AM_Bot

Обзор рынка Endpoint Detection and Response (EDR)

В этой теме 2 сообщения

Обзор рынка Endpoint Detection and Response (EDR)
Для многих организаций все актуальнее становится вопрос пересмотра стратегии защиты конечных точек, традиционных средств уже становится недостаточно для противодействия современным киберугрозам. В обзоре мы расскажем о решениях нового поколения по передовой защите конечных точек от сложных угроз — Endpoint Detection and Response (EDR): почему появился новый рынок, какие тенденции на нем присутствуют, какие преимущества и особенности есть у решений от Сisco, Cyberbit, FireEye, «Лаборатории Касперского», Microsoft, Palo Alto и Symantec. ВведениеСовременные угрозы, направленные на конечные точки2.1. Рост бесфайловых (fileless) атак2.2. Потребность в дополнительной защите конечных точек2.3. Рост стоимости и сложности защиты конечных точек2.4. Рост ущерба от атак на конечные точкиМировой рынок EDR-решений3.1. Gartner3.2. Forrester3.3. IDC3.4. The Radicati GroupФункциональность решений класса EDRКраткий обзор EDR-решений, представленных на российском рынке5.1. Check Point SandBlast Agent5.2. Cisco Advanced Malware Protection5.3. Cyberbit EDR5.4. FireEye Endpoint Security5.5. Kaspersky Endpoint Detection and Response5.6. Microsoft Advanced Threat Protection в Защитнике Windows5.7. Palo Alto Networks Traps5.8. Symantec Advanced Threat ProtectionВыводы ВведениеВсе более острой проблемой для многих организаций из различных сфер деятельности становится вероятность столкновения с целенаправленными атаками, которые все чаще применяют сочетание распространенных угроз, уязвимостей нулевого дня, уникальных схем без использования вредоносного программного обеспечения, бесфайловых методов и пр. Использование решений, построенных на базе превентивных технологий, а также систем, нацеленных точечно на обнаружение сложных вредоносных активностей только в сетевом трафике, не может быть достаточным для защиты предприятия от сложносоставных целенаправленных атак. Конечные точки, включая рабочие станции, ноутбуки, серверы и смартфоны, также являются критически важными объектами контроля, так как они остаются для злоумышленников в большинстве случаев достаточно простыми и популярными точками проникновения, что повышает значимость контроля за ними.Платформы защиты конечных точек (Endpoint Protection Platform — EPP), которые обычно присутствуют на инфраструктуре у большинства организаций, отлично защищают от массовых, известных, а также и ряда неизвестных угроз, но в большинстве случаев, построенных на базе уже ранее встречающихся вредоносных программ.Со временем техники нападения киберпреступников претерпели значительные изменения. Злоумышленники стали более агрессивны в своих атакующих подходах и более совершенны в организации всех этапов процесса. А потому большое количество компаний, несмотря на использование решений по защите конечных точек (EPP), все же подвергаются компрометации. Это означает, что сегодня организациям уже необходимы дополнительные инструменты, которые помогут им эффективно обнаруживать новейшие, более сложные угрозы, с которыми уже не в состоянии справиться традиционные средства защиты, изначально не разрабатываемые против подобного рода угроз. Эти средства защиты хотя и выявляют инциденты на конечных точках, но обычно не способны определить, что поступающие предупреждения могут быть составными частями более опасной и сложной схемы, которая может повлечь за собой значимый для организации ущерб.Современная защита конечных точек нуждается в адаптации к современному ландшафту сложных угроз и должна включать функциональность по обнаружению комплексных атак, направленных на конечные точки, и быть способной оперативно реагировать на найденные инциденты (Endpoint Detection and Response — EDR).Ожидаемым результатом от внедрения EDR-решения по противодействию сложным угрозам будет организация передовой защиты конечных устройств, что приведет к заметному уменьшению поверхности комплексных целевых атак и тем самым к сокращению общего числа киберугроз.В обзоре мы расскажем о технологии EDR, о взаимодействии EDR с решениями класса EPP, а также о рынке решений данного класса в целом. Современные угрозы, направленные на конечные точкиВсе чаще и чаще появляются новости об очередном громком инциденте. Компаниям приходится признавать факт направленной на них кибератаки и подсчитывать прямые и косвенные убытки.Очевидно, что опубликованная информация об успешно проведенных атаках, направленных на различные государственные и коммерческие организации, — это всего лишь маленькая часть от их реального количества. С уверенностью можно утверждать, что количество киберинцидентов и уровень последствий от них гораздо выше, чем представляется нам в средствах массовой информации.Например, собранные цифры в ходе глобального исследования рисков информационной безопасности для бизнеса Kaspersky Lab Global Corporate IT Security Risks Survey подтверждают, что успешные кибератаки действительно обходятся дорого компаниям.  Для каждой из рассматриваемых категорий затрат были рассчитаны средние потери, которые понесли организации в России, столкнувшиеся с ИБ-инцидентами. А сумма всех категорий позволила оценить среднюю величину общего ущерба, нанесенного успешной атакой, которая составила более 16 миллионов рублей. Рисунок 1. Средние затраты компаний, столкнувшихся с ИБ-инцидентами, Kaspersky Lab Global Corporate IT Security Risks Survey, 2017 По данным исследования компании PWC, опубликованным в отчете «Глобальные тенденции информационной безопасности на 2018 год», руководители организаций, использующих системы автоматизации, признали растущую опасность киберугроз и значимость потенциальных негативных последствий от кибератак. В качестве основного возможного результата кибератаки 40% участников опроса в мире и 37% по России назвали нарушение операционной деятельности, 39% — утечку конфиденциальных данных (48% — в России), 32% — причинение вреда качеству продукции (27% — в России).В наши дни на рынке отмечается новая тенденция современных направленных атак, где злоумышленники в качестве своих жертв выбирают уже не только крупные организации, но и цели поменьше и все чаще используют небольшие организации в цепочке атаки на крупные компании. Злоумышленники становятся более аккуратными к затратам на подготовку атак и стремятся как можно сильнее минимизировать расходы, вследствие чего стоимость организации эффективной целенаправленной атаки значительно снижается, и, соответственно, возрастает и общее количество атак в мире.Это подтверждает и статистика. По данным международного опроса, проведенного аналитическим агентством B2B International по заказу «Лаборатории Касперского», доля целенаправленных атак в 2017 году выросла на 10% по сравнению с 2016 годом и составила 23%.  Это означает, что почти четверть компаний стали жертвами этих атак и почти две трети респондентов (63%) считают, что угрозы, с которыми они столкнулись в 2017 году, стали на порядок сложнее. А 53% компаний считают, что защита их организаций рано или поздно будет взломана. В результате большинство организаций понимают, что невозможно избежать брешей в системах ИБ и вероятность столкновения с целенаправленной атакой с каждым днем возрастает.В комплексных атаках, направленных на конкретные организации, применяются: мультивекторный подход к проникновению, поиск уязвимых мест в инфраструктуре, тщательное изучение существующих средств защиты с целью их обхода, использование специально разработанного или модифицированного вредоносного кода, применение социальной инженерии, шифрования и последующей обфускации для исключения вероятности обнаружения.По данным отчета о современном ландшафте угроз SANS 2017 Threat Landscape Survey: Users on the Front Line:74% респондентов назвали одним из распространенных способов проникновения вредоносных объектов в организацию зараженные ссылки в теле электронных писем или исполняемые вредоносные файлы, распространяющиеся в виде вложений;48% респондентов выделили активацию вредоносов с зараженных веб-сайтов или самостоятельную загрузку вредоносных файлов при посещении веб-страниц;30% указали на уязвимости приложений на конечных точках пользователя и др. Рисунок 2. Vectors Threats Use to Enter Organizations, SANS 2017 Threat Landscape Survey: Users on the Front Line  По данным этого же отчета, 81% опрошенных компаний считают, что средства по защите конечных точек становятся наиболее востребованными инструментами.Наблюдая за эволюцией угроз от массовых к направленным, мы видим потребность в добавлении к автоматическому блокированию более простых угроз, продвинутое обнаружение направленных сложных угроз и в целом перестроения рынка и смене фокуса от защиты отдельных рабочих мест к обеспечению безопасности целого предприятия с привлечением не только специалистов ИТ-департамента, но и специалистов по информационной безопасности и аналитиков для дальнейшего расследования инцидентов, оперативного реагирования и поиска новейших угроз.Рассмотрим более подробно ключевые тенденции развития угроз, затрагивающие конечные точки сети.Рост бесфайловых (fileless) атакБесфайловые атаки — это атаки, которые не размещают никаких файлов на жестком диске. Отследить такого рода активности на порядок сложнее. Злоумышленники могут использовать эксплойты, макросы, скрипты и легитимные инструменты. Можно выделить несколько видов бесфайловых атак:размещение в оперативной памяти;сохранение в реестре Windows;использование доверенного программного обеспечения: инструментов Windows, различных приложений и т.п. для получения учетных данных целевых систем для вредоносных целей;атаки с использованием скриптов.С каждым годом вероятность столкновения с направленными атаками на конечных точках для организаций увеличивается. Вместо установки вредоносных исполняемых файлов, которые антивирусные движки могут без проблем оперативно находить и блокировать, злоумышленники используют различные комбинации с применением бесфайловых методов, заражая конечные точки и не оставляя при этом артефактов, которые можно было бы обнаружить в ста процентах случаев антивирусом.Опрос CISOs Investigate: Endpoint Security by Security Current, в котором были включены отзывы руководителей по информационной безопасности, которые уже используют решения по продвинутой защите конечных точек или только планируют, а также ответы проанкетированных производителей этих решений показали, что противодействие бесфайловым атакам на конечных точках является одним из главных атрибутов информационной безопасности, на который стоит обратить особое внимание. Рисунок 3. Top 10 Endpoint security attributes, CISOs Investigate: Endpoint Security by Security Current, 2017 По данным опрошенных организаций, 29% нападений, с которыми они столкнулись в течение 2017 года, были бесфайловыми, что на 9% больше, чем годом ранее. New Ponemon Institute прогнозируют, что эта пропорция продолжит расти, и в 2018 году бесфайловые атаки составят 35% от общего количества всех прогнозируемых атак. Рисунок 4. График роста бесфайловых атак, New Ponemon Institute, 2017Потребность в дополнительной защите конечных точекБольшое количество успешных бесфайловых атак еще больше подрывает доверие организаций к их существующим защитным средствам. Согласно отчету аналитического агентства Forrester по заказу Google за 2017 год Rethink Enterprise Endpoint Security In The Cloud Computing Era, более половины мировых предприятий (53%) столкнулись в течение года по меньшей мере с одним фактом компрометации или нарушением на стороне конечных устройств, несмотря на использование технологий защиты. Стоит отметить, что более трех четвертей обнародованных случаев на инфраструктуре, связанных с компрометацией, касались бесфайловых методов. Проведенное глобальное исследование также показало, что предприятия начали активно рассматривать продвинутые инструменты по обнаружению и аналитике сложных угроз на конечных точках. 48% компаний считают приоритетным для себя повысить эффективность обнаружения сложных угроз на конечных точках, а 42% планируют улучшить аналитику. В результате всё больше организаций начинают задумываться о дополнительных инвестициях в новые продвинутые технологии по защите конечных точек, в решения класса EDR. Рисунок 5. Данные по приоритетным направлениям защиты конечных точек, Rethink Enterprise Endpoint Security In The Cloud Computing Era, Forrester, 2017Рост стоимости и сложности защиты конечных точек  Контроль всех конечных точек, взаимодействующих с ресурсами компании, становится все более сложным процессом, поскольку их количество и разнообразие растет с огромной скоростью. Почти три из четырех респондентов (73%) исследования New Ponemon Institute отметили, что для их организации стало более сложным и трудоемким процессом контролировать конечные точки, и при этом только треть респондентов указали, что они обладают достаточным количеством собственных ресурсов для мониторинга и управления рабочими станциями и серверами и еще меньше для расследования инцидентов и оперативного реагирования.Согласно информации, предоставленной в отчете «Новые угрозы — новые подходы: готовность к риску для защиты от сложных атак» от «Лаборатории Касперского» за 2017 год, становится очевидным недостаток квалифицированных специалистов по реагированию на инциденты и отсутствие у многих компаний собственных экспертов, что вынуждает прибегать к сторонней помощи для ликвидации последствий атак. 40% российских респондентов сообщили, что кибератака заставила их обратиться к услугам сторонних консультантов, способных разобраться с угрозой. В сегменте крупного бизнеса 48% компаний отметили, что им требуется больше ИБ-специалистов в противовес ИТ-специалистам общего профиля.Компании, планирующие использовать функциональность по обнаружению сложных угроз на конечных точках, сталкиваются с тем фактом, что значительная часть из них не обладает необходимыми знаниями и ресурсами для полномасштабного развертывания EDR-решения или его надлежащего использования.Переход от простого администрирования ИТ-отделом решений EPP к необходимости привлечения соответствующих ресурсов ИТ-безопасности при использовании EDR-решений приводит к потребности в инженерах по безопасности и аналитиках угроз с достаточным уровнем знаний и опыта, чтобы обеспечить максимальную пользу от внедрения EDR.Это могут быть внутренние обученные сотрудники или привлеченные эксперты в рамках различных сервисов, понимающие, как извлечь выгоду из платформы EDR и организовать эффективный процесс реагирования на инциденты.По данным отчета Cisco по информационной безопасности за 2017 год, в России организации начинают предпочитать внешние услуги, например, 35% крупных корпораций пользуются внешними услугами по реагированию на инциденты, а 39% сервисами по аналитике угроз. Рисунок 6. Процент крупных корпораций, использующих внешние услуги, Cisco Systems, 2017Рост ущерба от атак на конечные точкиИсходя из цифр, которые предоставляет нам New Ponemon Institute, в среднем за 2017 год компании потеряли из-за успешных атак, в которых злоумышленники обошли существующие системы безопасности конечных точек, в общей сложности более 5 миллионов долларов (средняя стоимость 301 доллар США на одного сотрудника), что является значительной цифрой и говорит о том, что современные компании нуждаются в пересмотре своей стратегии защиты конечных точек. Рисунок 7. Стоимость атак на конечные точки сети, New Ponemon Institute, 2017  Мировой рынок EDR-решенийНесмотря на популярность традиционных средств защиты конечных точек, многие организации тем не менее рассматривают и добавляют новые технологические возможности поверх своих EPP-решений, чтобы повысить качество обнаружения сложных угроз и ускорить процесс реагирования на них, уменьшая тем самым вероятность возникновения успешных атак и разрушительного влияния на бизнес.Как мы видим, в обеспечении безопасности конечных точек на рынке присутствуют две разные категории средств: предотвращение/блокирование угроз (EPP) и расширенное обнаружение и реагирование (EDR). Объединяющим элементом этих решений, в большинстве случаев, выступает антивирусный движок, который для систем класса EPP работает в режиме блокировки, а для EDR служит одним из движков, ориентированным на обнаружение сложных угроз в комплексе с другими детектирующими механизмами, такими как: IoC-сканирование, Yara-правила, песочница (поддерживают не все производители в рамках своих EDR-решений), доступ к Threat Intelligence и пр.Отдельно стоит отметить, что в решениях класса EPP включена еще функциональность по контролю приложений и устройств, веб-контролю, оценке уязвимостей, патч-менеджменту, URL-фильтрации, шифрованию, межсетевому экранированию и пр. Рисунок 8. The Endpoint Security Continuum, ESG: Redefining Next-generation Endpoint Security Solutions Как мы видим, каждая из систем EPP и EDR сочетает в себе то, что отсутствует (или частично присутствует) в другой системе и что безусловно приводит к необходимости и важности взаимодействия этих решений. У EPP и EDR есть общая цель по противодействию угрозам, для достижения которой эти продукты используют различные подходы и функциональные возможности. Синергия использования этих решений ведет к общему более глобальному подходу защиты конечных точек.В момент появления полнофункциональных самостоятельных систем класса EDR рынок решений по защите конечных точек был разделен на поставщиков, которые обеспечивают автоматическое предотвращение, и на тех, которые обеспечивают продвинутое обнаружение и реагирование. Хотя стоит отметить, что у пары-тройки вендоров на тот момент в портфеле уже присутствовали оба класса решений — и EPP, и EDR, но позиционировались они как совсем отдельные продукты.Со временем произошли изменения, и большинство поставщиков начали объединять свои подходы в обеспечении как продвинутого обнаружения, так и предотвращения. Рынок решений данного класса активно развивается и формируется. Некоторые из поставщиков решений класса EPP выпустили собственные новые продукты класса EDR для получения полной картины по защите конечных устройств, другие просто доработали решения для предоставления возможности взаимодействия со сторонними поставщиками, как EPP, так и EDR-решений соответственно. Тенденция объединения решений EPP и EDR хороша для потребителей этих технологий и, вероятнее всего, продолжит развиваться в этом направлении, что должно привести к более глубокому взаимодействию этих решений. Например, к использованию единого агента на конечных точках, если это еще не реализовано в рамках одного производителя двух технологий, так и к более прозрачному взаимодействию по передаче вердиктов из EDR в EPP-решения и пр.Рынок все еще находится на стадии формирования. По прогнозу аналитического агентства Gartner, принимая во внимание растущую потребность в быстром и эффективном обнаружении и оперативном реагировании на передовые угрозы на конечных точках, рынок EDR-решений будет стремительно расти. В настоящее время агенты EDR-решений установлены примерно на 40 миллионах конечных точек (менее чем у 6% от общей базы конечных устройств). По оценкам Gartner, совокупные расходы организаций на решения EDR будут расти и к 2020 году составят около 1,5 млрд долларов США. Это при совокупном среднегодовом темпе роста в 45.3%, что заметно быстрее, чем прогноз совокупного среднегодового темпа роста в 2.6% для рынка решений EPP, а также чем в 7.0% для общего рынка решений по ИБ. Рисунок 9. EDR Market vs EPP Market, Gartner, CS Communications Infrastructure Team, Credit Suisse Research Аналитические агентства, вслед за формирующимися тенденциями рынка, перестраиваются в сторону формирования единых отчетов по защите конечных устройств (EPP+EDR), и уже почти каждый либо упоминает про EDR-функциональность, либо уже добавил в свои сравнительные анализы как полноценный критерий оценки.Ведущие аналитические агентства в своих отчетах упоминают следующих производителей по защите конечных точек с включенной EDR-функциональностью. Рассмотрим кратко основные из них. GartnerАналитическое агентство Gartner в ноябре 2017 года выпустило отдельный обзор рынка по EDR: Market Guide for Endpoint Detection and Response Solutions, где детально описаны направления EDR-рынка, деление, тренды и прочее.В разделе Representative Vendors EDR-обзора Gartner для возможности представления масштаба рынка перечисляет следующих представителей этого рынка решений в алфавитном порядке: Carbon Black, Check Point Software Technologies, Cisco, CounterTack, CrowdStrike, Cyberbit, Cybereason, Cynet, CyTech Services, Digital Guardian, Endgame, enSilo, ESET, Fidelis Cybersecurity, FireEye, G Data Software, IBM, Kaspersky Lab, Malwarebytes, McAfee, Microsoft, OpenText (Guidance), RSA Security, Secdo, SentinelOne, Sophos, Symantec, Tanium, Trend Micro, WatchGuard, Ziften.Также стоит отметить, что в этом обзоре Gartner начинает упоминать о важности взаимодействия решений классов EDR и EPP и, соответственно, об адаптивной стратегии: Prevent (предотвращение), Detect (обнаружение), Respond (реагирование), Predict (прогнозирование). Рисунок 10. EDR Functionality, Gartner Market Guide for Endpoint Detection and Response Solutions, 2017 В январе 2018 год Gartner опубликовывает обновленную редакцию своего Магического квадранта Endpoint Protection Platforms по поставщикам решений по защите конечных устройств, где представляет полностью скорректированное определение решений класса EPP. Теперь под решениями класса EPP он понимает решения, предназначенные для контроля и блокирования угроз на конечных точках, а также продвинутого обнаружения сложных угроз и обеспечения оперативного реагирования на инциденты. Это означает, что магический квадрант Endpoint Protection Platforms за 2018 год включает решения класса EPP с включенной функциональностью EDR.Gartner выделяет следующих производителей, находящихся в квадранте лидеров, и те компании, которые остались на один шаг от лидерства: Symantec, Sophos, Trend Micro, Kaspersky Lab, CrowdStrike. Рисунок 11. Gartner Magic Quadrant for Endpoint Protection Platforms, 2018  В апреле 2018 года Gartner выпустил еще один отчет касательно платформ защиты конечных точек — Critical Capabilities for Endpoint Protection Platforms, где была проведена оценка по пятибалльной шкале каждого выделенного функционального критерия. В оценке принял участие 21 производитель. Важно отметить, что Gartner в отчете относит две из девяти критически необходимых возможностей решений к EDR-технологии — это EDR Core Functionality (базовая функциональность EDR) и EDR Advanced Response (продвинутое реагирование EDR). Со всеми критериями оценки и представленными аналитическим агентством результатами в табличной форме вы можете ознакомиться в самостоятельном порядке. ForresterМеждународное аналитическое агентство Forrester в своем отчете The Forrester Wave™: Endpoint Security Suites за 2 квартал 2018 года частично учитывает функциональность решений класса EDR, а именно в оценке присутствует следующая функциональность с учетом также функциональности систем класса EPP: automated prevention, detection, remediation, full endpoint visibility, automation, orchestration.Лидерами по отчету Forrester являются: Bitdefender, Check Point, CrowdStrike, ESET, Sophos, Symantec, Trend Micro. К сильным игрокам на рынке Forrester причисляет следующие компании: Carbon Black, Cisco, Cylance, Kaspersky Lab, Malwarebytes, McAfee, Microsoft. Рисунок 12. The Forrester Wave™: Endpoint Security Suites, Q2 2018 IDCМеждународная исследовательская и консалтинговая компания IDC в своем отчете Endpoint Specialized Threat Analysis and Protection (STAP) Vendor Assessment отмечает следующих лидеров: Carbon Black, Cisco Systems, CrowdStrike, Cylance, McAfee, Symantec, Trend Micro. Рисунок 13. IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017  The Radicati GroupНекоторые аналитические агентства, например The Radicati Group, сравнивают комплексные подходы к противодействию сложным угрозам, включая как сеть, так и конечные устройства, и в своем отчете Advanced Persistent Threat (APT) Protection — Market Quadrant 2018 оценивают поставщиков комплексных Anti-APT решений в соответствии со списком основных функций и возможностей, с которым вы всегда можете ознакомиться детально, изучив отчет. Отдельно выделяется критерий сравнения по предоставлению решением EDR-функциональности или возможность взаимодействия со сторонними продуктами класса EDR. Особое внимание уделяется возможностям систем EDR по передаче собранной информации с конечных устройств в централизованную базу данных для дополнительного анализа и объединения этой информации с данными, полученными от других средств обнаружения угроз, например, на сети для получения полной картины развития возникающих угроз на всей инфраструктуре.The Radicati Group отмечает на рынке решений по защите от APT угроз (Advanced Persistent Threat Protection) следующие компании: Barracuda Networks, Cisco, FireEye, Forcepoint, Fortinet, Kaspersky Lab, McAfee, Microsoft, Palo Alto Networks, Sophos, Symantec, Webroot. Рисунок 14. Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018 Функциональность решений класса EDRВ этом разделе остановимся более подробно на функциональных возможностях решений Endpoint Detection and Response (EDR).Современные решения класса EDR позволяют:обеспечивать мониторинг конечных точек в режиме реального времени и представлять наглядную визуализацию активностей всех рабочих станций и серверов в корпоративной инфраструктуре из единой консоли;эффективно обнаруживать и приоритизировать инциденты информационной безопасности по мере их возникновения на конечных точках;записывать и хранить информацию по активностям на конечных точках для последующего расследования комплексных инцидентов;предоставлять необходимую информацию специалистам ИБ для оперативного расследования инцидентов;реагировать на инциденты, обеспечивая их сдерживание, а также помогают в восстановлении рабочих станций в исходное до инцидента состояние;поддерживать возможность взаимодействия с решениями класса EPP. Рисунок 15. Основные функциональные блоки решений класса EDR Рассмотрим далее более подробно каждый из блоков.НаглядностьРешение EDR позволяет проводить наблюдение за всеми действиями конечных точек, например, установка нового программного обеспечения, скачивание файлов, повышение уровня привилегий учетных записей, а также изменения в запущенных процессах, в сетевой активности, в поведении пользователей и др.Детальный мониторинг всех процессов, запущенных на рабочих станциях и серверах, а также их взаимодействие, например, с исполняемыми файлами и корпоративными приложениями, позволяет организациям получать наглядную картину всего происходящего. А именно отслеживать подозрительное поведение, фиксировать несанкционированный доступ и иные злонамеренные действия. В случае инцидента можно проверить эти данные и понять, на каких пользователей была направлена атака, какие системы могли быть скомпрометированы и какая информация могла пострадать.Решение EDR отслеживает запуск программ и позволяет определять местоположение вредоносных объектов в корпоративной сети, а также предоставлять информацию о выполняемых ими действиях.Когда файл попадает на конечную точку, EDR продолжает наблюдать, анализировать и записывать всю активность файла, независимо от его расположения. Если в какой-то момент в будущем будут обнаружены следы атаки, решение может предоставить всю записанную историю поведения используемого в атаке вредоноса: откуда появился, где был, что делал и прочее. Эта информация поможет увидеть всю цепочку процесса и оперативно принять меры по реагированию.ОбнаружениеКрайне важно обнаружить развивающуюся атаку как можно быстрее, до того, как она нанесет серьезный ущерб организации. Решения EDR позволяют обнаружить сложносоставные атаки на их ранних стадиях, используя комбинацию различных механизмов поиска и методов анализа неизвестных угроз, в том числе построенных на базе машинного обучения и поведенческого анализа.  Методы обнаружения:IoC-сканированиеEDR осуществляет поиск индикаторов компрометации на конечных точках и их проверку путем периодического или постоянного сканирования всех конечных точек по списку известных артефактов (например, хэши файлов, IP-адреса, имена доменов, значения реестра и пр.). Загрузка в EDR индикаторов компрометации, полученных из внутренних или внешних баз данных об угрозах или других источников, например, через рассылку от ФинЦЕРТ, позволяет организациям оперативно обнаруживать и реагировать на угрозы, а также задавать автоматические правила их предотвращения.Антивирусный модульФункциональность антивируса по проверке файлов на предмет наличия вредоносной составляющей с помощью сигнатурного, эвристического методов анализа.Обнаружение аномального поведенияНетипичные изменения в поведении или базовой конфигурации могут указывать на угрозу. Регистрация таких событий помогает идентифицировать угрозы и предоставлять, например, информацию о том, когда произошел инцидент и какие изменения или последствия произошли в результате вредоносных действий, вызванных обнаруженной направленной атакой и пр.ПесочницаНекоторые производители в рамках своих EDR-решений поддерживают функциональность песочницы или взаимодействуют с отдельными решениями данного класса. Подозрительные файлы, требующие дополнительного анализа, могут быть автоматически загружены в специально выделенную среду для их безопасного исполнения и вынесения соответствующего вердикта на основании поведения файла. В случае подтверждения факта вредоносности файла песочницей файл сразу может быть заблокирован на всех рабочих станциях в сети.Threat IntelligenceВ зависимости от конкретного производителя решения ЕDR могут взаимодействовать с собственной Threat Intelegence (TI) и/или сторонними сервисами по предоставлению доступа к TI, позволяя получать данные об угрозах, доверенных объектах и паттернах поведения. Подобное взаимодействие с TI позволяет более оперативно реагировать на глобальные угрозы.ДругиеНапример, использование YARA-правил для сканирования объектов, механизма проверки валидности подписанных сертификатов и пр.Ретроспективный анализПоиск информации о действиях вредоносных объектов в прошлом, о том, какие системы, машины, файлы подвергались воздействию зловредного кода и прочее – эти данные значительно облегчают процесс комплексного расследования инцидентов.КорреляцияEDR позволяет сопоставлять различные данные и события с разных конечных точек в единый инцидент для дальнейшего расследования и реагирования, используя для проведения корреляции получаемую телеметрию в режиме реального времени, исторические данные и вердикты от механизмов обнаружения.Расследование Быстрый доступ ко всем данным с конечных точек и к информации об активностях позволяет аналитикам выполнять комплексное расследование и глубокий анализ источников угроз.EDR может собирать разнообразные данные, например,Метаданные с конечных точекIP, MAC, DNS-именаПодключенные USB-устройстваСетевые данныеТаблицы DNS и ARPОткрытые порты и связанные процессыСетевые подключенияПросматриваемые URL-адресаДанные процессовПотоки и метаданные запущенных процессовСлужбы WindowsСобытия операционной системыСобытия доступа к реестру и доступа к дискуДругие данныеСобытия загрузки DLLАктивные драйверы устройств и загруженные модули ядраРасширение браузера и историяИстория команд CMD и PowerShellEDR консолидирует данные о событиях, последовательность которых привела к обнаружению действующей атаки на конечных точках. Визуализация всей хронологии событий позволяет оперативно расследовать инциденты.EDR предоставляет подробные сведения о каждой обнаруженной угрозе, например,как угроза проникла в инфраструктуру организации;список затронутых рабочих станций и серверов;информация об изменениях в затронутых атакой конечных точках;запускаемые приложения;созданные в ходе атаки файлы;загруженные файлы и пр.EDR предоставляет возможность приоритизировать инциденты, в зависимости от критичности событий, путем анализа полученных данных и их корреляции, что позволяет специалистам сосредоточиться в первую очередь на самых релевантных сложным атакам инцидентах и оперативно реагировать на обнаруженные угрозы.РеагированиеШирокий набор инструментов позволяет специалистам по информационной безопасности просматривать события, оценивать масштаб нарушений и определять все затронутые конечные точки. Решения EDR позволяют обеспечивать сдерживание сложносоставных инцидентов, устраняя угрозы на отдельных конечных точках, и их последствий без воздействия на работу пользователей.В случае обнаружения вредоносной активности информация об инциденте оперативно передается администратору. Используя централизованную консоль управления, специалист может принять следующие ответные меры:остановка работающих вредоносных процессов;карантин файлов;изолирование зараженных рабочих станций;проведение необходимых удаленных действий с файлами и реестром;блокировка подключений конечных точек к злонамеренным доменам, URL- и IP-адресам;сбор криминалистических артефактов (образ оперативной памяти, образ жесткого диска);восстановление рабочих мест в предынфекционное состояние.ПредотвращениеНаличие решений класса EPP, построенных на базе превентивных технологий, ориентированных на обнаружение и автоматическую блокировку известных угроз, очевидно вредоносных объектов, а также части неизвестных угроз, помогают устранить необходимость анализа большого количества инцидентов, которые не имеют отношения к сложным атакам, тем самым повышая эффективность EDR-платформ, направленных на обнаружение сложных угроз. Решения EDR, в свою очередь, могут отправлять вердикты в EPP-решения и тем самым обеспечить действительно комплексный подход к противодействию передовым угрозам.ИнтеграцияРешения по обнаружению сложных угроз на конечных точках и реагирования на них, кроме взаимодействия с решениями класса EPP, должны быть способны встраиваться в более широкую инфраструктуру информационной безопасности организаций. Поддержка возможности взаимодействия с существующими средствами ИБ, например, с системами по обнаружению сложных угроз на сети, с песочницей в случае отсутствия встроенной в решение EDR, с инструментами по расследованию и пр. Немаловажно, чтобы решение поддерживало открытый API для интеграции с SIEM/SOC для обогащения этих систем информацией и предоставления дополнительных возможностей для мониторинга и проведения расследований. EDR-решения помогают SIEM, выступая источником логов и событий, предоставляя при этом уже проанализированную и нужную информацию для проведения корреляции с информацией, получаемой от иных источников.Экспертиза Разумеется, важно иметь инструменты, необходимые для надлежащего обнаружения и реагирования, однако и этого в наше время становится недостаточно для противостояния современным угрозам, во главе которых стоят люди, руководящие всем процессом подготовки и проведения самых сложносоставных направленных атак. Организации, использующие EDR-решения, также нуждаются в выделенных квалифицированных кадрах. Чтобы постоянно оставаться в курсе нынешнего ландшафта угроз, применять знания для поиска угроз внутри сети и понимать, как эффективно использовать специализированные наборы инструментов, нужна глубокая экспертиза в этой области, как внутренняя, так и внешняя.Некоторые компании при использовании инструментов по обнаружению и реагированию на передовые угрозы на конечных точках предпочтут задействовать в полном объеме свои собственные ресурсы и только в случае острой необходимости частично привлекать внешних специалистов и использовать сторонние сервисы. В этом случае усиление экспертизы внутри организации может строиться на прохождении различных обучающих программ по повышению квалификации специалистов ИБ, а также путем доступа к информационному порталу угроз, получению потоков данных об угрозах и различных аналитических отчетов, которые обычно предоставляют производители решений по противодействию передовым угрозам.Для перегруженных или недостаточно укомплектованных специалистами компаний будет привлекательным использовать в большей степени сторонние профессиональные услуги, такие как: сервисы реагирования на инциденты, активный поиск угроз, анализ вредоносных программ, использованных в рамках атаки, сервис по цифровой криминалистике, устранение последствий и иные необходимые экспертные сервисы.СоответствиеРешения данного класса призваны помочь организациям в соблюдении требований внутренних служб ИБ, внешних регулирующих органов и действующего законодательства в сфере ИБ.В частности, решения должны быть нацеленными на соответствие требованиям N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и указа Президента РФ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Тем самым помогать в обнаружении компьютерных атак, в агрегации и анализе информации, установлении причин возникновения инцидентов, реагировании на них, а также ликвидации последствий.Роль EDR становится еще важнее для тех компаний, которые должны соответствовать требованиям стандартов банковской отрасли, PCI DSS, нормативным требованиям GDPR и др. благодаря включенной функциональности по постоянному мониторингу и записи инцидентов.Для организаций, у которых остро стоит вопрос необходимости соответствия строгим политикам конфиденциальности по обработке критичных данных, на рынке присутствуют EDR-решения, которые могут предоставлять вариант полностью изолированного режима работы решения, без передачи данных за пределы контролируемого периметра организации. Краткий обзор EDR-решений, представленных на российском рынкеНа западном рынке класс решений EDR уже давно нашел практическое применение, тогда как на российском рынке внедренные решения данного класса встречаются редко и пока являются скорее лишь предметом обсуждения, нежели реально используемым инструментом.В данный обзор мы включили производителей EDR-решений, которые были оценены аналитическими агентствами на достаточно высоком уровне в своих сравнительных анализах и которые представлены на российском рынке. Check Point SandBlast AgentРешение SandBlast Agent от компании Check Point Software Technologies объединяет в себе комплекс продвинутых технологий превентивной защиты (EPP), реагирования, расследования, лечения (EDR) и проактивного (ретроспективного) поиска угроз на конечных станциях (Threat Hunting).SandBlast Agent является частью единого модульного агентского решения Check Point Endpoint Security, включающего также функции традиционных средств защиты, таких как проверка состояния станции (Compliance), контроль приложений, сетевой активности и защита данных на жестком диске и съемных носителях.Однако, модули SandBlast Agent может применяться и самостоятельно для защиты от новых угроз, полностью заменяя традиционные антивирусные продукты  или дополняя их (интеграция с Kaspersky, Trend Micro, Symantec, и др.) Рисунок 16. Дерево процессов в отчете Forensics от SandBlast Agent Один агент SandBlast Agent решает все основные задачи EPP+EDR, эффективно сокращая количество возможных инцидентов, время их решения и потенциальный ущерб:Предотвращение проникновения (даже если станция находится вне контролируемого периметра или не возможна инспекция SSL как при TLS 1.3)Проактивная конвертация скачиваемых пользователем документов в браузере в безопасный формат (Threat Extraction). Пользователь мгновенно получает 100% безопасную версию документов (в PDF или исходном формате), пока они проверяются в «песочнице».Перехват в браузере и динамический анализ в реальном времени в облачной или локальной «песочнице» всех скачиваемых файлов (Threat Emulation), используя  машинное обучение, техники Anti-Evasion и технологию CPU-Level Detection.Эвристический анализ содержимого посещаемых пользователем веб-страниц и блокировка новых фишинговых сайтов (ZeroPhishing).Перехват и блокировка атаки, когда она уже началасьРаннее обнаружение новых шифровальщиков с помощью приманок и по поведению непосредственно на конечной станции, блокировка вредоносных процессов и автоматическое восстановление зашифрованных файлов, включая подключенные сетевые папки (Anti-Ransomware). Агент анализирует файловые операции, не позволяет внести изменения в MBR или удалить теневые копии. Модуль Anti-Ransomware работает автономно, не требует «песочницы» и постоянного доступа к репутационным сервисам, .Блокировка эксплойтов (Anti-Exploit) для приложений, наиболее часто используемых для первоначального взлома: Microsoft Office, Adobe Reader, Flash, браузеры. Если новый эксплоит использует одну из известных техник эксплуатации уязвимости, то встроенная в защищаемый процесс DLL-ловушка терминирует процесс и атака будет остановлена в самом начале.Все новые файлы, доставленные на станцию по сети или со съемных носителей, автоматически проверяются в «песочнице» (Threat Emulation). Полученный  вердикт позволяет отправить вредоносные файлы в карантин и начать процесс лечения и расследования.Anti-Bot проверяет сетевую активность станции (включая DNS, HTTP/S запросы) и автоматически блокирует попытки подключиться к известным серверам злоумышленников (C&C).В 2018 году Check Point планирует добавить в SandBlast Agent дополнительный модуль защиты Behavioral Guard, который будет обнаруживать и блокировать новые версии ранее известных семейств вредоносов по поведению на основе машинного обучения.Автоматическое восстановление рабочей станции и расследование инцидентаМодуль Forensics автоматически логирует все изменения на рабочей станции (запуск процессов, файловые операции, ключи реестра, сетевая активность), что позволяет в момент срабатывания любой технологии защиты автоматически коррелировать события, определить между ними взаимосвязь, изолировать, откатить выполненные вредоносом изменения и построить детальный отчет для расследования инцидента.Интерактивный отчет Forensics генерируется для каждого инцидента в виде веб-сайта. Он  визуализирует не только дерево запущенных процессов,  параметры запуска и выполненные ими операции, но и такие неявные связи как инъекция кода, автозагрузка через AutoRun или планировщик Windows, раскрывается история команд Shell, PowerShell и запуска различных скриптов.Импорт сторонних индикаторов (IoC) и Threat HuntingSandBlast Agent позволяет использовать данные сторонних сервисов Threat Intelligence (например, FinCERT и ГосСОПКА) для поиска скомпрометированных станций различным индикторам, например, по хешам, IP, DNS-именам и URL.«Песочница» SandBlast анализирует файлы с рабочих станций, защищенных агентом, и позволяет импортировать сторонние IoC на языке YARA.В случае обнаружения IoC на любой из станций автоматически запускается функционал модуля Forensics, описанный выше.   Подробнее с решением Check Point Sandblast Agentможно ознакомиться здесь или в статьях Технология Check Point SandBlast Zero-Day Protection для предотвращения ранее неизвестных и целевых атак и Защита от вирусов-шифровальщиков при помощи Check Point SandBlast Agent. Cisco Advanced Malware ProtectionCisco Advanced Malware Protection (AMP) for Endpoints — самостоятельный компонент по обеспечению безопасности конечных устройств нового поколения, предоставляющий усовершенствованную защиту от сложных угроз и являющийся частью распределенной и многокомпонентной системы защиты от вредоносной активности Cisco Advanced Malware Protection, которая включает в себя компоненты для NGFW, NGIPS, почтовых шлюзов, прокси-решений, облачных сред и т. д. Решение обеспечивает непрерывный анализ и расширенную аналитику, а также поддерживает возможность отследить процессы по активностям файлов в прошлом, что позволяет понять объем заражения, выявить исходную причину и произвести восстановление. Такие инструменты, как ретроспективный анализ, взаимосвязь элементов траектории атаки, поиск нарушений с помощью поведенческого анализа, помогают специалистам по безопасности определить масштабы атак и эффективно устранять все угрозы прежде, чем будет нанесен серьезный ущерб. Рисунок 17. Интерфейс решения Cisco Advanced Malware Protection Cisco выделяет следующие ключевые функциональные возможности своего решения Cisco AMP:Предотвращение, обнаружение, реагированиеРешение Cisco AMP обеспечивает полную защиту конечных устройств, от блокирования вредоносных программ в точках входа до обнаружения, изолирования и устранения угроз повышенной сложности в случае обхода первой линии защиты и проникновения вредоноса в систему. Для обнаружения вредоносной активности используется более 10 различных движков — от сигнатур или песочницы до машинного обучения и индикаторов компрометации, от сопоставления потоков устройств и детектирования бесфайловых угроз до обнаружения угроз, использующих легальные возможности ПК (например, PowerShell), и анализа уязвимостей на компьютере, используемых вредоносным кодом.Углубленный мониторинг и записьРешение Cisco AMP для конечных устройств предоставляет возможность углубленного мониторинга активностей на уровне исполняемых файлов на всех конечных устройствах, что позволяет быстро обнаруживать сложные вредоносные программы, оценивать масштаб вторжения и незамедлительно принимать меры по устранению. При обнаружении вредоносных действий Cisco AMP отображает сохраненную историю поведения вредоноса: его источник, местонахождение и действия.Аналитика угроз и технология песочницыCisco AMP использует облачную (публичное облако Cisco или частное облако на территории заказчика) аналитику больших объемов данных, постоянно оценивая новые и исторические данные, собираемые в целях выявления скрытых атак. А также использует безопасную среду для выполнения, анализа и тестирования поведения вредоносной программы, помогая обнаруживать ранее неизвестные угрозы, угрозы нулевого дня. Расширенные функции песочницы реализуют автоматизированный статический и динамический анализ файлов, используя более 700 индикаторов поведения, что позволяет выявлять скрытые угрозыШирокий охват конечных устройствCisco AMP защищает конечные точки под управлением Windows, macOS, Android, Linux и iOS. Cisco AMP выполняет часть операций по анализу в публичном или частном облаке, а не на самих конечных устройствах, тем самым не снижая производительность устройств.Интегрированный центр управленияCisco AMP автоматически сопоставляет данные о событиях в системе безопасности из разных источников, например, события о вторжении или данные о вредоносах, чтобы помочь командам по обеспечению безопасности связать события с более крупными, скоординированными атаками. Cisco Unity позволяет собирать, анализировать, коррелировать события безопасности от компонентов Cisco AMP for Endpoints, Cisco AMP for NGFW, Cisco AMP for NGIPS, Cisco AMP for Email Security, Cisco AMP for Web Security и пр. Еще один компонент Cisco Visibility позволяет коррелировать данные об угрозах, полученные от Cisco AMP for Endpoints с событиями безопасности от других средств защиты, развернутых в корпоративной сети, а также обогащать их данными из внешних источников Threat Intelligence компании Cisco или из иных источников (например, VirusTotal). Для интеграции с решениями сторонних производителей (например, SIEM) Cisco AMP4E обладает развитым API.Подробнее с решением Cisco Advanced Malware Protection можно ознакомиться здесь. Cyberbit EDRCyberbit EDR — система обнаружения и реагирования для конечных устройств, которая обнаруживает и предотвращает появление неизвестных угроз, в том числе программ-вымогателей, за считанные секунды, а также предоставляет расширенные возможности для проведения экспертизы и обнаружения различных угроз. Благодаря машинному обучению, анализу вредоносных программ, поведенческой аналитике и больших массивов данных по событиям на ИТ-сети Cyberbit EDR может быстро находить угрозы, с которыми не справляются традиционные системы ИБ, и автоматизировать процесс обнаружения угроз, экономя при этом рабочее время аналитиков. Рисунок 18. Интерфейс решения Cyberbit EDR Cyberbit выделяет следующие функциональные преимущества в отношении своего решения Cyberbit EDR:Обнаружение неизвестных целевых атак в реальном времениПлатформа Cyberbit EDR использует алгоритмы машинного обучения, которые обеспечивают возможность обнаружения целевых атак, которые не удается определить с помощью традиционных средств ИБ. Автоматизируя в значительной степени процесс обнаружения следов атак, недокументированных вложений, что помогает ИБ-аналитикам экономить время на расследование.Анализ угрозАнализ угроз с помощью инструментов анализа Big Data и экспертизы обеспечивает быстрый доступ к предварительно обработанным детализированным данным для более эффективного контроля и быстрого обнаружения.Быстрое реагирование, профилактика и борьба с программами-вымогателямиCyberbit EDR позволяет аналитикам легко и быстро реагировать на несанкционированные действия конкретного конечного устройства или целой сети. Платформа автоматически обнаруживает и блокирует программы-вымогатели, предотвращает шифрование и обеспечивает резервное копирование важных данных, прежде чем будет нанесен ущерб.Тем самым позволяет сократить время, отводимое на процесс ручного анализа, за счет просмотра всего сюжета инцидента, осуществляемого с целью выявления его первопричины и принятия ответных действий и предупредительных мер.Повышение эффективности работы командыCyberbit EDR определяет приоритет угроз, отфильтровывает ложные срабатывания и визуализирует результаты автоматизированного поиска угроз, для возможности эффективного реагирования на наиболее актуальные угрозы, с минимальным отвлечением специалистов.Открытая и настраиваемая платформаCyberbit предоставляет расширенный API для настройки пользовательских интерфейсов, дополнительных функций, и импорта/экспорта данных в продукты сторонних разработчиков.Подробнее с решением Cyberbit EDR можно ознакомиться здесь. FireEye Endpoint SecurityFireEye Endpoint Security — защита рабочих станций от современных киберугроз. Обеспечивает сотрудников информационной безопасности надежным инструментом для обнаружения, анализа и расследования инцидентов в кратчайшие сроки по сравнению с традиционными подходами. Решение позволяет быстро и точно принимать меры относительно событий на конечных станциях, а также позволяет объединить активности, которые производятся на уровне сети и на уровне рабочих мест, что позволяет сократить временные затраты на восстановление в связи с инцидентом информационной безопасности. Рисунок 19. Интерфейс решения FireEye Endpoint Security Основные функциональные возможности, которые FireEye выделяет в своем решении FireEye Endpoint Security:Мониторинг и подтверждение угрозподтверждение угроз, обнаруженных сетевыми устройствами путем корреляции их с событиями на рабочих станциях;мониторинг всех хостов на предмет угроз, обнаруженных в периметре или идентифицированных другими платформами безопасности;запрос необходимых данных с конечной станции вплоть до полного образа диска (RAW) конечной станции;обеспечение непрерывной защиты информации за пределами корпоративной сети, даже при отсутствии доступа к интернету.Блокирование угрозблокирование взломанных рабочих станций для немедленного прерывания атаки;блокирование угроз, как с известной сигнатурой (AV), так и неизвестных по техникам эксплойта (ExploitGuard);обеспечение доступа к системе для расследования инцидента безопасности с возможностью гарантировать нормальную работу рабочей станции с доверенными IP-адресами.Интеграция с другими платформами FireEyeFireEye Endpoint Security использует индикаторы компрометации (IOC), полученные с других платформ FireEye (Email Security, Network Security, File Content Security, Malware Analysis), для оперативного обнаружения атак на конечных станциях. В процессе постоянного мониторинга всех рабочих станций, решение FireEye Endpoint Security позволяет коррелировать уведомления с сетевых устройств с событиями на рабочих местах.Подробнее с решением FireEye Endpoint Security можно ознакомиться здесь.Обзор решения FireEye Endpoint Security на нашем сайте. Kaspersky Endpoint Detection and ResponseKaspersky Endpoint Detection and Response (Kaspersky EDR) от «Лаборатории Касперского» — решение по обнаружению и реагированию на передовые киберугрозы на конечных точках. Решение предназначено для проведения глубокого анализа состояния рабочих станций и серверов. Направлено на поиск признаков возникновения инцидентов, дальнейшего их централизованного расследования и применения оперативных мер по сдерживанию распространения сложных угроз. Kaspersky EDR помогает выявить сложные угрозы, максимально быстро восстановить работоспособность затронутых рабочих станций и серверов, что позволяет сократить стоимость ликвидации инцидента и убытки от простоя.Kaspersky EDR может поставляться как отдельный продукт, так и в рамках расширения функциональных возможностей решения Kaspersky Security для бизнеса (Kaspersky Endpoint Security). Тем самым обеспечивается полный цикл защиты конечных точек, начиная от автоматического блокирования менее комплексных угроз до обнаружения и реагирования на продвинутые угрозы, без необходимости установки дополнительных агентов. Также может работать совместно с сертифицированным ФСТЭК России и ФСБ России специализированным решением по противодействию передовым угрозам и целенаправленным атакам на сети Kaspersky Anti Targeted Attack, предоставляя заказчикам единую специализированную платформу по противодействию целенаправленным атакам и передовым угрозам. Поддерживает многоуровневый контроль возможных точек проникновения в инфраструктуру включая не только сеть, почту, веб-ресурсы, но и конечные точки. Kaspersky Anti Targeted Attack и Kaspersky EDR построены на единой технологической платформе, на одной инсталляционной базе и управляются из унифицированного интерфейса. Используется единая база вердиктов и механизмов обнаружения, единый центр анализа целенаправленных атак с возможностью корреляции событий и ретроспективного анализа, что позволяет существенно сократить время на поиск и устранение сложносоставных угроз. Рисунок 20. Интерфейс решения Kaspersky Endpoint Detection and Response «Лаборатория Касперского» выделяет следующие функциональные возможности и преимущества своего решения Kaspersky Endpoint Detection and Response:Передовые возможности обнаружения на основе машинного обученияПодсистема машинного обучения и анализатор целенаправленных атак (Targeted Attack Analyzer) в Kaspersky EDR позволяют выявлять отклонения в поведении рабочих станций и процессов от исходного значения нормального поведения. А также позволяет соотносить вердикты от разных технологий анализа (антивирусный движок, IoC-сканирование, передовая песочница, Yara-правила, поиск угроз (Threat Hunting), Threat Intelligence и др.) с ретроспективными данными и телеметрией, поступающей в режиме реального времени.  Тем самым формируется многоуровневый подход к анализу угроз и выявлению потенциальных вторжений или уже развивающихся целенаправленных атак.Сбор данных и контроль Kaspersky EDR помогает специалистам ИБ собирать и анализировать огромные объемы информации, так или иначе связанной с безопасностью рабочих станций и серверов, не снижая производительности работы пользователей конечных устройств. Полученные с помощью решения сведения об инцидентах безопасности позволяют быстро принимать необходимые меры по реагированию.Адаптивное реагированиеKaspersky EDR поддерживает ряд автоматизированных ответных мер: сдерживание инцидентов, прерывание процессов, карантин и восстановление из карантина, удаление вредоносных объектов, восстановление работоспособности и пр. Оперативные меры по реагированию на инциденты уменьшают их негативное влияние на бизнес-процессы, сокращают время простоев и пр.Активный поиск угрозKaspersky EDR в режиме реального времени ищет признаки инцидентов по централизованной базе угроз и индикаторы компрометации (IoC) на каждом рабочем устройстве сети. За счет автоматизации ключевых задач по выявлению угроз и реагированию на них упрощает расследование и управление инцидентами. Вместо пассивного ожидания уведомлений специалисты могут самостоятельно искать и блокировать угрозы, проверяя конечные устройства на аномалии и нарушения безопасности. А также могут воспользоваться круглосуточным сервисом от «Лаборатории Касперского» по мониторингу и реагированию на инциденты Kaspersky Managed Protection и доступом к порталу глобальной базы аналитических данных об угрозах Kaspersky Threat Intelligence Portal.Поддержка полностью локального исполнения решения для изолированных сетей, соблюдение требованийKaspersky EDR включает локально размещаемую передовую песочницу, которая позволяет автоматически извлекать объекты с рабочих мест для глубокого анализа, работая параллельно с другими продвинутыми механизмами обнаружения. При необходимости строгого соответствия ИБ-требованиям в вопросе обработки критичных данных, «Лаборатория Касперского» может поставлять полностью изолированное решение без потери качества обнаружения, предоставляя локальную базу угроз, все преимущества облачной Threat Intelligence, без передачи данных за пределы корпоративного контура.Также Kaspersky EDR позволяет вести постоянный мониторинг и запись инцидентов, что в совокупности позволяет соблюдать строгие требования, выставляемые внешними и внутренними регуляторами, а также в частности быть нацеленным на соответствие №187-ФЗ и ГосСОПКА.Подробнее с решением Kaspersky Endpoint Detection and Response можно ознакомиться здесь или в обзоре Kaspersky Threat Management and Defense (KTMD). Часть 1 — Основные возможности и Часть 2 — Сценарии использования. Microsoft Advanced Threat Protection в Защитнике WindowsAdvanced Threat Protection (ATP) в Защитнике Windows обеспечивает профилактическую защиту от угроз, позволяет обнаруживать атаки и выявлять угрозы, в том числе эксплойты нулевого дня, используя современные возможности анализа поведения и машинного обучения.  А также предоставляет функциональность по расследованию и реагированию. Advanced Threat Protection (ATP) в Защитнике Windows глубоко интегрирован в операционную систему Windows 10 и не требует агента. Датчики поведения конечных точек, встроенные в Windows 10, собирают и обрабатывают поведенческие сигналы из операционной системы (например, процессы, реестр, файлы и сетевые подключения) и передают эти данные в изолированный облачный экземпляр ATP в Защитнике Windows. Рисунок 21. Интерфейс решения Advanced Threat Protection в Защитнике Windows Microsoft выделяет следующие функциональные возможности и преимущества своего решения Advanced Threat Protection (ATP) в Защитнике Windows:Определение расширенных атак Поддержка возможности поиска атак, которые преодолели традиционные средства защиты (обнаружение после взлома). Использование больших данных, машинного обучения и уникальной оптики Microsoft по всей экосистеме Windows позволяет преобразовывать поведенческие сигналы в аналитические данные для выявления угроз и дальнейших оповещений с предложениями рекомендуемых действий по реагированию.Расследования и устранение последствийВозможность в визуальном режиме изучать следы вторжения на конечных точках и оценки масштаба взлома, а также оперативно выполнять поиск и анализ исторических данных с клиентских устройств (до 6 месяцев). Полученные дополнительные сведения с любого компьютера при расследовании способствуют более оперативному реагированию на угрозы и предотвращению повторного заражения.Встроенная база данных аналитики угрозСистема анализа угроз, созданная специалистами Microsoft совместно с предоставленной аналитикой угроз партнерами, позволяет ATP в Защитнике Windows определять используемые злоумышленниками средства, приемы и процедуры и формировать оповещения, как только в собранных данных датчиков будут появляться какие-то сомнительные признаки.ВзаимодействиеATP в Защитнике Windows работает с существующими технологиями защиты Windows на конечных точках, таких как антивирусная программа Защитник Windows, AppLocker и Device Guard в Защитнике Windows. Поддерживается также одновременная работа со сторонними решениями безопасности и продуктами защиты от вредоносных программ.Подробнее с решением Advanced Threat Protection (ATP) в Защитнике Windows можно ознакомиться здесь. Palo Alto Networks TrapsPalo Alto Networks Traps — это решение, способное предотвращать атаки с использованием эксплойтов, вредоносных исполняемых файлов еще до выполнения каких-либо злонамеренных действий на рабочих станциях и серверах.При попытке атаки агенты Traps на рабочих станциях сразу же блокируют злонамеренные операции, завершают процесс и информируют о предотвращении угрозы. Далее Traps собирает подробные аналитические данные, включающие название вредоносного процесса, состояние памяти во время блокировки и другую информацию и предоставляет отчеты. Рисунок 22. Интерфейс решения Palo Alto Networks Endpoint Security Manager (консоль управления агентами Traps) Palo Alto Networks выделяет следующие функциональные преимущества в отношении своего решения Traps:Защита от вредоносных исполняемых файлов Traps позволяет не только защититься от эксплойтов, скрытых в файлах данных или запускаемых по сети, но и использует комплексный подход для предотвращения запуска вредоносных исполняемых файлов. Механизм Traps для защиты от вредоносных программ сочетает ограничения на базе политик, анализ файлов в песочнице WildFire™ и защитные модули, которые позволяют избежать запуска вредоносных исполняемых файлов, например криптолокеров. Одновременное использование всех методов значительно повышает уровень защиты от вредоносных программ.Анализ и предотвращение запуска исполняемых файлов с помощью WildFireИнтеграция с WildFire позволяет задавать детализированные параметры запуска и одновременно использовать динамические политики безопасности с автоматическим анализом неизвестных исполняемых файлов. Если на рабочей станции появился новый исполняемый файл, Traps может незамедлительно отправить хеш-код файла в WildFire для идентификации. Если WildFire сообщит о том, что файл является вредоносным, Traps предотвратит его запуск и не позволит этому файлу нанести какой-либо ущерб. Поскольку загружать файлы в WildFire может как Traps, так и межсетевые экраны нового поколения, происходит эффективный обмен данными об угрозах.Также благодаря интеграции с облаком песочниц WildFire клиентам доступна обширная экосистема по анализу угроз, участники которой ежедневно загружают в нее более миллиона образцов и обмениваются информацией о новых угрозах нулевого дня со всем миром. За счет автоматической загрузки и анализа неизвестных исполняемых файлов возможно анализировать каждый новый исполняемый файл на рабочей станции.Модули защиты от вредоносных программЕсли вредоносный файл все-таки запустился, его действия все равно можно заблокировать при помощи модуля защиты от вредоносных программ. В отличие от модулей предотвращения эксплойтов, защитные модули выполняют поиск стандартных алгоритмов, используемых многими типами программ-злоумышленников. Например, они предотвращают внедрение вредоносного кода в доверенные приложения.Сбор аналитических данных Обширную информацию можно получить при помощи агента Traps. Агент постоянно записывает подробные сведения по каждому запускаемому процессу. Кроме того, агент выдает предупреждения при обнаружении попыток остановить работу Traps, удалить программу или иным образом вмешаться в ее функционирование. После предотвращения атаки с рабочей станции можно собрать дополнительную информацию, например, сделать снимок памяти и зафиксировать действия, предпринятые вредоносным кодом. Сделав снимок, Traps выполняет вторичный анализ содержания инцидента и ищет в памяти возможные следы злонамеренных действий.Защита любых приложений от эксплойтов За счет того, что решение Traps отслеживает техники работы эксплойтов, а не сигнатуры отдельных экземпляров кода, оно может позволить пользователям обеспечить безопасность сотен специализированных приложений.Простота управления и минимальные затраты ресурсовАгент может оставаться полностью незаметным для конечных пользователей, не снижая производительности и не затрагивая работу программ.Важно, что решение Traps не требует постоянно его обновлять, т. к. выполняет обнаружение именно техник эксплуатации уязвимостей, а новые техники атак обнаруживают 1-2 раза в год.Дополнительно отметим, что компания Palo Alto Networks недавно приобрела израильскую компанию Secdo и планирует использовать их решение по выявлению угроз и реагированию на киберинциденты на конечных точках для усиления своего решения Traps и также для усиления позиции на рынке.Подробнее с решением Traps можно ознакомиться здесь. Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection (ATP: Endpoint) — решение по защите от сложных и целенаправленных угроз на уровне конечных точек, обеспечивающее полный цикл безопасности от предотвращения простых угроз до обнаружения и реагирования на более сложные:Блокировка угроз на различных этапах атаки с минимальным числом ложных срабатыванийВыявление аномалий и расследование подозрительных событийОперативное отражение комплексных атак и последствий от них на всех конечных точкахATP: Endpoint использует функции EDR, встроенные в продукт Symantec Endpoint Protection (SEP), без необходимости установки дополнительных агентов. Для обнаружения сложных комплексных атак в ATP: Endpoint применяются передовые технологии машинного обучения и поведенческого анализа, минимизирующие число ложных срабатываний и открывающие доступ к ресурсам глобальной сети анализа угроз GIN (Global Intelligence Network). Функциональность SEP Deception, позволяющая имитировать фейковую активность на хостах с целью приманки и обнаружения целевых атак, доступна в рамках лицензии на решение SEP.ATP: Endpoint — это часть платформы Advanced Threat Protection (ATP), которая дает возможность сопоставлять данные от других модулей по мониторингу сети и электронной почты (ATP: Endpoint, ATP: Network и ATP: Email) и автоматически устанавливать взаимосвязи между событиями для выявления сложносоставных угроз.Все компоненты решения ATP имеют также возможность отправки подозрительных файлов на анализ в облачную (Symantec CYNIC) или внутреннюю (Symantec Blue Coat) песочницу (Network Sandbox), что позволяет получать оперативную информацию по zero-minute атакам, а также синхронизировать поток данных по неизвестным угрозам между решениями безопасности внутри компании.ATP: Endpoint позволяет аналитикам не только быстро находить и изолировать зараженные конечные точки, но и исследовать угрозы с использованием локальных ресурсов или облачной изолированной среды. Непрерывная запись всех действий на конечных точках позволяет точно знать, что на них происходит, и запрашивать информацию в режиме реального времени. Решение позволяет очень быстро удалить вредоносные программы и связанные с ними артефакты с зараженных конечных точек. Рисунок 23. Интерфейс решения Symantec Advanced Threat Protection (ATP: Endpoint) Symantec выделяет следующие функциональные преимущества в отношении своего решения Symantec Advanced Threat Protection (ATP: Endpoint):Аналитика угрозОбъединяет глобальные телеметрические данные, полученные из источников аналитических данных о кибербезопасности, с локальными данными клиента на уровне конечных точек, сетей и электронной почты, что позволяет успешно обнаруживать атаки, которые невозможно выявить стандартными методами. Технология сопоставления данных Synapse объединяет аналитическую информацию из различных контрольных точек для выявления зараженных систем, требующих незамедлительного устранения угроз.Обеспечивает быстрый поиск любых артефактов атак, при необходимости подозрительные файлы могут быть извлечены из любой конечной точки для дальнейшей проверки.Расследование подозрительных событийSymantec EDR ведет постоянный анализ подозрительных действий, чтобы не упустить угрозы, которые все же смогли обойти предыдущие линии обороны. Сочетая возможности глобальной сети анализа угроз со знанием локальной конфигурации конечных точек, Symantec EDR предоставляет подробные сведения о каждой просочившейся угрозе. Symantec EDR автоматически отслеживает появление индикаторов компрометации (IoC) и предупреждает специалистов по безопасности, что на организацию предпринята целенаправленная атака. Кроме того, аналитики имеют возможность искать конкретные артефакты, проверять все конечные точки на наличие определенных IoC, включая графическую иллюстрацию взаимосвязей таких индикаторов между собой.Визуализация и быстрое исправлениеЦентрализованное представление всей необходимой информации об атаке без необходимости выполнять поиск вручную. Поддержка быстрого устранения составных компонентов атаки, включая задействованные файлы, электронные адреса, IP-адреса веб-сайтов, содержащих вредоносный код. Поддерживается возможность вести черные списки и помещать конечные точки в карантин. После обнаружения вредоносного кода Symantec EDR быстро удаляет все компоненты атаки или блокирует их исполнение на всех конечных точках. Поддерживается возможность изолирования зараженных конечных точек, а также настройка запрета на внутренние и/или внешние коммуникации.Подробнее с решением Symantec Advanced Threat Protection (ATP: Endpoint) можно ознакомиться здесь. ВыводыРабочие станции и серверы в наше время продолжают оставаться самыми популярными точками проникновения в инфраструктуру злоумышленниками при организации ими направленных атак. Популярных систем класса Endpoint Protection Platform (EPP), которые создавались во времена совершенного другого ландшафта угроз и были направлены в основном на предотвращение массовых атак, уже становится недостаточно. Эти решения не ориентированы на противодействие сложным и комплексным угрозам на конечных точках, что свидетельствует о необходимости дополнительных инвестиций в специализированные продукты класса Endpoint Detection and Response (EDR) для расширенного обнаружения на базе передовых технологий и последующего реагирования на найденные сложные угрозы. Только совместное использование этих двух технологий и баланса между собственной экспертизой и использованием сторонних сервисов позволит организациям добиться действительно высоких показателей защиты своих конечных устройств и тем самым повысить безопасность компании в целом в эпоху быстро растущего числа и сложности передовых угроз и целенаправленных атак.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за обзор, очень подробно и понятно. Из своего же опыта могу сказать, что мы для офиса заказали лицензионный Symantec Endpoint Protection. Причем на мой взгляд, это один из самых лучших вариантов. Поначалу пытались бесплатными программами пользоваться, но они явно не подходят для обеспечения корпоративной безопасности. А потом начальник поручил здесь https://softmap.ru/think-cell/think-cell-chart/ купить think cell на 20 пользователей, так как этот софт нам нужен для составления таблиц и диаграмм, и я заодно убедил его купить ПО для корпоративной защиты. Ведь это возможно, даже более важный вопрос, учитывая что у нас есть собственные наработки, которых пока нет ни у одной другой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Viktorr
      Спасибо за обзор, очень подробно и понятно. Из своего же опыта могу сказать, что мы для офиса заказали лицензионный Symantec Endpoint Protection. Причем на мой взгляд, это один из самых лучших вариантов. Поначалу пытались бесплатными программами пользоваться, но они явно не подходят для обеспечения корпоративной безопасности. А потом начальник поручил здесь https://softmap.ru/think-cell/think-cell-chart/ купить think cell на 20 пользователей, так как этот софт нам нужен для составления таблиц и диаграмм, и я заодно убедил его купить ПО для корпоративной защиты. Ведь это возможно, даже более важный вопрос, учитывая что у нас есть собственные наработки, которых пока нет ни у одной другой компании.
    • grak
      Я кредиты не беру вовсе, нету в них надобности так как в деньгах не нуждаюсь, а все потому что я зарабатываю на http://vulkanvip-casino.com/ этом портале. Хотите и вы так? Значить переходите на тот сайт и зарабатывайте.
    • AM_Bot
      Какие проблемы безопасности связаны с использованием наиболее популярных браузеров? Что следует понимать под защищенными браузерами и каковы их отличительные черты? В каких направлениях развивается сегмент рынка защищенных браузеров? Ответы на эти и другие вопросы содержатся в аналитическом обзоре рынка защищенных браузеров.    ВведениеПроблемы безопасности браузеровЧто такое защищенный браузер?Защищенные браузеры4.1. Tor Browser4.2. Waterfox4.3. Iron4.4. Comodo Dragon4.5. Brave4.6. Opera4.7. Epic4.8. Dooble Web BrowserВыводы ВведениеБраузер, пожалуй, одна из наиболее востребованных программ среди всех пользователей, независимо от возраста, профессии, социального положения. С момента появления первого браузера было разработано множество программ этого рода, и число только наиболее известных измеряется в десятках. Разработчики программ идут на всевозможные ухищрения для того чтобы привлечь внимание публики именно к своему детищу. Опыт же показывает, что легче всего завоевать сердце пользователя, предоставив ему максимально комфортные условия работы. Для этого нужно поддержать как можно больше операционных систем, веб-технологий, форматов данных и протоколов, а также реализовать как можно больше различных удобных функций. Высокая скорость загрузки страниц тоже очень нравится пользователям.В большинстве случаев браузер выбирается на основе именно этих критериев. А кто-то вообще экономит силы и либо пользуется тем, что уже есть, либо устанавливает самое популярное решение. Осознанным такой выбор назвать трудно, поскольку не все браузеры одинаково безопасны. Проблемы безопасности браузеровУпотребление признака «защищенный» в теме данного обзора может вызвать закономерный вопрос: разве не все браузеры защищенные? Без большого риска ошибиться можно предположить, что если вы прямо сейчас откроете окно настроек браузера, в котором читаете этот обзор, то легко сможете отыскать раздел вида «безопасность», «конфиденциальность» или что-то подобное.Функции безопасности, такие как защита скачиваний, фильтрация URL, запрет слежения, приватный режим, стали «мейнстримом» и взяты на вооружение Google Chrome, Internet Explorer и Mozilla Firefox. Что же в таком случае мешает рассматривать в качестве защищенных все существующие браузеры?Из ряда свидетельств в прошлом широкой общественности стало известно, что использование наиболее распространенных браузеров сопряжено с рисками безопасности. В первую очередь, подпадают под подозрение продукты, которыми владеют крупные компании. Google, Microsoft, Apple, по-видимому, принимают активное участие в программе негласного сбора информации, передаваемой по сетям электросвязи (PRISM). Браузеры по своей природе очень удобный инструмент для того, чтобы собирать данные о поведении, привычках и предпочтениях пользователей, по крайней мере, в маркетинговых целях. Разумеется, чем более широко используется браузер, тем большую ценность он представляет для корпораций и правительственных организаций в качестве поставщика сведений. Но самая большая неприятность состоит в том, что мы даже не можем получить полное представление о том, как и для чего собранные данные могут быть использованы сейчас и в будущем. Мы имеем дело с миной замедленного действия, и игнорировать факт ее существования довольно легкомысленно. Что такое защищенный браузер?Для неискушенного пользователя большинство браузеров может казаться защищенными. Но специалисты в области ИБ хорошо знают, что истинная безопасность подразумевает отказ от многих зависимостей, связанных с платформами, плагинами и любыми иными избыточными элементами для получения как можно более простого и прозрачного инструмента.Защищенным разумно считать специализированный браузер, который скорее нацелен на решение проблем конфиденциальности пользователей, предоставление ему всех возможностей по управлению, исключение сбора данных, пусть даже в ущерб комфортной работе в интернете. Теперь становится понятно, что популярность браузера ни в коей мере не свидетельствует о высоком уровне его защищенности. Более того, эти два качества скорее противоречат друг другу.В рамках обзора невозможно и нецелесообразно рассматривать все существующие решения, которые могут претендовать на право называться защищенными. Мы отобрали наиболее типичных и ярких представителей сегмента, чтобы сформировать целостную картину. Защищенные браузеры Tor BrowserВряд ли полноценный обзор защищенных браузеров может обойтись без упоминания решения Tor. Разработка браузера Tor стала своеобразным ответом на лавинообразное увеличение числа инцидентов безопасности при использовании интернета.Браузер Tor в сущности представляет собой лишь вершину айсберга. За ним кроется защищенная распределенная сеть из множества прокси-серверов, создаваемая с целью обеспечить анонимность и конфиденциальность пользователя в интернете.Работа браузера основана на простом для понимания принципе «луковичной маршрутизации» (Tor — это акроним от Onion Router). Над данными множество раз выполняется процедура шифрования по мере передачи от сервера к серверу (три выбираемых случайным образом сервера сети Tor — те самые «луковичные слои») защищенной сети Tor, а затем передаются по виртуальному каналу. И точно так же данные расшифровываются очередным «слоем» при получении.Трафик между сетью Tor и целевым ресурсом не шифруется. Поэтому если пользователь хочет передавать по интернету чувствительную информацию, по-прежнему нужно позаботиться о конфиденциальности за счет использования https или иного протокола сквозного шифрования, а также механизмов аутентификации.Кроме того, при использовании сети Tor у пользователя остается возможность посещать заблокированные сайты. Рисунок 1. Схема работы Tor  Давайте рассмотрим концепцию браузера подробнее. Tor Browser основан на специальной версии Mozilla Firefox с расширенным сроком поддержки (Extended Support Release (ESR)). Повышенный по сравнению с Firefox уровень безопасности достигается за счет следующих нововведений:применения ряда патчей для усиления конфиденциальности;изменение настроек Firefox, задаваемых по умолчанию, с акцентом на безопасность (в целом состав настроек с некоторыми исключениями совпадает с теми, что реализованы в Firefox); Рисунок 2. Настройки приватности Tor Browser по умолчанию усиление безопасности за счет использования различных расширений для безопасного просмотра веб-сайтов: HTTPS-Everywhere, NoScript, Torbutton (кстати, в настоящее время ведется работа по перенесению функциональности последнего расширения непосредственно на уровень патчей); Рисунок 3. Стандартные расширения Tor Browserиспользование подключаемых транспортных модулей (Pluggable Transports) для противодействия цензуре в интернете, которая направлена на блокирование сетей Tor по IP или с помощью механизмов фильтрации потоков трафика: Obfs3proxy, Obfs4proxy, meek, FTE. Рисунок 4. Подключаемые транспортные модули Tor Browser Актуальная на момент написания обзора версия Tor Browser 7.5.6 основана на Firefox 52.9 ESR, но уже готовится к официальному выходу версия на основе Firefox ESR 60. Поддерживаются Microsoft Windows, macOS, GNU/Linux.Очевидно, что браузер Tor особенно востребован в тех случаях, когда возникают попытки ограничить свободу в интернете. За примерами далеко ходить нет нужды, они на слуху.По умолчанию Tor Browser не сохраняет историю посещений, а cookies хранятся и используются только на время сеанса.При первом запуске Tor Browser отображается окно настроек сети Tor. Можно выполнить подключение к ней или предварительно задать настройки для подключения. Рисунок 5. Окно подключения к сети Tor В большинстве случаев достаточно нажать кнопку «Соединиться», чтобы установить подключение без конфигурирования. После этого появится полоса загрузки, наглядно отображающая текущее состояние процесса подключения. Рисунок 6. Подключение к сети Tor Кнопку «Настроить» следует нажать, если подключения к интернету подвергаются цензуре или используется прокси. Для разрешения первой проблемы браузер позволяет выбрать подключаемый транспортный модуль, а во втором случае в настройках нужно будет указать параметры прокси-сервера.Веб-сайты часто задействуют множество сторонних сервисов для взаимоувязывания и сопоставления активности пользователя на различных ресурсах. Сюда можно отнести кнопки «Нравится» в социальных сетях, аналитические трекеры, рекламные маяки и т. п. Браузер Tor включает несколько дополнительных механизмов контроля за перемещениями информации, ассоциированной с пользователем. По сути он ограничивает интерфейс взаимодействия пользователя с сервисами интернета исключительно тем веб-сайтом, что задан в адресной строке. И даже если пользователь подключается к двум разным сайтам, которые используют один и тот же сторонний сервис-трекер, браузер обеспечивает прохождение содержимого сайтов через две различные цепочки серверов. Благодаря этому трекер не будет знать, что оба подключения были установлены из браузера одного пользователя.Некоторые веб-сайты требуют вводить логин и пароль пользователя при входе. В случае с незащищенным браузером, помимо логина и пароля, зачастую раскрывается информация об IP-адресе и местоположении пользователя. С браузером Tor можно в явном виде выбирать, какая информация будет раскрыта при использовании того или иного веб-сайта.Опция «Новая личность» пригодится, если нужно предотвратить увязывание деятельности в браузере с той, что была предпринята ранее. При выборе этой опции будут закрыты все открытые вкладки и окна, очищена вся личная информация (cookies и история посещения сайтов), а также будут созданы новые цепочки для всех соединений. Рисунок 7. Управление цепочками Tor для сайтов Опция «Новая цепочка» может быть полезна, если выходной сервер не может подключиться к веб-сайту или загрузить его корректным образом. В этом случае активная вкладка или окно будут перезагружены в новой цепочке Tor.Tor Browser имеет элемент управления «Уровень безопасности», который позволяет повышать и снижать степень защищенности посредством управления набором потенциально опасных параметров. Повышение уровня может привести к тому, что некоторые страницы будут отображаться некорректно. Это своего рода плата за повышенную безопасность. Оценить приемлемый уровень безопасности достаточно просто, поскольку соответствующее окно настройки содержит всю необходимую информацию о возможных последствиях. Рисунок 8. Уровни безопасности Tor Browser Кроме того, в Tor Browser реализованы оперативные механизмы, направленные на информирование и предупреждение пользователя о потенциальных опасностях, связанных с использованием тех или иных веб-сайтов. WaterfoxУже из названия Waterfox видно, что он основан на Mozilla Firefox. Пожалуй, это наиболее известный браузер подобного рода, именно по этой причине он попал в настоящий обзор. Кроме него можно еще отметить альтернативные браузеры, основанные на коде Firefox, — Pale Moon и Basilisk.Waterfox принадлежит к числу довольно незатейливых браузеров с открытым исходным кодом. Разработчики видели одну из своих целей в создании самого быстрого браузера для 64-битных компьютеров. Waterfox  заслужил свою популярность как раз благодаря тому, что в нем была реализована поддержка 64-битных операционных систем еще в то время, когда Mozilla Firefox был 32-битным.Waterfox основан на Firefox ESR и потому поддерживает традиционные XUL-расширения Firefox и NPAPI-плагины. По сравнению с Firefox в нем изменен ряд настроек безопасности по умолчанию, в частности:отключена интеграция с веб-сервисом Pocket;отключена автоматическая отправка телеметрических данных в компанию Mozilla;отключены расширения Encrypted Media Extensions, которые требуются для работы некоторых сайтов.Следует отметить, что ощутимого прироста скорости эти улучшения на данный момент не приносят, а с точки зрения безопасности аналогичный эффект может быть получен посредством конфигурирования Firefox вручную. Рисунок 9. Настройки приватности Waterfox по умолчанию Разработчики Waterfox заявляют следующие основные преимущества браузера перед конкурентными решениями:просмотр веб-страниц без оставления следов. Waterfox автоматически удаляет с компьютера оперативную информацию пользователя (пароли, cookies, историю посещения страниц);противодействие скрытым трекерам. Waterfox оснащен защитными механизмами для автоматического блокирования скрытых трекеров, которые собирают информацию о просмотренных страницах. Это позволяет сохранить конфиденциальность пользователя и ускорить загрузку страниц. Рисунок 10. Защитные механизмы Waterfox Как это ни парадоксально, с использованием Waterfox и подобных ему браузеров связана существенная проблема безопасности. Дело в том, что обновления безопасности, выпускаемые для Firefox ESR, появляются в Waterfox с некоторым запозданием. Это объяснимо, поскольку разработчикам требуется время для того, чтобы интегрировать эти обновления в Waterfox. Однако практика показывает, что задержка может достигать двух недель. IronSRWare Iron — это основанный на Chromium браузер для защищенной работы в интернете. Создатели Iron противопоставляют свое детище Google Chrome как инструмент, впитавший в себя все лучшие качества последнего и лишенный проблем безопасности для пользователя. Основная проблема безопасности Chrome, от которой решили избавиться в Iron, заключается в отправке сведений о действиях пользователя в Google и создании идентификатора, облегчающего опознание пользователя.В свете этой позиции не должно удивлять, что в целом интерфейс Iron практически не отличается от Chrome.Проект до настоящего времени поддерживается разработчиками, новые версии выходят с небольшими перерывами каждый месяц. Последняя на момент написания статьи версия 67.0.3500.0 увидела свет 28.06.2018.Для решения проблем безопасности браузер предлагает соответствующий набор настроек конфиденциальности, расширения и настраиваемые средства разработчика.На рисунке ниже для наглядности сопоставлены настройки конфиденциальности, предоставляемые Google Chrome и SRWare Iron. Можно легко заметить, что из Iron удалены все параметры, в той или иной степени связанные со сбором и отправкой в Google информации о работе пользователя с браузером. В остальном настройки идентичны. Рисунок 11. Сравнение настроек конфиденциальности Google Chrome (слева) и SRWare Iron (справа) На официальном сайте Iron заявлено, что в отличие от Chrome, «Iron имеет встроенный блокировщик рекламы, который легко настроить с помощью конфигурационного файла». На практике явных следов наличия этого инструмента в Iron обнаружить не удалось, по умолчанию реклама не блокируется. Да и подход с настройкой браузера через конфигурационный файл представляется сомнительным.В Iron отключена служба обновления в фоновом режиме и механизмы, предположительно позволяющие каким-либо образом идентифицировать пользователя.С учетом заявленной ориентации Iron на исключение избыточных элементов вызывает удивление наличие в браузере ряда предустановленных расширений, не связанных с обеспечением безопасности. Рисунок 12. Предустановленные расширения Iron Хотя Iron позиционируется как программное обеспечение с открытым исходным кодом, тексты программ на протяжении 10 лет существования браузера так и не были опубликованы. Comodo DragonБраузер Comodo Dragon, как и Iron, основан на технологии Chromium. При этом в отличие от решения SRWare, помимо улучшений технологии Chromium в части обеспечения конфиденциальности, Comodo реализует ряд любопытных механизмов безопасности собственной разработки:валидация доменов (Domain Validation), которая идентифицирует и изолирует внешние сертификаты SSL от внутренних;отказ от использования cookies и других механизмов, потенциально опасных с точки зрения отслеживания действий пользователя;предотвращение возможности отслеживания пользовательских скачиваний.Компания Comodo достаточно широко известна в качестве разработчика различных средств защиты информации, включая антивирус и межсетевой экран, что заставляет относиться и к механизмам безопасности браузера ее разработки с должным вниманием.Уже начальное окно установки браузера выглядит очень многообещающе для всех, кто всерьез заботится о безопасности личных данных: пользователь сразу может воспользоваться предложением использовать собственные бесплатные DNS-серверы Comodo для повышения уровня защиты и даже скорости работы с интернет-ресурсами. Рисунок 13. Окно установки Comodo Dragon Пользовательский интерфейс Comodo Dragon, разумеется, очень напоминает Google Chrome.На рисунке ниже для наглядности сопоставлены параметры конфиденциальности, предоставляемые Google Chrome (слева) и Comodo Dragon (справа). Можно заметить, что в целом состав настроек совпадает. При этом обращает на себя внимание знакомый подход, связанный с исключением ряда механизмов передачи различных данных в Google. Любопытно, что в отличие от разработчиков браузера Iron, команда Comodo не считает предосудительной возможность использования веб-службы для разрешения проблем навигации. Рисунок 14. Сравнение настроек конфиденциальности Google Chrome (слева) и Comodo Dragon (справа) Помимо упоминавшейся ранее функции защищенного DNS, в Comodo Dragon добавлены опции автоматического запуска браузера в режиме инкогнито и запрета раскрытия веб-сайтам данных о том, откуда на них был осуществлен переход. Рисунок 15. Режим инкогнито в Comodo Dragon Браузер также оснащен инструментом для информирования о потенциальных утечках информации об IP/DNS. Специальный детектор позволяет понять, какая пользовательская информация может быть раскрыта при посещении веб-сайтов. Очевидно, что в общем случае эта информация впоследствии может быть использована владельцами веб-сайтов, рекламодателями, трекерами и т. п. Рисунок 16. Информирование о потенциальных утечках информации об IP/DNS в Comodo Dragon Наряду с привлекательными механизмами безопасности, подход Comodo на безальтернативной основе предусматривает также ряд сомнительных обязательств для пользователя.Во-первых, при установке браузера без ведома и, возможно, желания пользователя устанавливается антивирусное программное обеспечение, а также модуль Comodo Internet Security Essentials, призванный защитить пользователей от атак типа «человек посередине».Кстати, в этом отношении можно отметить схожий подход Яндекс.Браузера, который реализует технологию активной защиты пользователей Protect. Одним из элементов этой технологии является встроенный в браузер антивирусный модуль для проверки загружаемых файлов, позволяющий как устранять угрозы автоматически в фоновом режиме, так и отправлять информацию о подозрительных файлах и сайтах в Яндекс. Рисунок 17. Технология активной защиты пользователей Protect в Яндекс.Браузере Во-вторых, лицензия Comodo предполагает возможность сбора различных данных о пользовательской системе в целях «повышения производительности и функциональности», включая информацию об операционной системе пользователя, установленных плагинах, а также метаданные файлов, сведения о браузерах по умолчанию и многое другое. В свете борьбы с утечками информации в Google такой подход выглядит неоднозначно. BraveВ этом разделе нам предстоит кратко познакомиться со сравнительно новым (актуальная на момент написания обзора версия — 0.23.31!), но весьма многообещающим решением. Brave — это продукт с открытым исходным кодом, основанный на Chromium.Его отличительная черта, которая бросается в глаза даже при минимальном опыте использования, — высокий уровень визуализации эффектов от применения механизмов безопасности. На стартовой странице Brave отображается наглядная статистика в форме специальных счетчиков заблокированных трекеров, рекламных модулей, выполненных перенаправлений с http на https, а также сэкономленное в результате время (создатели Brave обещают загружать веб-страницы от 2 до 8 раз быстрее, чем Chrome и Safari). Рисунок 18. Счетчики Brave Кроме того, подобную статистику можно посмотреть и отдельно для каждой веб-страницы по щелчку на кнопке с изображением льва в правом верхнем углу. В этом же окне можно применительно к текущему веб-сайту оперативно управлять различными встроенными в браузер механизмами защиты (так называемыми «щитами»): параметрами блокировки рекламы и cookies, защитой отпечатка браузера др. Рисунок 19. Параметры «щита» Brave для сайта Если нужно изменить настройки «щитов» по умолчанию для всех сайтов сразу, следует внести соответствующие изменения в панели настроек браузера. Рисунок 20. Настройки «щитов» Brave для всех сайтов по умолчанию В Brave также реализованы интересные механизмы создания вкладок:от имени «новых личностей» из набора;«приватных»;«приватных» с использованием Tor.Вкладки с «новой личностью» эмулируют загрузку сайта со стороны совершенно нового пользователя. При этом для такой вкладки создается отдельный набор cookies и внутренних параметров, не доступный для остальных открытых вкладок. Использование такого механизма позволяет, например, удобно работать с несколькими учетными записями в социальных сетях или почте, и в целом препятствует предоставлению веб-сайтам информации о различных видах деятельности пользователя.«Приватные» вкладки отличаются тем, что в них не ведется история посещения страниц, а cookies очищаются при закрытии браузера.«Приватные» вкладки с Tor позволяют передавать информацию через сеть Tor. Рисунок 21. Защищенные вкладки в Brave На рисунке ниже показан набор основных настроек безопасности Brave. Особый интерес вызывает, пожалуй, экспериментальная функция повышения безопасности за счет загрузки каждого сайта в рамках отдельного процесса. Рисунок 22. Основные настройки безопасности Brave Что касается сбора персональных данных, Brave реализует технологию Anonize, которая допускает выполнение транзакций, основанных на принципе «анонимного учета». Для организации этой технологии используются криптографические методы доказательств с нулевым разглашением. OperaВозможно, включение браузера Opera в обзор кому-то покажется неочевидным шагом. Действительно, его возможности в целом хорошо известны, и он не позиционируется на рынке браузеров как решение с акцентом на безопасность.Подавляющее число настроек безопасности выглядят вполне привычно. Однако Opera все же выделяется из множества «традиционных» браузеров благодаря встроенному механизму блокировки рекламы, а самое главное — наличию VPN. Именно эти особенности заслуживают отдельного рассмотрения и во многом позволяют Opera выдерживать конкуренцию со стороны многочисленных браузеров на базе Chromium.Ранее мы уже видели пример добавления в браузер нетипичной защитной функциональности в виде антивирусного элемента в Comodo Dragon. Но если установка браузером антивируса без ведома пользователя многими воспринимается скорее как сомнительная мера и навязывание лишних услуг, то добавление возможности по желанию включать и выключать VPN смотрится вполне органично. Рисунок 23. Настройка VPN в Opera После включения VPN обращения к веб-сайтам производятся из виртуального местоположения. Для изменения виртуального местоположения можно выбрать необходимую страну из списка. Если выбрано неподходящее виртуальное местоположение, автоматически назначается оптимальное. После этого назначается новый IP-адрес.После включения VPN становится доступен флаг «обходить VPN в поисковых системах». Использование такого защитного механизма значительно проще, чем в Tor Browser, но и уровень обеспечения безопасности ниже. Рисунок 24. Виртуальное местоположение в Opera Наличие встроенных средств удаления рекламных блоков и предотвращения отслеживания действий пользователя также довольно приятная неожиданность, более свойственная узко специализированным браузерам. На сайтах, где блокировать рекламу не надо, можно в два нажатия мыши отключить блокировщик. Правда, стоит отметить, что в качестве своего рода компенсации за проявленную заботу по ограждению пользователя от избыточной информации после установки в браузере уже содержится некоторый объем рекламы в виде закладок на различные популярные ресурсы.Напомним, что в браузере поддерживается приватный режим: при закрытии приватных окон Opera удаляет связанные с ними данные, включая историю посещений, элементы в кэше, файлы cookies. Кроме того, Opera предупреждает о подозрительных страницах, проверив запрашиваемые по базе известных фишинговых и вредоносных сайтов.Наконец, при просмотре страниц через зашифрованное соединение (https://) Opera проверяет, все ли части сайта зашифрованы. Если обнаруживается, что какой-либо активный элемент на странице, например, скрипт, плагин или фрейм, обслуживается через открытое соединение (http://), всё небезопасное содержимое блокируется. Конечно, при этом страница может отображаться некорректным образом. EpicБраузер Epic, как и большинство включенных в обзор решений, основан на технологии Chromium. Разработчики видят предназначение Epic в противодействии скрытой слежке за действиями пользователей и отмечают недостатки многих распространенных на сегодняшний день механизмов защиты, включая режим «инкогнито», расширения браузера, средства VPN.Предлагаемая нашему вниманию статистика неутешительна: около 80% веб-сайтов используют один или более трекеров. В результате посещения пятидесяти наиболее популярных ресурсов на компьютер пользователя может быть установлено свыше 3000 файлов-трекеров. Рисунок 25. Статистика Epic по масштабам слежения за пользователем для популярных браузеров Решение Epic состоит в блокировании наиболее критичных каналов утечки личных данных пользователя:подсказок в адресной строке браузера и модулей отслеживания URL;информации, связанной с инсталляцией браузера;модулей отслеживания и оповещения о возникающих ошибках в работе браузера.Кроме того, Epic защищает данные о поисковых запросах, для чего в него встроено защищенное ядро поисковой системы, и блокирует множество различных видов трекеров, в том числе скрипты, cookies, агенты и т. д. Настройки конфиденциальности по умолчанию заданы таким образом, чтобы отключить все избыточные и потенциально опасные механизмы браузера, включая ведение истории, сохранение паролей, кэширование страниц, синхронизацию с серверами Google, автозаполнение и др. Рисунок 26. Настройки конфиденциальности Epic Если включить в настройках встроенный Epic-прокси, при работе в браузере скрывается IP-адрес и шифруется трафик. DNS-запросы также маршрутизируются через зашифрованный прокси. Помимо защиты истории посещений страниц, этот метод позволяет получать доступ к заблокированным веб-сайтам. Рисунок 27. Управление встроенным прокси Epic По закрытии браузера производится удаление всего массива информации, связанного с сеансом работы пользователя в интернете.Таким образом, Epic предлагает комбинированное решение по обеспечению конфиденциальности, состоящее в выборе оптимальных настроек и реализации дополнительных механизмов защиты. Dooble Web BrowserНапоследок рассмотрим, пожалуй, самое необычное из представленных в настоящем обзоре решений — кроссплатформенный браузер Dooble. 5 ноября 2017 года вышел первый релиз поколения 2.0 браузера Dooble, в котором по сравнению с предыдущими версиями было переработано практически все, начиная от логики функционирования и заканчивая иконками.Как мы уже убедились, сейчас большинство интернет-обозревателей базируются либо на Chromium, либо, в меньшей степени, на Firefox, что делает их весьма похожими между собой. Так вот, Dooble — это самостоятельный и оригинальный программный продукт, который, тем не менее, мало в чем уступает по функциональности законодателям мод. Не слишком высокий уровень популярности Dooble объясняется тем, что первые версии вызывали много нареканий, и, хотя с момента старта проекта в 2009 году утекло много воды, «осадочек остался». Основой Dooble является движок WebKit, и пользовательский интерфейс браузера следует признать довольно необычным. Рисунок 28. Пользовательский интерфейс Dooble В браузере реализовано множество полезных механизмов защиты:управление cookies, включая возможность автоматического и периодического их удаления; Рисунок 29. Управление cookies в Dooble встроенные блокировщики различного содержимого веб-страниц (кстати, плагины в браузере не поддерживаются вовсе);поддержка прокси-серверов;поддержка возможности хранения пользовательской информации в зашифрованных базах данных (при этом выбор алгоритма шифрования предоставляется пользователю, а реализация алгоритмов шифрования выполнена авторами Dooble). Рисунок 30. Настройки защищенного хранилища пользовательских данных в Dooble В целом, можно отметить, что данный продукт, по крайней мере, заслуживает большего внимания, чем ему уделяется сейчас. ВыводыВ данном материале мы познакомились с наиболее заметными представителями сегмента защищенных браузеров. При этом мы не преследовали цель провести детальное сравнение с окончательными выводами по каждому продукту.Абсолютно безопасного браузера не существует, как не существует абсолютной безопасности в принципе. Каждое из представленных решений обладает известными достоинствами и недостатками и имеет своих почитателей и критиков. Это закономерно, поскольку цели, ожидания, образ жизни людей отличаются, и, соответственно, уровень необходимой защищенности тоже не является постоянной величиной. Основной вывод состоит в том, что набор критериев выбора подходящего браузера нужно расширить, принимая во внимание риски нарушения конфиденциальности.При этом нужно отдавать себе отчет, что повышение уровня безопасности зачастую может быть сопряжено с потерей в удобстве и скорости работы в интернете. Функции автозаполнения логинов и паролей, синхронизации пользовательских данных с внешними серверами, ведения истории посещений облегчают жизнь, но отрицательно сказываются на безопасности.Как мы увидели, в настоящее время отсутствует единый подход к построению архитектуры защищенного браузера. В основном усилия разработчиков предпринимаются в следующих направлениях:взять за основу распространенное решение и удалить из него все лишние, потенциально опасные компоненты;взять за основу распространенное решение и задать в нем безопасные настройки по умолчанию;создать браузер с минимально необходимыми прикладными функциями и набором встроенных механизмов защиты.Зачастую на практике можно наблюдать различные комбинации данных подходов.Можно отметить, что рассмотренные нами продукты обеспечивают более высокий уровень безопасности по сравнению с наиболее популярными браузерами. И в связи с этим имеет смысл держать защищенные браузеры под рукой в качестве альтернативы для выполнения хотя бы наиболее чувствительных с точки зрения безопасности операций в интернете. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.