Эксперты сходятся во мнении, что обнаружение таких атак не всегда возможно с использованием только антивирусного приложения. Когда мы добавим к этому возможность заражения изнутри компании, например, запустив потенциально опасное приложение сотрудником, быстро окажется, что нам потребуется дополнительный уровень защиты для эффективного отражения современных угроз. Более того, время отклика имеет решающее значение для безопасности сети. Масштаб последствий, которые он может оказать на корпоративную сеть, зависит от того, сколько времени нам потребуется для обнаружения и устранения вируса. Здесь пригодятся решения класса EDR.
Обнаружение и реагирование на конечные точки (EDR) - это относительно новая категория систем сетевой безопасности, которая позволяет обнаруживать сетевые атаки на начальном этапе. Система EDR обеспечивает видимость угроз на уровне аномалий в «поведении» процессов, запущенных на конечных точках, и помогает определить, когда и где началась атака.
ESET Enterprise Inspector
Недавно портфель продуктов ESET пополнился рядом дополнительных продуктов в области безопасности устройств и сетей. Первым инструментом является ESET Dynamic Threat Defense , который позволяет запускать подозрительные файлы в облаке провайдера (sanboxing). Обзор этого продукта доступен по этому адресу. Второй важной частью головоломки является ESET Enterprise Inspector (EEI) и его новая служба мониторинга угроз - ESET Threat Monitoring .
ESET Enterprise Inspector - это решение класса Endpoint Detection and Response, предназначенное для мониторинга и защиты конечных устройств, включая рабочие станции и серверы. Программное обеспечение предоставляет три области работы:
- обнаружение, то есть обнаружение подозрительных операций в сетевой среде компании,
- видимость, давая вам представление о том, какой файл или сценарий был заражен, когда и как,
- реакция, понимаемая как возможность блокировки процесса на конечной точке, загрузки зараженного файла для дальнейшего анализа или его удаленного удаления.
ESET Enterprise Inspector предназначен для крупных предприятий и корпораций со сложной сетевой архитектурой, в которой работает, в частности. 250 конечных станций. Дело не в том, что ESET Enterprise Inspector слишком дорогой или слишком сложный в использовании. Напротив. Проблема в том, что ни одна система EDR не является продуктом самообслуживания. Это означает, что компания, которая намеревается внедрить такие решения дома, должна иметь отдельное подразделение безопасности (SOC) или, по крайней мере, администратора, занимающегося мониторингом сети, обладающего компетенциями по управлению системой EDR . Несмотря на множество удобств, представленных ESET(дружественный интерфейс консоли, 230 предопределенных правил) мы достигнем полной эффективности системы только при участии людей, которые способны распознавать возникающие аномалии, анализировать ситуацию и блокировать потенциальную угрозу. Теперь добавим, что архитектура решения позволяет отделить механизмы управления системой EDR от защиты ESET Endpoint или объединить обе эти функции в одной консоли администратора.
Указанная консоль предоставляет администраторам подробную информацию о зарегистрированных событиях, а также результаты анализа. Заслуживает внимания обширная система фильтрации и сортировки, которая помогает эффективно выявлять аномалии в «поведении» приложения среди миллионов зарегистрированных событий.
Как работает EDR?
Защита ESET Enterprise Inspector запускается на конечной точке. Service Agent перехватывает события от процессов сценариев или исполняемых файлов (приложений), работающих на защищенных компьютерах и серверах сотрудников, а затем отправляет их на центральный сервер ESET Enterprise Inspector . Этот подход позволяет освободить конечные точки задач обработки событий и в то же время предоставляет обзор состояния безопасности всей корпоративной сети.
Детальный анализ событий происходит на указанном сервере. Зарегистрированные события сравниваются с определенными правилами - политиками безопасности. Этот шаг также проверяет оценку репутации файла в ESET LiveGrid Cloud . В случае сомнительных объектов администратор может отправить файл для дальнейшего анализа в облаке (модуль ESET Dynamic Threat Defense ), заблокировать процесс или удалить его из всех защищенных подсказок напрямую. Идентификация опасных объектов во всей экосистеме безопасности ESET выполняется с использованием хэш-функции SHA-1. Вы можете вручную добавить контрольную сумму, полученную из других источников, в список зараженных объектов.
Против конкуренции
Молодой рынок решений EDR динамично развивается, и ESET Enterprise Inspector работает очень хорошо по сравнению с конкурирующими продуктами, такими как CrowdStrike, CylanceOPTICS или решениями, разработанными другими производителями антивирусного программного обеспечения (Symantec, McAfee, Kaspersky).
Вместо облака решение устанавливается в инфраструктуру компании, что позволяет закрывать данные клиента в локальной среде. ESET Enterprise Inspector предоставляет ESET Threat Hunting возможность запускать новые или измененные правила для исторических данных. Все это для более эффективного нахождения симптомов приступов нулевого дня. Среди других особенностей, которые отличают продукт ESET от конкурентов, стоит упомянуть о продвинутых механизмах определения исключений и инструментов просмотра в виде таблицы исполняемых файлов и библиотек DLL, когда-либо встречавшихся в Интернете. В этом контексте ESET Enterprise Inspector обеспечивает доступ к статистическим данным и другой информации об объекте, например о его происхождении, созданных записях реестра или сработавших в нем сигналах тревоги.
В эпоху целенаправленных атак, вымогателей и криптовалют, система класса EDR, такая как ESET Enterprise Inspector, является мощным оружием в борьбе с новыми типами угроз, позволяя отделам SOC быстро и эффективно обнаруживать аномалии в сети и пресекать даже самые сложные атаки на инфраструктуру компании. Вы можете держать безопасность под контролем.
