяет очень быстро удалить вредоносные программы и связанные с ними артефакты с зараженных конечных точек. Рисунок 23. Интерфейс решения Symantec Advanced Threat Protection (ATP: Endpoint) Symantec выделяет следующие функциональные преимущества в отношении своего решения Symantec Advanced Threat Protection (ATP: Endpoint):Аналитика угрозОбъединяет глобальные телеметрические данные, полученные из источников аналитических данных о кибербезопасности, с локальными данными клиента на уровне конечных точек, сетей и электронной почты, что позволяет успешно обнаруживать атаки, которые невозможно выявить стандартными методами. Технология сопоставления данных Synapse объединяет аналитическую информацию из различных контрольных точек для выявления зараженных систем, требующих незамедлительного устранения угроз.Обеспечивает быстрый поиск любых артефактов атак, при необходимости подозрительные файлы могут быть извлечены из любой конечной точки для дальнейшей проверки.Расследование подозрительных событийSymantec EDR ведет постоянный анализ подозрительных действий, чтобы не упустить угрозы, которые все же смогли обойти предыдущие линии обороны. Сочетая возможности глобальной сети анализа угроз со знанием локальной конфигурации конечных точек, Symantec EDR предоставляет подробные сведения о каждой просочившейся угрозе. Symantec EDR автоматически отслеживает появление индикаторов компрометации (IoC) и предупреждает специалистов по безопасности, что на организацию предпринята целенаправленная атака. Кроме того, аналитики имеют возможность искать конкретные артефакты, проверять все конечные точки на наличие определенных IoC, включая графическую иллюстрацию взаимосвязей таких индикаторов между собой.Визуализация и быстрое исправлениеЦентрализованное представление всей необходимой информации об атаке без необходимости выполнять поиск вручную. Поддержка быстрого устранения составных компонентов атаки, включая задействованные файлы, электронные адреса, IP-адреса веб-сайтов, содержащих вредоносный код. Поддерживается возможность вести черные списки и помещать конечные точки в карантин. После обнаружения вредоносного кода Symantec EDR быстро удаляет все компоненты атаки или блокирует их исполнение на всех конечных точках. Поддерживается возможность изолирования зараженных конечных точек, а также настройка запрета на внутренние и/или внешние коммуникации.Подробнее с решением Symantec Advanced Threat Protection (ATP: Endpoint) можно ознакомиться здесь. ВыводыРабочие станции и серверы в наше время продолжают оставаться самыми популярными точками проникновения в инфраструктуру злоумышленниками при организации ими направленных атак. Популярных систем класса Endpoint Protection Platform (EPP), которые создавались во времена совершенного другого ландшафта угроз и были направлены в основном на предотвращение массовых атак, уже становится недостаточно. Эти решения не ориентированы на противодействие сложным и комплексным угрозам на конечных точках, что свидетельствует о необходимости дополнительных инвестиций в специализированные продукты класса Endpoint Detection and Response (EDR) для расширенного обнаружения на базе передовых технологий и последующего реагирования на найденные сложные угрозы. Только совместное использование этих двух технологий и баланса между собственной экспертизой и использованием сторонних сервисов позволит организациям добиться действительно высоких показателей защиты своих конечных устройств и тем самым повысить безопасность компании в целом в эпоху быстро растущего числа и сложности передовых угроз и целенаправленных атак.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      В чём заключаются основные преимущества и недостатки биометрии? Какие биометрические системы являются наиболее точными? В чём состоит отличие поведенческих систем от статических? Попробуем разобраться в принципах работы и областях применения биометрии.      ВведениеОсобенности систем биометрической идентификацииТипы систем биометрической идентификации3.1. Статические системы3.1.1. Отпечатки пальцев3.1.1.1. Sherlock (Integrated Biometrics)3.1.1.2. Сканеры отпечатков пальцев СОП1 и СОП2 («Интек»)3.1.2. Рисунок вен на пальцах / руках3.1.2.1. Bio-Plugin: Биометрическая система СКУД (M2SYS)3.1.2.2. Palm Jet (BioSmart)3.1.3. Геометрия ладоней3.1.3.1. HandKey II (Schlage Recognition Systems)3.1.4. Радужная оболочка глаза3.1.4.1. Iris Access (Iris ID)3.1.4.2. Системы ВЗОР3.1.5. Сетчатка глаза3.1.5.1. HBOX (EyeLock)3.1.6. Лицо3.1.6.1. Blink Identity3.1.6.2. Face-Интеллект (ITV Group: Axxon Soft)3.1.6.3. PERCo-Web (PERCo)3.1.6.4. ПАК «Визирь» — СКУД на базе технологий компьютерного зрения3.1.7. Форма ушной раковины3.1.8. Голос3.1.8.1. ArmorVox (Auraya)3.1.8.2. IDVoice (ID R&D)3.1.9. Термограмма3.1.9.1. ESTONE FSAC-80 (Estone Technology)3.1.10. ДНК3.2. Поведенческие системы3.2.1. Походка3.2.1.1. SFootBD (University of Manchester)3.2.1.2. Watrix3.2.2. Движение губ3.2.2.1. Lip password (Hong Kong Baptist University, HKBU)3.2.3. Подпись3.2.3.1. SIGNificant Biometric Server (Namirial GmbH)3.2.4. Нажатие клавиш3.2.4.1. TypingDNA3.3. Мультимодальные биометрические системы3.3.1. Smart Authentications (CPqD)3.3.2. VoiceKey.PLATFORM (Группа компаний ЦРТ)3.3.3. Единая биометрическая система (Ростелеком)ПрименениеВыводы ВведениеНа сегодняшний день биометрические системы уже привычны каждому и активно участвуют в нашей жизни. Сканеры отпечатков пальцев, встроенные в смартфоны, технологии распознавания лиц и прочие инструменты постепенно приходят на замену традиционным методам идентификации и всё чаще проникают в крупные бизнесы, такие как банковское обслуживание и розничная торговля (ритейл). Биометрические системы имеют ряд преимуществ в сравнении с традиционными методами, так как приспособлены под идентификацию личности без возможности передачи ключа и во многом являются более удобными с точки зрения пользователя. Однако чем более активно ведётся внедрение такого вида систем, тем более остро встаёт вопрос обеспечения информационной безопасности.В данной статье рассмотрены основные виды биометрических систем, их принципы работы, преимущества и недостатки. Также приведён обзор компаний-производителей и конкретных продуктов, которые используются на коммерческом рынке на сегодняшний день. Особенности систем биометрической идентификацииБиометрическая идентификация — это процесс сравнения и определения сходства между данными человека и его биометрическим «шаблоном». Биометрия позволяет идентифицировать и провести верификацию человека на основе набора специфических и уникальных черт, присущих ему от рождения. Этот метод распознавания принято считать одним из самых надёжных, так как в отличие от стандартных логина и пароля биометрическими данными гораздо сложнее несанкционированно воспользоваться. Давайте рассмотрим механизм действия биометрических систем.Сначала в базе данных или на защищённом переносном элементе, таком как смарт-карта, сохраняется эталонная модель, основанная на биометрических характеристиках человека. Для этого могут использоваться один или несколько биометрических образцов.Сохранённые данные преобразуются в математический код; таким образом формируется база данных, представляющая собой набор кодов до 1000 бит, фиксирующих уникальные биометрические характеристики пользователей.При считывании отпечатка пальцев или радужки глаза сканер не распознаёт само изображение, а преобразовывает его в цифровой код, который затем сравнивает с загруженной ранее эталонной моделью. Типы систем биометрической идентификацииЧаще всего при мысли о биометрических системах нам на ум приходят сканеры отпечатков пальцев или системы распознавания лиц. Возможно, эти типы систем получили наибольшую известность благодаря кинофильмам и телесериалам. В любом случае наука не стоит на месте, и в последние годы границы биометрии стали намного шире. На данный момент существуют и активно применяются в безопасности, системах контроля доступа и предотвращения краж уже 14 типов биометрических устройств. Статические системыВ данном разделе мы расскажем о тех методах и инструментах, которые оценивают биометрические параметры в статике — без развития во времени. Отпечатки пальцевРаспознавание отпечатков пальцев является одним из первых биометрических методов. Он основан на определении структуры линий на подушечках пальцев рук, иначе — папиллярных узоров. После считывания сканером уникальный рисунок трансформируется в цифровой биометрический шаблон, при помощи которого система определяет, кто перед ней находится.Такие сканеры разделяются на два основных типа: оптические и кремниевые (тепловые и ёмкостные). Каждый из типов имеет свои преимущества и недостатки. Например, оптические сканеры являются наиболее точными с точки зрения определения узора, однако их можно обмануть с помощью силиконовых или латексных накладок и других нехитрых приёмов. Также они быстро загрязняются, в отличие от линейных тепловых, и для исключения погрешностей их приходится очищать после каждого применения. Для пользователя отличие состоит лишь в том, как взаимодействовать со сканером— прикасаться либо проводить по нему.Сейчас благодаря встроенным в смартфоны сканерам можно разблокировать таким образом мобильное устройство, оплатить покупки в интернете. В ближайшем будущем планируется внедрить подобные технологии и в другие устройства общего пользования, например в банкоматы (как это сделали Сбербанк и «Тинькофф»), и даже в метрополитене для замены билетов (такой проект собираются реализовать в Британии, чтобы сократить нагрузку на турникеты).  Sherlock (Integrated Biometrics)Компания Integrated Biometrics со штаб-квартирой в Спартанбурге, Южная Каролина, была основана в 2002 году. Integrated Biometrics продолжает расти как глобальный поставщик биометрических решений.Компания занимается разработкой датчиков регистрации и проверки отпечатков пальцев. В продуктах Integrated Biometrics используется плёнка LES (светоизлучающий датчик), обеспечивающая скорость, простоту использования и долговечность мобильных устройств биометрической верификации. Интегрированные биометрические датчики отпечатков пальцев Sherlock, единственные сертифицированные ФБР, работают под прямыми солнечными лучами на сухих или влажных пальцах, устойчивы к стиранию и на 90—95 процентов меньше и легче традиционных оптических сканеров. Они больше подходят для мобильных устройств, чем кремниевые или традиционные оптические датчики. Сканеры отпечатков пальцев СОП1 и СОП2 («Интек»)Устройства позволяют получить дактилоскопические отпечатки в различных режимах. Имеют встроенный алгоритм проверки качества отпечатка и подсветку для контроля состояния сканирования. Запуск сканирования выполняется автоматически при прикладывании пальца. После получения изображения сканер самостоятельно проводит проверку качества. Кодирование и декодирование изображения осуществляются с использованием алгоритма WSQ (вейвлет-скалярное квантование). Рисунок вен на пальцах / рукахДанный тип является усовершенствованной версией предыдущего. Взломать алгоритм его работы значительно труднее, чем при другом биометрическом сканировании, поскольку вены находятся глубоко под кожей. Инфракрасные лучи проходят через поверхность кожи, где они поглощаются венозной кровью. Специальная камера фиксирует изображение, оцифровывает данные, а затем либо сохраняет их, либо использует для подтверждения личности.Не так давно технология, получившая название FingoPay, была протестирована в одном из лондонских баров. Система идентифицирует уникальный рисунок вен пальцев рук и, по заявлению производителей, является почти совершенным устройством благодаря тому факту, что совпадение структуры рисунка вен у двух разных людей равно 1 к 3,4 млрд.Также аналогичная система производителя Hitachi была использована производителями японских банкоматов.  Bio-Plugin: Биометрическая система СКУД (M2SYS)Разработка M2SYS Bio-Plugin может распознавать как отпечатки пальцев, так и рисунок вен на пальцах и позволяет предприятиям любого масштаба и любой отрасли быстро интегрировать в работу систему биометрического программного обеспечения. Bio-plugin может проводить сопоставление 100 миллионов отпечатков пальцев в секунду на одном сервере и поддерживает совместимость с Windows и веб-приложениями. Преимуществами системы являются возможность быстрой интеграции (несколько часов), отсутствие необходимости компиляции ПО и глобальная инфраструктура поддержки. Система была интегрирована в комплексное биометрическое решение производителя — Гибридную биометрическую платформу, мультимодальную систему, которая поддерживает несколько форм биометрии, включая отпечатки пальцев, вены пальца и распознавание лиц.  Palm Jet (BioSmart)Одной из новейших разработок компании BioSmart является бесконтактный сканер Palm Jet. Это — комплексная биометрическая система, которая избавляет сотрудников от необходимости прикасаться к одним и тем же поверхностям. В данный момент используется некоторыми предприятиями в качестве мер для профилактики COVID-19.Palm Jet сканирует сеть подкожных вен и сравнивает результат с шаблоном в базе данных. Контрастный рисунок вен ладони формируется за счёт различных коэффициентов поглощения излучения венами и тканями ладони. Устройство отлично защищено от подлога — его невозможно обмануть с помощью силиконового муляжа или фотографии. Расстояние сканирования составляет 40—100 мм, при этом скорость распознавания — менее секунды.Прочие устройства вендора:BioSmart PV-WTC — терминал для организации пропускного режима и учёта рабочего времени;BioSmart PV-WM и BioSmart DCR-PV — считыватели вен ладони. Геометрия ладонейОпределение геометрии руки относится к измерению таких характеристик, как длина и ширина пальцев, их кривизна и относительное расположение. На данный момент этот метод является устаревшим и уже почти не используется, хотя когда-то был доминирующим вариантом биометрической идентификации. Современные достижения в области программного обеспечения для распознавания отпечатков пальцев и лиц затмили его актуальность.Существует также тип биометрических методов распознавания рисунка ладони, получивший название «дактилоскопия». Впервые он был применён в Лондоне 18 апреля 1902 г. при установлении личности преступника и на протяжении 20 века использовался в области криминалистики во многих странах. Однако на текущий момент этот метод также используется крайне редко в силу своей неточности и наличия более современных биометрических технологий.  HandKey II (Schlage Recognition Systems)Считыватели HandKey II разработки компании Schlage Recognition Systems фиксируют форму и размер руки, делая более 90 различных измерений. Затем они преобразуют и сохраняют эти измерения в виде 9-байтового цифрового шаблона идентификации, полностью уникального для каждого человека, который делает руку ключом.HandKey II функционирует как автономное устройство или легко интегрируется в существующую систему контроля доступа. В качестве контроллера доступа сканер обеспечивает управление механизмом блокировки с отслеживанием запросов на выход и сигналов тревоги. Аварийные оповещения предупреждают об отказе в доступе, чрезмерном количестве попыток сканирования, сбое питания и прочих событиях. Радужная оболочка глазаРадужная оболочка, или цветная часть глаза, состоит из толстых нитевидных мышц. Эти мышцы помогают формировать зрачок, чтобы контролировать количество света, попадающего в глаз. Измеряя уникальные складки и характеристики этих мышц, инструменты биометрической верификации могут подтвердить личность с невероятной точностью. Технологии динамического сканирования (например, сканирование того, как человек моргает) добавляют дополнительный уровень точности и безопасности. Iris Access (Iris ID)Iris ID с 1997 года является одним из крупнейших разработчиков технологий распознавания радужной оболочки глаза. IrisAccess — известная в мире платформа такого рода, которая уже была выпущена в четырёх версиях. По сведениям производителя, в данный момент система IrisAccess используется на 6 континентах и является более востребованной, чем все аналогичные продукты для распознавания радужной оболочки глаза вместе взятые.Одной из самых популярных серий является iCAM 7000. Новое поколение устройств способно осуществлять бесконтактную идентификацию человека по радужной оболочке глаза с расстояния около 30 см. Устройство имеет интуитивно понятный интерфейс с визуальным и звуковым оповещением, что позволяет быстро зарегистрировать человека в системе, а затем распознать его. Автоматическая подстройка угла наклона считывателя даёт возможность ускорить процесс распознавания при использовании устройства как отдельно, так и в комбинации с картами доступа или PIN-клавиатурой.  Системы ВЗОРКомпания является одним из наиболее востребованных производителей биометрических систем данного типа в России. Ниже представлены несколько самых популярных разработок.ВЗОР-Регистратор / ВЗОР-Мини: сканеры для записи биометрических шаблонов в базу (ВЗОР-Регистратор) и для идентификации (ВЗОР-Мини) с дистанцией захвата около 40 см. Пропускная способность — до 20 человек в минуту.ВЗОР-Пилон: сканер биометрической идентификации человека по радужной оболочке глаза с дистанцией захвата 0,9—1,1 м при движении человека со скоростью до 1 м/с. Обеспечивает скорость прохода через турникетную группу до 40 человек в минуту.ВЗОР-Портал: сканер биометрической идентификации по радужке глаза с дистанцией захвата до 1,6 метров и обеспечивающий захват радужки глаза при движении человека со скоростью до 2 м/с. Пропускная способность — до 80—90 человек в минуту. Сетчатка глазаПроверка сетчатки позволяет отсканировать капилляры глубоко внутри глаза с помощью камер ближнего инфракрасного диапазона. Получившееся изображение сначала предварительно обрабатывается для улучшения его качества, а затем преобразовывается в биометрический шаблон для регистрации нового пользователя и для последующей сверки с эталоном во время попыток распознавания пользователя. Высокая стоимость и необходимость помещать глаз близко к камере мешает более широкому использованию подобных сканеров.  HBOX (EyeLock)HBOX является устройством идентификации и верификации личности в наборе решений от компании-производителя Eyelock, которое осуществляет в режиме реального времени считывание и анализ сетчатки глаза на расстоянии и в движении. Гибкая конструкция предполагает несколько вариантов размещения — на мобильных стендах-воротах, фиксированных рамках и настенных креплениях — для максимальной гибкости в условиях нового строительства или модификации существующей конфигурации помещения.Пропускная способность HBOX обеспечивает прохождение до 50 человек в минуту и подходит для таких объектов, как аэропорты, вокзалы, стадионы. Сканер имеет возможности интеграции со всеми доступными стандартными системами и платформами управления доступом. ЛицоТехнология распознавания лиц, безусловно, является одной из первых форм биометрических систем идентификации. Программное обеспечение такого рода измеряет геометрию лица, включая расстояние между глазами и от подбородка до лба (и это — лишь некоторые из параметров). После сбора данных усовершенствованный алгоритм преобразует их в зашифрованный код, иначе — подпись (сигнатуру) лица.Согласно отчёту Computer Sciences Corporation (CSC), многие магазины уже внедрили системы распознавания лиц для отслеживания определённых групп покупателей. Принцип работы такого вида систем можно сравнить с таргетированной рекламой, цель которой — изучить предпочтения и предлагать наиболее релевантные товары.Недавно технология стала очень популярной среди пользователей смартфонов благодаря различным приложениям (например, для определения возраста) или встроенным сканерам лица, позволяющим снимать блокировку с устройства. Благодаря масштабному распространению среди пользователей и относительной простоте метода стало появляться всё больше приложений, использующих эту технологию.В 2019 году произошло несколько скандалов из-за утечки данных из приложения Zao для создания поддельных изображений (дипфейков). В ответ 16 марта 2020 года стало известно, что Китай ввёл обновлённые стандарты для приложений, собирающих биометрические данные, в том числе — для систем распознавания лиц.  Blink IdentityКомпания Blink Identity использует собственную технологию распознавания лиц для идентификации людей во время движения на полной скорости, которая позволяет опознавать более 60 человек в минуту. Система может быть использована для улучшения взаимодействия с гостями и безопасного контроля доступа на «живых» мероприятиях. Для регистрации человеку нужно пройти мимо датчика, который сфотографирует его и внесёт в базу данных.По словам представителей Blink Identity, технология позволит обнаружить лицо пользователя среди 50 тысяч человек и сопоставить его с фотографией из базы данных за полсекунды.  Face-Интеллект (ITV Group: Axxon Soft)Система «Face-Интеллект» позволяет проводить идентификацию по лицу в местах массового скопления людей — на вокзалах и стадионах, в аэропортах и метрополитене, а также в магазинах, ресторанах, барах и т. д. Преимущество системы состоит в том, что она способна сравнивать лица с базами данных госучреждений и правоохранительных органов, поддерживает протокол обмена данными с КАРС. «Face-Интеллект» позволяет осуществлять поиск видеозаписей с лицами, интересующими службу безопасности или правоохранительные органы, по фотографии, фотороботу или видеокадру. Система сравнивает лицо, захваченное камерой, с фотографией из базы данных СКУД. Доступ предоставляется автоматически; при низкой степени сходства решение принимает оператор.  PERCo-Web (PERCo)Производитель оборудования для обеспечения безопасности PERCo разработал веб-систему контроля доступа PERCo-Web, которая поддерживает работу с терминалами распознавания лиц Suprema и ZKTeco. Алгоритмы глубинного обучения терминалов позволяют собирать метаданные объекта и проводить более точную идентификацию, постоянно увеличивая скорость распознавания путём накопления характеристик объекта. Терминалы подключаются по интерфейсу Ethernet. Данные сотрудников могут быть оперативно добавлены в систему как основной или дополнительный идентификатор. Все события проходов через терминалы сохраняются в системе PERCo-Web. При необходимости в системе можно настроить алгоритм реакций, например уведомление при входе сотрудника, поступающее оператору. Для усиления мер безопасности на критически важных объектах система может быть использована совместно с другими методами идентификации.  ПАК «Визирь» — СКУД на базе технологий компьютерного зренияКомплексное решение для заказчиков любого масштаба, поставляется «под ключ», с наличием всех необходимых сертификатов. Построено на базе российского алгоритма распознавания лиц, зарекомендовавшего себя в десятках проектов по всей России. Исключает возможность мошенничества с помощью обмена пропусками, передачи пропуска лицам, не являющимся сотрудниками компании. Предотвращает проникновение на объект нежелательных лиц (сопоставление с «чёрным списком»), лиц с подозрением на инфекционное заболевание (измерение температуры). Решение обеспечивает бесконтактный проход на объект для снижения рисков заражений в условиях неблагоприятной эпидемиологической ситуации, выявляет факты нарушения трудовой дисциплины (контроль времени прихода / ухода сотрудников). В ПАК «Визирь» включена технология антиспуфинга — Liveness Detection (предотвращает атаки и попытки взлома). Продукт имеет хорошо документированный API с поддержкой большого количества методов (более 60) для решения любых задач, имеет готовые интеграционные модули для СКУД и билетно-кассовых систем ведущих вендоров. Форма ушной раковиныВ отличие от многих других биометрических методов, для которых требуются специальные камеры, эти биометрические системы измеряют акустику уха с помощью специальных наушников и неслышимых звуковых волн. Микрофон внутри каждого наушника измеряет то, каким образом звуковые волны отражаются от ушной раковины и расходятся в разных направлениях в зависимости от изгибов слухового прохода. Цифровая копия формы уха преобразуется в биометрический шаблон для дальнейшего использования.На текущий момент коммерческие аналоги пока ещё недоступны, однако ведутся многочисленные исследования в этой области. Весной 2015 года в Yahoo Labs предложили идентифицировать владельца смартфона по его ушным раковинам. В том же году патент на подобное изобретение получила компания Amazon. ГолосТехнология распознавания голоса попадает в сферы и физиологических, и поведенческих биометрических данных. С физиологической точки зрения такие системы распознают форму голосового тракта человека, включая нос, рот и гортань, определяют производимый звук. С поведенческой точки зрения они фиксируют то, как человек что-то говорит — вариации движений, тон, темп, акцент и т. д., что также является уникальным для каждого человека. Объединение данных физической и поведенческой биометрии создаёт точную голосовую подпись, хотя могут возникать некоторые несоответствия (например, в случае болезни или действия других факторов).  ArmorVox (Auraya)Омниканальный голосовой биометрический процессор от компании Auraya представляет собой запатентованную технологию голосовой биометрии, разработанную с использованием алгоритмов машинного обучения. Система позволяет проводить идентификацию и проверку голоса в цифровых приложениях, браузерах, роботах AI, голосовых помощниках, чате, контакт-центре, IVR и других цифровых каналах.Клиенты могут варьировать параметры безопасности — например, установить базовый уровень защиты для всех или повышенный её уровень для отдельных пользователей. ArmorVox может сопоставлять образцы на одном сервере в режиме реального времени со скоростью более 125 млн голосов в час.EVA на базе ArmorVox используется облачным сервисом Amazon Connect. Система представляет собой простое в использовании облачное голосовое биометрическое расширение для цифровых каналов, обеспечивающее идентификацию и проверку голоса, а также предоставляющее возможности по обнаружению мошенничества.  IDVoice (ID R&D)IDVoice от ID R&D — это управляемое при помощи искусственного интеллекта голосовое биометрическое ядро, которое осуществляет распознавание по голосу. Продукт построен на свёрточной нейронной сети и усовершенствованной технологии извлечения характеристик голоса, занимая первое место в рейтинге ведущих тестов отрасли.В данный момент IDVoice уже интегрирован в приложения для мобильного банкинга и программное обеспечение колл-центров для упрощения распознавания и предотвращения мошенничества.Чтобы обеспечить более быстрое внедрение и интеграцию корпоративными разработчиками, IDVoice может быть реализован на C ++, Python и Java и поставляется в виде образа Docker для гибких облачных развёртываний. IDVoice поддерживается платформами iOS, Android, Linux и Windows, что делает его универсальным для мобильных устройств, серверов, частных облаков и устройств интернета вещей. ТермограммаТермограмма — это представление инфракрасной энергии в виде изображения распределения температуры. Биометрическая термография лица фиксирует тепловые узоры, вызванные движением крови под кожей. Поскольку кровеносные сосуды каждого человека неповторимы, соответствующие термограммы также уникальны даже среди однояйцевых близнецов, что делает этот метод биометрической верификации даже более точным, чем традиционное распознавание лиц.  ESTONE FSAC-80 (Estone Technology)Компания Estone Technology запустила интегрированную систему инфракрасного теплового измерения температуры, распознавания лиц и определения состояния человека для контроля доступа в офисных зданиях, гостиницах, транспорте и других областях.Тепловизор с искусственным интеллектом ESTONE FSAC-80 проводит сегментирование изображения и сканирование сегментов, благодаря чему обеспечивает быстрое и точное определение температуры с точностью до 0,5 °C. Когда камера сканирует температуру тела, на ЖК-экране отображается видимый предупреждающий сигнал (и звуковое оповещение), а операционная система автоматически сохраняет изображение теплограммы человека. В данный момент разработка является особенно востребованной на рынке, так как помимо идентификации она позволяет выявить потенциальных больных COVID-19. ДНКДНК издавна использовалась в качестве метода идентификации. Кроме того, это — единственная форма биометрии, которая может отслеживать семейные связи. Сопоставление ДНК особенно ценно при работе с пропавшими без вести, выявлении жертв катастроф и потенциальной торговли людьми. Кроме того, помимо отпечатков пальцев, ДНК — единственный биометрический объект, который невозможно непреднамеренно «забыть». ДНК, собранная из волос, слюны и т. д., содержит последовательности коротких тандемных повторов (англ. short tandem repeat sequences, STR). С их помощью можно однозначно подтвердить личность, сравнивая их с другими STR в базе данных.В настоящее время технология мало представлена на биометрическом рынке. ДНК считается идеальной биометрической характеристикой, но её недостаток заключается в том, что однояйцевые близнецы будут иметь одну и ту же ДНК. Поведенческие системыПринципы поведенческой биометрии основаны на особенностях движения человека и его поведенческих характеристиках. Ниже перечислены основные виды поведенческой биометрии. Рисунок 1. Типы поведенческих биометрических систем  ПоходкаБиометрия походки фиксирует шаблоны шагов с помощью видеоизображения, а затем преобразует сопоставленные данные в математическое уравнение. Этот тип биометрических данных является ненавязчивым и незаметным, что делает его идеальным для массового наблюдения за толпой. Также преимуществом является то, что эти системы могут быстро идентифицировать людей издалека.Технология может быть очень полезной для использования в магазинах, банках и других организациях — например, для выявления возможных преступников. На данный момент одними из наиболее успешных разработок были названы SFootBD (Манчестерский университет) и технология китайской компании Watrix.  SFootBD (University of Manchester)При помощи нейронных сетей эта система находит особые закономерности в движениях человека при ходьбе, позволяющие распознавать личность. SFootBD, по заявлениям учёных-разработчиков, является в 380 раз более точной по сравнению с предыдущими методами.Во время ходьбы каждого человека можно выделить примерно 24 различных параметра движения. Разрабатывая систему, исследовательская группа собрала базу данных, состоящую из 20 тысяч «сигнальных» шагов от более чем 120 человек. Походка изучалась при помощи камеры высокого разрешения и напольных датчиков, фиксирующих давление при ходьбе. Система ИИ анализировала распределение веса, скорость походки и трёхмерные показатели каждого стиля ходьбы. Результаты показали, что в среднем система выдавала почти стопроцентную точность при идентификации людей. Частота ошибок составила 0,07 процента.  WatrixТехнология распознавания походки Watrix загружает видеоклип с изображением идущего человека, вырезает силуэт и создаёт модель его ходьбы. Компания планирует стать первой в мире, которая начнёт использовать технологию распознавания походки в коммерческих целях. Хотя Watrix утверждает, что её технология обеспечивает точность в 94 %, анализ не проводится в режиме реального времени. Следует отметить, что эти утверждения не были подтверждены независимыми экспертами, а эффективность программного обеспечения всё ещё остается неизвестной. Движение губЭто — одна из новейших форм биометрической верификации. Подобно тому, как глухой человек может отслеживать движение губ, чтобы определить сказанное, биометрические системы фиксируют активность мышц вокруг рта, чтобы сформировать шаблон их движения. Биометрические датчики такого рода часто требуют воспроизведения пользователем пароля, чтобы определить соответствующие движения губ, а затем на основе сравнения с записанным шаблоном предоставить или запретить доступ.На сегодняшний день одним из самых известных подобных решений является разработка учёных из Гонконгского баптистского университета (HKBU), которая пока ещё не вышла на рынок для коммерческого применения.  Lip password (Hong Kong Baptist University, HKBU)Согласно заявлению HKBU, система может подтвердить личность пользователя, сопоставив содержание пароля с «основными поведенческими характеристиками движения губ». Исследователи считают, что этот метод распознавания может иметь преимущество перед классическими биометрическими датчиками. Если пароль, сгенерированный биометрическим датчиком, скомпрометирован, сам метод генерации пароля перестаёт быть безопасным, поскольку отпечаток пальца или форма уха не могут быть изменены. Однако с помощью идентификации движения губ новый функциональный пароль можно создать просто произнеся другую фразу. На данный момент устройство находится на этапе разработки и пока ещё не анонсировано для коммерческого использования. ПодписьРаспознавание подписи — это поведенческая биометрическая система, которая измеряет пространственные координаты, давление пера, его наклон и ход как в автономных, так и в интерактивных приложениях. Цифровой планшет записывает измерения, а затем использует эту информацию в ходе автоматического создания биометрического профиля для будущей верификации.В настоящее время для ввода подписи используются планшеты, которые автоматически фиксируют положение ручки в разные моменты времени, углы наклона и давление, оказываемое на планшет.  SIGNificant Biometric Server (Namirial GmbH)Технология, называемая «SIGNificant Biometric Server», обеспечивает биометрическую проверку подписи в режиме реального времени на платформе SIGNificant путём сравнения биометрических параметров собственноручной подписи с предварительно зарегистрированным профилем. Документы обрабатываются только в том случае, если подписывающие их лица верифицированы.Основная идея SIGNificant Biometric Engine — преобразование движения руки в математическую структуру, называемую личным профилем. Это преобразование — одностороннее, т. е. обратная операция практически невозможна. Движение пера измеряется четырьмя способами (по горизонтали и вертикали, траектории движения, давлению, углу наклона). Для создания личного профиля система потребует примерно 4—6 попыток подписи. Клиентам доступны три типа настроек безопасности. Система также обладает технологией машинного обучения, что позволяет всё более точно проводить распознавание пользователей по мере увеличения количества попыток входа в систему. Нажатие клавишДинамика нажатия клавиш выводит стандартные пароли на новый уровень, отслеживая ритм их ввода. Такие датчики могут реагировать на время, затрачиваемое на нажатие каждой клавиши, задержки между клавишами, количество символов, вводимых за минуту, и так далее. Шаблоны нажатия клавиш работают вместе с паролями и PIN-кодами для повышения уровня безопасности.  TypingDNAРумынский стартап TypingDNA позволит распознавать людей по манере печатания. С помощью собственной технологии компания планирует укрепить онлайн-безопасность без ущерба для удобства работы пользователей. По словам создателей, технология обеспечивает высокую точность сопоставления при работе со всего одним предыдущим образцом набора текста.API верификации TypingDNA регистрирует нажатия клавиш пользователем в стандартизированном формате с открытым исходным кодом, что позволяет легко и просто интегрировать его в любое настольное или мобильное приложение. Разработчики могут реализовать API TypingDNA в качестве варианта пассивной двухфакторной верификации, метода восстановления пароля или просто для обеспечения соответствия входных данных заданному пользователю. SDK разработчика TypingDNA для мобильных устройств в настоящее время также поддерживает последние версии приложений для iOS и Android.TypingDNA соответствует требованиям ACE (Automated Commercial Environment) для онлайн-проверки студентов. Европейское банковское управление подтвердило, что ввод биометрических данных соответствует требованиям SCA (двухфакторная идентификация в банковском деле и платежах в ЕС); как следствие, разработки компании пользуются большим спросом со стороны отрасли. Мультимодальные биометрические системыБиометрию рассматривают и как мультимодальную технологию. Сочетание нескольких типов измерений позволяет повысить и уровень безопасности, и эффективность работы систем идентификации. Поэтому в последнее время всё больше компаний предлагают мультимодальные биометрические системы, а потребители ориентируются на комплексные решения.  Smart Authentications (CPqD)Бразильская компания CPqD запустила продукт Smart Authentications в партнёрстве с IBM. Платформа CPqD сочетает распознавание лица и голоса для аутентификации пользователей в сфере банковского обслуживания и электронной коммерции. Программное обеспечение позволяет осуществлять работу системы почти с любого устройства.  VoiceKey.PLATFORM (Группа компаний ЦРТ)VoiceKey.PLATFORM — мультифункциональная платформа, предназначенная для создания высоконагруженных систем с использованием целого стека AI-технологий: биометрии, распознавания и синтеза речи, акустических событий. Решение позволяет отказаться от PIN-кодов и паролей, а алгоритмы защиты от взлома с помощью аудио- и видеозаписи — liveness detection, «определение живого человека» — дают возможность выявлять мошенников и повышать уровень безопасности.  Единая биометрическая система (Ростелеком)Единая биометрическая система (ЕБС) представляет собой цифровую платформу, которая была разработана компанией «Ростелеком» по инициативе Министерства связи и массовых коммуникаций РФ и Центрального банка РФ. Система позволяет осуществлять идентификацию по голосу и изображению лица. Вместе с логином и паролем от «Госуслуг» система наделяет банки возможностью без личного присутствия гражданина открыть ему счёт или вклад, предоставить кредит. Со временем планируется провести масштабирование системы и в другие отрасли, например телемедицину или дистанционное обучение. ПрименениеДавайте рассмотрим наиболее распространённые области применения биометрических систем идентификации:Правоохранительные органы и общественная безопасность: выявление преступников / подозреваемых.Военная отрасль: идентификация противника / союзника.Финансовый сектор: идентификация и мониторинг пользователей банковского обслуживания / страхования.Государственный сектор: системы электронных документов, содержащие биометрические данные (электронные паспорта и удостоверения, водительские права и т. п.).Пограничный, туристический и миграционный контроль: идентификация путешественников, мигрантов, пассажиров.Здравоохранение и социальное обеспечение: идентификация пациентов и медицинских работников, получателей социальной помощи.Ритейл: идентификация и мониторинг потребителей / покупателей.Конечно, область применения биометрических технологий не ограничивается вышеперечисленными пунктами. Однако стоит отметить, что на данный момент этот вид технологий больше всего используется в военной отрасли и банкинге.По данным специалистов Comparitech, во многих странах, в особенности в Китае, Пакистане, Малайзии, США и Индии, в последние годы очень активно ведётся сбор биометрических данных. К сожалению, говорить о контроле их безопасности со стороны правоохранительных органов можно далеко не везде. В Китае, как упоминалось ранее, уже был ряд случаев утечки биометрических данных.В Ирландии, Португалии, Великобритании, Румынии и на Кипре сбор такой информации ведётся не так активно и скорость распространения биометрических технологий не так высока. Однако благодаря действию «Общего регламента по защите данных» (GDPR) с безопасностью дела там обстоят лучше. Россия на данный момент вместе с Канадой, Японией и Аргентиной занимает позицию «середнячка». ВыводыБиометрические системы распознавания всё больше внедряются в нашу жизнь, во многом облегчая её и упрощая процессы получения доступа. Они также помогают крупному бизнесу автоматизировать процессы поведенческого анализа и обнаруживать потенциальных злоумышленников, оказываясь незаменимыми помощниками в дополнение к традиционным методам защиты.Однако, несмотря на все вышеописанные преимущества, стоит также упомянуть и о недостатках биометрических систем. К сожалению, биометрическая информация, как и любая другая, уязвима. Банки, больницы и любые другие учреждения то и дело подвергаются хакерским атакам, и часть информации попадает в руки злоумышленников. Но одно дело, если это — стандартные логин и пароль, а другое — если речь идёт о биометрических данных. Ведь пароль можно сменить, а палец или радужку глаза — нет. В последнем случае при компрометации данных злоумышленник получает доступ ко всем активам с биометрической верификацией.Также биометрические системы бывают технологически несовершенны. Например, сотрудникам Vkansee удалось обмануть систему Touch ID при помощи пластилина, а Цутому Мацумото, известный японский криптограф и эксперт по безопасности, проделал подобную операцию и вовсе при помощи мишки из мармелада. Вносят свой негативный вклад и штампы из популярных фильмов, где сканеры взламывают буквально посредством пудры и скотча. Неудивительно, что общество смотрит на биометрические системы с определённой степенью недоверия.Вследствие наличия уязвимостей вроде описанных выше, а также из-за отсутствия надёжных систем безопасности большинство компаний — потенциальных заказчиков пока ещё не готово к масштабному переходу на биометрию повсеместно. Очевидно, что широкое применение подобных систем сопряжено с высоким уровнем риска. Остаётся лишь ожидать от их разработчиков, что те усилят меры безопасности для повышения доверия к своим продуктам, и наблюдать за развитием рынка биометрии. Читать далее
    • AM_Bot
      Управление привилегированными учётными записями обычно выходит за рамки проекта и возможностей систем класса IGA (Identity Governance and Administration). C одной стороны, это разумно — в силу специфики привилегированного доступа и потенциальных возможностей его обладателей. С другой стороны, базовые процессы пересмотра (ресертификации), своевременной блокировки доступа, назначения ответственных (владельцев) и др., которые по умолчанию имеются в системе IGA, зачастую отсутствуют в комплексах управления привилегированным доступом. Восполнить этот пробел призван модуль Privileged Account Governance (PAG) от компании One Identity.  ВведениеО привилегированном доступеСистема One Identity SafeguardМодуль интеграции Privileged Account Governance (PAG)4.1. Управление привилегированными учётными записями в One Identity Manager4.1.1. Устройства (Appliances)4.1.2. Учётные записи пользователей (User accounts)4.1.3. Группы пользователей (User groups)4.1.4. Активы (Assets)4.1.5. Группы активов (Asset groups)4.1.6. Учётные записи актива (Asset accounts)4.1.7. Учётные записи каталогов (Directory accounts)4.1.8. Группы учётных записей (Account groups)4.1.9. Полномочия (Entitlements)4.2. Привязка учётной записи пользователя в системе PAM к карточке сотрудника4.3. Запрос привилегированного доступа из портала самообслуживания IT Shop4.4. ОтчётыВыводы ВведениеДанной публикацией мы продолжаем обзор системы управления идентификационными данными и доступом One Identity Manager.В первой части обзора нами были рассмотрены история продукта и его функциональные возможности, детально описан портал самообслуживания как основное рабочее средство для сотрудников компании (рядовых пользователей, их руководителей, а также сотрудников отдела информационной безопасности и аудиторов).Во второй части мы рассказали об архитектуре решения, среде настройки и разработки коннекторов и средствах конфигурирования системы в целом.Третью часть обзора мы посвятили более детальному описанию возможностей One Identity Manager по интеграции с системой SAP R/3, широко используемой на российском и мировом рынке, и функциональности по разделению полномочий (Segregation of Duties).Ниже мы рассмотрим основные возможности модуля Privileged Account Governance (PAG), входящего в состав продукта One Identity Manager. Этот программный модуль предназначен для интеграции с системами управления привилегированным доступом (в IT-индустрии класс таких систем именуют Privileged Access Management — PAM). Наш обзор мы будем вести применительно к собственному PAM-решению компании One Identity — системе Safeguard. О привилегированном доступеПрежде чем начать обзор, необходимо сказать несколько слов об управлении доступом (сотрудников компании к информационным ресурсам организации, в которой они работают) в целом. Доступ сотрудников можно условно разделить на два типа:стандартный (набор учётных записей и полномочий, выданных сотруднику для выполнения должностных обязанностей);привилегированный (набор повышенных прав доступа, вплоть до административных — для настройки и обслуживания информационных систем и оборудования IT-инфраструктуры компании).Для управления доступом первого типа используются решения класса Identity Governance and Administration (IGA). Управление происходит централизованно, при помощи настраиваемой ролевой модели (Role-based Access Control — RBAC), через запросы доступа с последующим согласованием, посредством автоматизированных процессов аттестации / ресертификации — всё это мы подробно рассматривали в первой и второй частях обзора One Identity Manager.Проблема состоит в том, что второй тип доступа — привилегированный — в большинстве случаев не покрывается системой IGA. Для управления привилегированным доступом часто используют отдельные решения (класса Privileged Access Management — PAM), никак не связанные с системой IGA. Таким образом очень важная по своим потенциальным возможностям часть всех доступов хоть и контролируется через PAM, но всё равно выпадает из системы централизованного контроля и управления (IGA). Это происходит в силу того, что в PAM-системе обычно заводятся отдельные учётные записи для администраторов разных уровней и ведутся уникальные индивидуальные наборы доступов для каждой из них; там также присутствует необходимость поведенческого контроля действий администраторов (User Behavior Analytics — UBA), чего нет в системе IGA.Восполнить этот пробел призван механизм интеграции систем IGA и PAM — модуль Privileged Account Governance (PAG), входящий в стандартную поставку решения One Identity Manager. Система One Identity SafeguardНесколько слов также скажем о PAM-решении компании One Identity. В 2018 году One Identity приобрела Balabit — известного и популярного производителя продуктов в сфере информационной безопасности, таких как Session Control Box или syslog-ng, и интегрировала его разработки в своё собственное PAM-решение — Safeguard. В частности, Session Control Box превратился в модуль Safeguard for Privileged Sessions (SPS), а функции аналитики — в Safeguard for Privileged Analytics (SPA). О том и другом будет подробнее сказано ниже.One Identity Safeguard — это решение, сочетающее в себе возможности безопасного хранения паролей привилегированных учётных записей, а также мониторинга и записи «админских» сессий. Оно представлено в виде аппаратного (hardware appliance) или программного (virtual appliance) комплекса и состоит из двух основных независимых, но интегрирующихся между собой модулей:Safeguard for Privileged Passwords (SPP) — автоматизирует процессы запросов и процедуры предоставления привилегированного доступа с использованием ролевой модели и политик безопасности компании. Safeguard for Privileged Passwords позволяет организовать полноценную систему управления жизненным циклом паролей привилегированных учётных записей (включая встроенные, такие как «administrator», «root», «supervisor» и проч.) — запрос, согласование, утверждение, смена, ротация (на регулярной основе), отзыв и т. д. Система имеет свой собственный пользовательский портал для запроса и получения доступа. Также имеется в наличии мобильное приложение для утверждения запросов пользователей.Safeguard for Privileged Sessions (SPS) — с помощью этого модуля можно контролировать, отслеживать и записывать привилегированные сессии администраторов, подрядчиков и других пользователей, представляющих высокий уровень риска. Вся активность в рамках сессии (вплоть до нажатия клавиш, движений мыши и просмотра окон) записывается, индексируется и сохраняется в защищённых от несанкционированного доступа журналах аудита. Сессии можно просматривать как видеоролики и искать по любому слову, которое появлялось на экране пользователя. С помощью Safeguard for Privileged Sessions также можно контролировать вредоносные действия администраторов и блокировать команды, подвергающие опасности инфраструктуру компании.Отдельно опишем ещё один модуль PAM-системы One Identity — Safeguard for Privileged Analytics (SPA). Этот модуль используется совместно с модулем записи «админских» сессий (Safeguard for Privileged Sessions) и позволяет выявлять аномалии в поведении пользователей (UBA), находить и пресекать ранее неизвестные типы внутренних и внешних угроз. Алгоритмы продукта умеют выявлять отклонения от базовой линии поведения конкретного пользователя, исследуя динамику нажатия клавиш и движения мыши, время и место начала сессии, продолжительность сеанса. Эти и другие параметры служат для непрерывной биометрической аутентификации пользователей и помогают выявлять инциденты в области безопасности. Safeguard for Privileged Analytics также оценивает уровень потенциального риска каждого пользователя для принятия превентивных мер в отношении первоочередных угроз. Модульинтеграции Privileged Account Governance (PAG)PAM-решение One Identity Safeguard интегрируется с IGA-системой One Identity Manager при помощи стандартного модуля (PAG), входящего в комплект поставки последней. После активации модуля и настройки подключения к системе Safeguard становятся возможными следующие типовые сценарии:Автоматическое назначение доступа в PAM-систему из системы IGA. Например, для вновь принятого на работу сотрудника (или для уже существующего) в случае его приёма / перевода в «Отдел системного администрирования» можно автоматически создать учётную запись в PAM-системе (локальную или связанную с аккаунтом сотрудника в каталоге Active Directory) и / или добавить его учётную запись в ту или иную группу в той же PAM-системе (с группами могут быть связаны те или иные полномочия и политики привилегированного доступа, определяющие, к каким активам, аккаунтам, сессиям, в какое время и т. п. сотрудник сможет запрашивать привилегированный доступ). При увольнении или переходе в другой отдел учётную запись и весь доступ в PAM-системе можно автоматически заблокировать (удалить).Периодическая аттестация / ресертификация всех сотрудников (и их полномочий), у которых есть доступ в PAM-систему. Про функциональность аттестаций мы рассказывали в первой части обзора One Identity Manager. Здесь же отметим, что для аттестации / ресертификации привилегированного доступа используются тот же самый механизм и те же средства настройки, что и для стандартного доступа сотрудников.Показать всю полноту доступов конкретного сотрудника — как стандартного, так и привилегированного, с подробной информацией о том, откуда тот или иной доступ взялся — в виде отчётов и графических схем.Выявить неиспользуемый привилегированный доступ (например, сотрудник не заходил в PAM-систему в течение 6 месяцев — вероятно, его права нужно пересмотреть / заблокировать), а также учётные записи в PAM-системе, не привязанные ни к какому сотруднику (т. е. не имеющие владельца, «бесхозные»).Автоматическое создание учётных записей в PAM-системе и добавление их в нужные группы можно гибко настроить, используя ролевую модель, которая ведётся в решении IGA (бизнес-роли), и /или организационно-штатную структуру компании.В дополнение рядовые сотрудники могут запрашивать привилегированный доступ к системам (временно или на постоянной основе), используя портал самообслуживания IGA-решения — точно так же, как они запрашивают любой другой, стандартный доступ. При одобрении заявки (через настроенный процесс согласования) создание для них учётных записей в PAM-системе и добавление аккаунтов в те или иные группы доступа произойдёт автоматически.Считаем необходимым также упомянуть возможность системы Safeguard предоставлять доступ при помощи как локальных учётных записей и групп (т. е. когда для сотрудника создаётся локальная учётная запись в PAM-системе, которую он использует для авторизации в ней и запроса паролей привилегированных аккаунтов и сессий), так и взятых из каталога Active Directory. Другими словами, система одновременно поддерживает работу и автономно, и через интеграцию с корпоративным каталогом AD.В свою очередь, модуль Privileged Account Governance (PAG) обеспечивает функционирование в обоих режимах «из коробки». Управление привилегированными учётными записями в One Identity ManagerИнтерфейс системы управления привилегированным доступом One Identity Safeguard на данный момент — англоязычный. Он позволяет проводить настройку типовых объектов (элементов) PAM-системы, таких как пользователи, привилегированные учётные записи, группы пользователей, группы учётных записей, активы, группы активов, полномочия, политики доступа и др. Рисунок 1. Интерфейс PAM-системы One Identity Safeguard  При подключении PAM-системы One Identity Safeguard к IGA-решению One Identity Manager посредством модуля Privileged Account Governance (PAG) объекты PAM-системы отображаются следующим образом (см. иллюстрации ниже). Устройства (Appliances) Рисунок 2. Устройства системы PAM — отображение в административной консоли One Identity Manager  Показывает все виртуальные или «железные» устройства (appliances), составляющие основу системы PAM и её объекты. Учётные записи пользователей (User accounts) Рисунок 3. Локальная учётная запись пользователя в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 4. Свойства локальной учётной записи пользователя в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 5. Права доступа в свойствах локальной учётной записи пользователя в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 6. Учётная запись пользователя в системе PAM, связанная с Active Directory — отображение в административной консоли One Identity Manager  Группы пользователей (User groups) Рисунок 7. Локальная группа в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 8. Свойства локальной группы в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 9. Группа в системе PAM, связанная с Active Directory — отображение в административной консоли One Identity Manager  Рисунок 10. Свойства группы в системе PAM, связанной с Active Directory — отображение в административной консоли One Identity Manager  Активы (Assets) Рисунок 11. Активы, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager  Показывает все устройства (серверы, сетевое оборудование и пр.), привилегированными учётными записями которых управляет система PAM. Рисунок 12. Свойства активов, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager  Группы активов (Asset groups) Рисунок 13. Группы активов — отображение в административной консоли One Identity Manager  Рисунок 14. Свойства группы активов — отображение в административной консоли One Identity Manager  Учётные записи актива (Asset accounts) Рисунок 15. Привилегированные учётные записи на активах, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager  Показывает привилегированные учётные записи на устройствах (серверах, сетевом оборудовании и пр.), которыми управляет система PAM. Рисунок 16. Свойства привилегированных учётных записей на активах, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager  Учётные записи каталогов (Directory accounts) Рисунок 17. Учётные записи Active Directory, связанные с PAM-системой — отображение в административной консоли One Identity Manager  Показывает все привилегированные учётные записи Active Directory, которыми управляет система PAM. Группы учётных записей (Account groups) Рисунок 18. Группы привилегированных учётных записей на активах — отображение в административной консоли One Identity Manager  Полномочия (Entitlements) Рисунок 19. Объекты полномочий в системе PAM — отображение в административной консоли One Identity Manager  Показывает, какие полномочия выданы каким пользователям (группам) в системе PAM и какие политики доступа связаны с этими правами. Привязка учётной записи пользователя в системе PAM к карточке сотрудникаВся полнота доступа пользователя представлена на одной картинке. Отображается карточка сотрудника с привязкой всех имеющихся у него учётных записей, включая аккаунт в системе PAM. Рисунок 20. Привязка учётной записи пользователя в системе PAM к карточке сотрудника в системе IGA — отображение в административной консоли One Identity Manager  Запрос привилегированного доступа из портала самообслуживания IT ShopИз портала самообслуживания One Identity Manager можно запрашивать:Привилегированные сессии к системам (RDP, SSH, Telnet и др.).Пароли привилегированных учётных записей.Создание новой учётной записи в PAM-системе для сотрудника.Добавление учётной записи в PAM-системе в те или иные группы PAM.Ниже приведено несколько примеров таких запросов. Рисунок 21. Запрос RDP-сессии из портала самообслуживания One Identity Manager  После отправки запроса и прохождения настроенной процедуры согласования запросившее лицо получает уведомление по электронной почте с прямой ссылкой на открытие сессии RDP (без необходимости ввода пароля привилегированной учётной записи). Рисунок 22. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager  После отправки запроса и прохождения процедуры согласования сотрудник получит уведомление по электронной почте со ссылкой в систему PAM, где он сможет получить текущий пароль запрашиваемой привилегированной учётной записи. Рисунок 23. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager — продолжение  При запросе указывается дополнительная информация: пароль какой привилегированной учётной записи нужен и на каком активе (сервере, сетевом устройстве и т. п.). Рисунок 24. Запрос создания учётной записи в системе PAM из портала самообслуживания One Identity Manager  После отправки запроса и прохождения процедуры согласования для сотрудника автоматически будет создана учётная запись в системе PAM. Вся история запроса и его согласования будет бессрочно храниться в системе IGA. Рисунок 25. Запрос членства в группе PAM из портала самообслуживания One Identity Manager  После отправки запроса и прохождения процедуры согласования учётная запись пользователя (которая принадлежит сотруднику, запросившему доступ) в системе PAM будет добавлена в запрошенную группу; таким образом сотрудник получит доступ к тем или иным активам / привилегированным учётным записям. Отчёты Рисунок 26. Пример отчёта «Неиспользуемые учётные записи» — показывает сотрудников, которые не заходили в систему PAM в течение последних N месяцев  Рисунок 27. Пример отчёта «Неиспользуемые учётные записи» — продолжение  Рисунок 28. Пример отчёта «Висячие учётные записи» — показывает аккаунты в системе PAM, не связанные ни с какой карточкой сотрудника в системе IGA  Рисунок 29. Пример отчёта «Висячие учётные записи» — продолжение  ВыводыМодуль Privileged Account Governance (PAG) помимо управления стандартным доступом сотрудников компании позволяет также «взять под зонтик» и администрирование расширенных полномочий. Таким образом система управления доступом и контроля над ним (IGA) действительно становится центральной точкой, отвечающей за всю полноту доступа сотрудников к информационным ресурсам предприятия — что и является её истинным предназначением.Видео, которое наглядно демонстрирует данный тезис, вы можете посмотреть на официальном канале One Identity в YouTube. Читать далее
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.9.200.
    • Ego Dekker
      Антивирусы были обновлены до версии 13.2.18.
    • Ego Dekker
×