Что такое edr: Системы обнаружения сложных и целевых атак на конечных точках сети (Endpoint Detection and Response, EDR) — Много Курсов

Содержание

Что такое EDR (Endpoint Detection & Response)?

Endpoint Detection & Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR-решения не могут полностью заменить антивирусы (EPP), поскольку эти две технологии решают разные задачи.

Архитектура EDR-решений

В общем случае система класса Endpoint Detection & Response состоит из агентов, устанавливаемых на конечные точки, и серверной части. Агент ведет мониторинг запущенных процессов, действий пользователя и сетевых коммуникаций и передает информацию на локальный сервер или в облако.

Серверный компонент анализирует полученные данные при помощи технологий машинного обучения, сопоставляет их с базами индикаторов компрометации (IoC) и другой доступной информацией о сложных угрозах. Если EDR-система обнаруживает событие с признаками киберинцидента, она оповещает об этом сотрудников службы безопасности.

Возможности EDR-продуктов

Большинство современных EDR-решений могут:

Собирать данные с конечных точек в режиме реального времени.
Записывать и хранить информацию о действиях пользователей, сетевой активности и запущенных программах для последующего изучения и исследования.
Выявлять и классифицировать подозрительную активность, а также уведомлять службы безопасности о ней.
Предпринимать шаги по блокировке атаки — изолировать подозрительные файлы, останавливать вредоносные процессы, разрывать сетевые соединения.
Интегрироваться с защитными решениями для конечных точек, SIEM-системами и другими средствами защиты.

Продукты типа Endpoint Detection & Response позволяют ИБ-специалистам выполнять проактивный поиск угроз (Threat Hunting), анализируя нетипичное поведение и подозрительную активность.

Публикации на схожие темы

Простая защита от сложных атак
Защита под ключ как сервис
Стратегия защиты для крупного бизнеса

Обнаружение конечных точек и реагирование в режиме блокировки

01/26/2021
Чтение занимает 4 мин

В этой статье

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Что такое EDR в режиме блокировки?What is EDR in block mode?

Обнаружение и ответ конечной точки (EDR) в режиме блокировки обеспечивают защиту от вредоносных артефактов, даже если антивирус Microsoft Defender работает в пассивном режиме.Endpoint detection and response (EDR) in block mode provides protection from malicious artifacts, even when Microsoft Defender Antivirus is running in passive mode. При включении EDR в режиме блокировки блокирует вредоносные артефакты или поведение, обнаруженные на устройстве.When turned on, EDR in block mode blocks malicious artifacts or behaviors that are detected on a device. EDR в режиме блокировки работает за кулисами для устранения вредоносных артефактов, которые обнаруживаются после нарушения.EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post breach.

EDR в режиме блокировки также интегрирован с управлением & уязвимостей.EDR in block mode is also integrated with threat & vulnerability management. Команда безопасности организации получит рекомендации по безопасности, чтобы включить EDR в режиме блокировки, если она еще не включена.Your organization’s security team will get a security recommendation to turn EDR in block mode on if it isn’t already enabled.

Что происходит при обнаружении чего-либо?What happens when something is detected?

Когда EDR в режиме блокировки включен и обнаружен вредоносный артефакт, Microsoft Defender для конечных точек блокирует и устраняет этот артефакт.When EDR in block mode is turned on, and a malicious artifact is detected, Microsoft Defender for Endpoint blocks and remediates that artifact. Состояние обнаружения будет заблокировано или предотвращено как завершенные действия в центре действий. You’ll see detection status as Blocked or Prevented as completed actions in the Action center.

На следующем изображении показан экземпляр нежелательного программного обеспечения, которое было обнаружено и заблокировано через EDR в режиме блокировки:The following image shows an instance of unwanted software that was detected and blocked through EDR in block mode:

Включить EDR в режиме блокировкиEnable EDR in block mode

Важно!

Убедитесь, что требования будут выполнены перед включением EDR в режиме блокировки.Make sure the requirements are met before turning on EDR in block mode.

Перейдите в Центр безопасности защитника Майкрософт https://securitycenter.windows.com () и войдите.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.
Выбор > расширенных функций Параметры

.Choose Settings > Advanced features.
Включив EDR в режиме блокировки.Turn on EDR in block mode.

Примечание

EDR в режиме блокировки можно включить только в Центре безопасности Защитника Майкрософт.EDR in block mode can be turned on only in the Microsoft Defender Security Center. Чтобы включить или отключить EDR в режиме блокировки, нельзя использовать клавиши реестра, intune или групповые политики.You cannot use registry keys, Intune, or group policies to enable or disable EDR in block mode.

Требования к EDR в режиме блокировкиRequirements for EDR in block mode

ТребованияRequirement	СведенияDetails
РазрешенияPermissions	Роль глобального администратора или администратора безопасности, назначенная в Azure Active Directory.Global Administrator or Security Administrator role assigned in Azure Active Directory. См. основные разрешения.See Basic permissions.
Операционная системаOperating system	Одна из следующих версий:One of the following versions: — Windows 10 (все выпуски)- Windows 10 (all releases) — Windows Server, версия 1803 или более новая- Windows Server, version 1803 or newer — Windows Server 2019- Windows Server 2019
Регистрация Windows E5Windows E5 enrollment	Windows E5 включена в следующие подписки:Windows E5 is included in the following subscriptions: — Microsoft 365 E5- Microsoft 365 E5 — Microsoft 365 E3 вместе с предложением & защиты от угроз- Microsoft 365 E3 together with the Identity & Threat Protection offering См. Компоненты и функции и возможности для каждого плана.See Components and features and capabilities for each plan.
Антивирус Microsoft DefenderMicrosoft Defender Antivirus	Антивирус Microsoft Defender должен быть установлен и запущен в активном или пассивном режиме.Microsoft Defender Antivirus must be installed and running in either active mode or passive mode. (Антивирус Microsoft Defender можно использовать вместе с антивирусным решением, не относя к Майкрософт.) Подтвердим, что антивирус Microsoft Defender находится в активном или пассивном режиме.(You can use Microsoft Defender Antivirus alongside a non-Microsoft antivirus solution.) Confirm Microsoft Defender Antivirus is in active or passive mode.
Защита с облачным доставкойCloud-delivered protection	Убедитесь, что антивирус Microsoft Defender настроен таким образом, чтобы включена облачная защита.Make sure Microsoft Defender Antivirus is configured such that cloud-delivered protection is enabled.
Клиент антивирусных программ Microsoft DefenderMicrosoft Defender Antivirus antimalware client	Убедитесь, что клиент устарел.Make sure your client is up to date. С помощью PowerShell запустите в качестве администратора группу Get-MpComputerStatus.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. В строке AMProductVersion необходимо увидеть 4.18.2001.10 или выше.In the AMProductVersion line, you should see 4.18.2001.10 or above.
Антивирусный движок Microsoft DefenderMicrosoft Defender Antivirus engine	Убедитесь, что ваш двигатель устарел.Make sure your engine is up to date. С помощью PowerShell запустите в качестве администратора группу Get-MpComputerStatus.Using PowerShell, run the Get-MpComputerStatus cmdlet as an administrator. В строке AMEngineVersion вы должны увидеть 1.1.16700.2 или выше.In the AMEngineVersion line, you should see 1.1.16700.2 or above.

Важно!

Чтобы получить наилучшее значение защиты, убедитесь, что антивирусное решение настроено для получения регулярных обновлений и основных функций, а также настройки исключений.To get the best protection value, make sure your antivirus solution is configured to receive regular updates and essential features, and that your exclusions are configured. EDR в режиме блокировки касается исключений, определенных для антивируса Microsoft Defender.EDR in block mode respects exclusions that are defined for Microsoft Defender Antivirus.

Вопросы и ответыFrequently asked questions

Нужно ли включить EDR в режиме блокировки даже при запуске антивируса Microsoft Defender на устройствах?Do I need to turn EDR in block mode on even when I have Microsoft Defender Antivirus running on devices?

Рекомендуется поддерживать EDR в режиме блокировки, независимо от того, работает ли антивирус Microsoft Defender в пассивном или активном режиме.We recommend keeping EDR in block mode on, whether Microsoft Defender Antivirus is running in passive mode or in active mode. EDR в режиме блокировки обеспечивает еще один уровень защиты с Помощью Microsoft Defender для конечной точки.EDR in block mode provides another layer of defense with Microsoft Defender for Endpoint. Это позволяет Защитнику для конечной точки принимать действия на основе обнаружения EDR после нарушения поведения.It allows Defender for Endpoint to take actions based on post-breach behavioral EDR detections.

Повлияет ли EDR в режиме блокировки на антивирусную защиту пользователя?Will EDR in block mode have any impact on a user’s antivirus protection?

EDR в режиме блокировки не влияет на сторонную антивирусную защиту, запущенную на устройствах пользователей.EDR in block mode does not affect third-party antivirus protection running on users’ devices. EDR в режиме блокировки работает, если основное антивирусное решение пропускает что-то или если обнаружено сообщение о нарушении.EDR in block mode works if the primary antivirus solution misses something, or if there is a post-breach detection. EDR в режиме блокировки работает так же, как антивирус Microsoft Defenderв пассивном режиме, за исключением того, что блокирует и устраняет обнаруженные вредоносные артефакты или поведение.EDR in block mode works just like Microsoft Defender Antivirus in passive mode, except it also blocks and remediates malicious artifacts or behaviors that are detected.

Зачем нужно поддерживать антивирус Microsoft Defender в курсе?Why do I need to keep Microsoft Defender Antivirus up to date?

Так как антивирус Microsoft Defender обнаруживает и устраняет вредоносные элементы, важно поддерживать его в курсе.Because Microsoft Defender Antivirus detects and remediates malicious items, it’s important to keep it up to date. Чтобы EDR в режиме блокировки был эффективным, он использует новейшие модели обучения устройств, поведенческие обнаружения и heuristics.For EDR in block mode to be effective, it uses the latest device learning models, behavioral detections, and heuristics. Пакет возможностей Defender для конечной точки работает комплексно.The Defender for Endpoint stack of capabilities works in an integrated manner. Чтобы получить наилучшее значение защиты, необходимо сохранить антивирус Microsoft Defender в курсе.To get best protection value, you should keep Microsoft Defender Antivirus up to date.

Зачем нужна облачная защита?Why do we need cloud protection on?

Чтобы включить функцию на устройстве, требуется облачная защита.Cloud protection is needed to turn on the feature on the device. Облачная защита позволяет Defender for Endpoint предоставлять последнюю и наибольшую защиту с учетом широты и глубины сведений о безопасности, а также моделей обучения поведения и устройств.Cloud protection allows Defender for Endpoint to deliver the latest and greatest protection based on our breadth and depth of security intelligence, along with behavioral and device learning models.

Как настроить антивирус Microsoft Defender на пассивный режим?How do I set Microsoft Defender Antivirus to passive mode?

См. в этой записи Включить антивирус Microsoft Defender и подтвердить, что он в пассивном режиме.See Enable Microsoft Defender Antivirus and confirm it’s in passive mode.

Как подтвердить, что антивирус Microsoft Defender находится в активном или пассивном режиме?How do I confirm Microsoft Defender Antivirus is in active or passive mode?

Чтобы подтвердить, работает ли антивирус Microsoft Defender в активном или пассивном режиме, можно использовать командную подсказку или PowerShell на устройстве под управлением Windows.To confirm whether Microsoft Defender Antivirus is running in active or passive mode, you can use Command Prompt or PowerShell on a device running Windows.

Воспользуйтесь PowerShellUse PowerShell

Выберите меню Пуск, приступить к вводу и открыть PowerShell Windows PowerShell в результатах.Select the Start menu, begin typing PowerShell, and then open Windows PowerShell in the results.
Тип Get-MpComputerStatus.Type Get-MpComputerStatus.
В списке результатов в строке AMRunningMode посмотрите одно из следующих значений:In the list of results, in the AMRunningMode row, look for one of the following values:
- Normal
- Passive Mode
- SxS Passive Mode

Дополнительные данные см. в дополнительных данных get-MpComputerStatus.To learn more, see Get-MpComputerStatus.

Использование командной подсказкиUse Command Prompt

Выберите меню Пуск, начните ввод и откройте командную подсказку Command Prompt Windows в результатах.Select the Start menu, begin typing Command Prompt, and then open Windows Command Prompt in the results.
Тип sc query windefend.Type sc query windefend.
В списке результатов в строке STATE подтвердим, что служба запущена.In the list of results, in the STATE row, confirm that the service is running.

Сколько времени необходимо для отключения EDR в режиме блокировки?How much time does it take for EDR in block mode to be disabled?

Если вы решили отключить EDR в режиме блокировки, это может занять до 30 минут для системы, чтобы отключить эту возможность.If you chose to disable EDR in block mode it can take up to 30 minutes for the system to disable this capability.

См. такжеSee also

Защита конечных точек от сложных кибератак

Для противодействия комплексным угрозам Solar JSOC предлагает специализированную защиту конечных точек на базе решения класса Endpoint Detection and Response (EDR) «Лаборатории Касперского». Сервис контроля конечных точек и серверов позволяет на ранней стадии выявлять сложные атаки и оперативно реагировать на них. Он подключается как дополнение к базовой услуге Solar JSOC по мониторингу и реагированию на инциденты информационной безопасности.

Благодаря контролю за устройствами сотрудников, которые злоумышленники часто выбирают как исходную точку для проникновения в сеть компании, атаки можно обнаружить быстрее и локализовать еще до того, как заражение приобретет серьезный масштаб. Это, в свою очередь, снижает стоимость инцидентов безопасности для компании. Компонент EDR сигнализирует в том числе и о подозрительной активности на устройствах, не охваченных сервисом по мониторингу и реагированию на инциденты ИБ, что расширяет возможности защиты и локализации угроз.

Автоматический сбор следов присутствия посторонних в инфраструктуре упрощает и ускоряет как реагирование на инциденты, так и их дальнейшее расследование. Компонент EDR обогащает информацию об инцидентах, зафиксированных другими СЗИ, и предоставляет данные по подозрительной активности, не попавшей в их поле зрения.

Сервис подходит организациям, которые уже подписаны на услуги Solar JSOC по мониторингу и реагированию на инциденты ИБ, если они заинтересованы в эффективной защите конечных устройств от сложных атак и стремятся локализовать распространение угрозы в кратчайшие сроки.

Круглосуточный мониторинг конечных точек

Деятельность злоумышленников не останавливается в 18:00. По данным Solar JSOC, в 2019 году 45,4% критических внешних инцидентов происходит ночью. С каждой минутой бездействия размер ущерба возрастает, а нейтрализация угрозы становится во много раз более сложным и трудозатратным процессом. В рамках сервиса мониторинг конечных точек ведется круглосуточно и без выходных 5 филиалами Solar JSOC в разных часовых поясах — так что атака будет остановлена вовремя.

Выявление невидимых для базовых СЗИ угроз

Базовые средства безопасности, такие как антивирус и брандмауэр, защищают от простых угроз, но целенаправленные атаки, подготовленные продвинутыми злоумышленниками, могут обмануть их. Контроль конечных точек и серверов на базе EDR укрепляет защиту от сложных угроз за счет обнаружения угроз не только по сигнатурам, но и по IoC.

Информирование об инцидентах с ручной верификацией

Даже лучшие защитные решения иногда выдают ложную тревогу. Чтобы не беспокоить вас, оповещения об инцидентах перепроверяются вручную, и ложные срабатывания отсеиваются.

Разработка и обновление сценариев выявления новых атак

Злоумышленники постоянно совершенствуют свой арсенал, стремясь обойти средства защиты. Чтобы не пропустить новые атаки, необходимо регулярно разрабатывать актуальные сценарии выявления атак и совершенствовать уже имеющиеся. Эксперты Solar JSOC разрабатывают и совершенствуют правила детектирования инцидентов, проводят ретроспективный анализ событий и выявленных инцидентов для оценки общего уровня защищенности клиента, анализируют информацию о новых угрозах, получаемую из внешних источников и базы знаний Solar JSOC CERT.

Автоматическое реагирование на инциденты или предоставление рекомендаций

Клиенты сервиса могут самостоятельно решить, какую часть действий по реагированию доверить автоматике, а что выполнить силами собственных специалистов по результатам получения рекомендаций и нужно ли привлечь к решению задачи экспертов Solar JSOC (в случае необходимости провести глубокое техническое расследование инцидента). Список доступных автоматических действий ограничен, и их набор всегда согласовывается с заказчиком.

_{* Anti-Malware. Сравнение услуг коммерческих SOC (Security Operations Center). Часть 1. 2019 г.}

Сервис функционирует на базе решения «Лаборатории Касперского» Kaspersky EDR. Возможно как использование ранее приобретенного заказчиком ПО (гибридная схема), так и предоставление в аренду лицензий и аппаратных мощностей для запуска из ядра Solar JSOC в облаке ПАО «Ростелеком» (облачная схема). Между инфраструктурой заказчика и облаком ПАО «Ростелеком» устанавливается защищенный канал связи.

Отличия разных версий Bluetooth | ТехноСити Новосибирск

Слушать музыку со смартфона через беспроводные Bluetooth наушники для современного человека — привычное дело. И сейчас на рынке представлена целая масса устройств и технологий беспроводной передачи звука. Эта памятка поможет выбрать достойное устройство для прослушивания музыки.

Bluetooth — это беспроводная технология для передачи данных между персональными компьютерами и периферийными устройствами, игровыми приставками и джойстиками, между телефонами и гарнитурами, наушниками и разными смарт-устройствами. Но нас интересует именно передача звука.

Есть разные версии Bluetooth.

Bluetooth 2.0 + EDR — скорость передачи данных 2,1 Мбит/с, до сих пор используется в недорогих гарнитурах;

Bluetooth 2.1 и Bluetooth 2.1 + EDR — то же, что и в первом случае плюс поддержка NFC и уменьшено до 10 раз энергопотребление;

Bluetooth 3.0 + HS — значительно увеличена скорость передачи данных до 24 Мбит/с, но возросло энергопотребление, популярности эта технология не снискала и в аудио устройствах встречается очень редко;

Bluetooth 4.0 — уменьшено энергопотребление с сохранением скорости 24 Мбит/с — встречается в относительно дорогих моделях наушников, позволяет сохранить качество звука на высоком уровне;

Bluetooth 4.1 — появилась защита от перекрестных помех при совместной работе с LTE-модулями, установлеными во всех 4G смартфонах;

Bluetooth 4.2 — увеличение скорости и улучшена защита передачи данных, встречается в относительно дорогих моделях наушников и аудио плеерах Hi-Fi, позволяет сохранить качество звука на высоком уровне;

Bluetooth 5.0 — по сравнению с предыдущей версией увеличен радиус действия в 4 раза, скорость увеличена в 2 раза (постепенно появляется во флагманских смартфонах с 2017 года).

Необходимо помнить, что разные Bluetooth устройства в паре (на пример смартфон и наушники) всегда работают, используя самую низкую из доступных версий и самый простой протокол передачи данных Bluetooth.

То есть если в смартфоне Bluetooth 4.2, а в наушниках 2.1 + EDR, то подключение произойдёт по Bluetooth 2.1 и насладиться качественным звучанием не удастся.

Endpoint Sensor | Endpoint Detection and Response (EDR) |Trend Micro

Выявление целевых атак и реагирование на них с использованием современных методов обнаружения

Защитите пользователей своей организации с помощью решения Endpoint Detection and Response (EDR)

Современные сложные киберугрозы способны обходить традиционную защиту и компрометировать конфиденциальные корпоративные данные путем их эксфильтрации или шифрования с целью получения выкупа.

Эффективные решения по обнаружению и реагированию выявляют эти сложные угрозы и устраняют их до того, как они скомпрометируют данные.

Trend Micro интегрировала передовые методы многоуровневого обнаружения и реагирования в свою платформу Endpoint Protection Platform с целью эффективного использования ее возможностей в сфере автоматизации и реагирования. Машинное обучение (перед исполнением и во время рaботы), защита уязвимых мест, анализ поведения, управление приложениями и другие передовые методы призваны обеспечить бесперебойную работу с защитой конечных точек.

Добавьте исследовательские возможности EDR, чтобы обеспечить максимальную видимость

Чтобы четко понять, как сложная атака проникла в системы безопасности и как она трансформировалась и распространилась в сети предприятия, инженеры-исследователи проблем безопасности должны иметь возможность провести анализ первопричин. Анализ выполняется путем записи системных событий, поведения и изучения полученных данных. Исходя из этого, мы предлагаем два варианта:

Решение Trend Micro Endpoint Sensor

Дополнительный элемент платформы Trend для защиты конечных точек. Endpoint Sensor регистрирует системные события и поведение в конечных точках, позволяя исследователям выполнять поиск телеметрических данных пользователей с признаками сложных угроз, используя IOC (индикаторы компрометации) или поиск потенциальных атак с помощью IOA (индикаторов атак).

Поиск начальной точки, изучение распространения и глубины. Датчик может сгенерировать анализ первопричин и создать план устранения.

Службы обнаружения и реагирования Trend Micro

Trend Micro в режиме 24/7 предлагает клиентам управляемые услуги мониторинга оповещений, приоритизации оповещений, исследования и поиска угроз.

Служба MDR собирает данные конечных точек, сетевой безопасности и безопасности сервера для сопоставления и приоритизации оповещений и сведений о системе, а также для проведения полного анализа первопричин. Наши исследователи угроз проводят анализ от имени вашей организации и предоставляют подробный план устранения.

Специалисты ESG и Trend Micro обсуждают EDR

Преимущества служб обнаружения и реагирования Trend Micro

Защита пользователей

В решении Trend Micro User Protection используется безопасность на основе XGen™, которая представляет собой комплекс средств защиты разных поколений и обеспечивает безопасность пользователей, конечных точек, электронной почты, сетевых приложений и приложений SaaS. Наша интеллектуальная, оптимизированная и распределенная технология гарантирует согласованную работу всех элементов, обеспечивая видимость и контроль за картиной постоянно развивающихся угроз.

Узнайте, как это происходит

sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk

Не стоит забывать о преимуществах EDR

Предприятия работают в очень динамичной бизнес-среде, о чем свидетельствует быстрая интеграция высокотехнологичных устройств и стратегий. Однако, поскольку организации продолжают использовать облако и управлять сотнями устройств, они сталкиваются с растущими угрозами неприкосновенности своих данных.

Мало того, что объемы утечки данных продолжают расти, киберпреступники становятся все более опасными в своих попытках украсть ценные организационные данные. Исследование десяти самых распространенных нарушений за последнее десятилетие показывает, что примерно 4 миллиарда человек пострадали от таких случаев – и это только первая десятка.

Крупнейшие утечки данных 21-го века на сайте: https://www.csoonline.com/

В связи с ростом числа кибератак и их совершенствованием MSP провайдеры активно внедряют новые предложения по обеспечению безопасности, которые позволяют им повысить уровень безопасности по сравнению с традиционными антивирусами.

Обычные онлайн-инструменты не обеспечивают повышенной наглядности, необходимой для выявления и уменьшения опасности, создаваемой определенными субъектами угрозы.

Технология Bitdefender Endpoint Detection and Response (EDR) стала одним из наиболее многообещающих инструментов, направленных на борьбу с современными кибератаками, поскольку она предоставляет расширенные знания о действиях конечных точек.

Что такое EDR – Endpoint Detection and Response? Расследование конечных точек и реагирование.

Проще говоря, EDR отслеживает системные действия и события, которые происходят на конечных точках сети, чтобы администраторы могли лучше видеть детали событий.

Поэтому они могут идентифицировать любые необычные или угрожающие инциденты, которые в противном случае остались бы невидимыми. Идеальный инструмент EDR отвечает за многие виды деятельности, начиная от изучения данных об инцидентах и проверки подозрительной активности до ее своевременной остановки.

Почему это важно?

Современные рабочие места вышли за рамки обычной сети серверов компании и рабочих компьютеров, которые работают вместе в замкнутой среде. Благодаря быстрому прогрессу в области персональных гаджетов в сочетании с наступлением эры BYOD («Принеси свое устройство») современные офисы являются домом для сотен устройств, работающих на конечных точках серверов компании.

Подумайте об этом: Gartner прогнозировал, что к 2020 году число устройств IoT, развернутых по всему миру, достигнет 25 миллиардов. И поэтому, даже несмотря на то, что организации проводят тщательную проверку для защиты своих центральных серверов с помощью протоколов безопасности, конечные устройства все еще предоставляют возможность хакерам для доступа к конфиденциальным данным.

Пандемия COVID-19 внесла свои коррективы в нашу реальность. Большинство из нас вынесло рабочие компьютеры, и они работают из другой сети. Что сразу добавляет большой объем уязвимостей.

Киберпреступники, оснащенные сложными технологиями, могут извлекать данные стоимостью в миллионы долларов, не оставляя никаких улик. К тому времени, когда вы узнаете об этом, будет слишком поздно – просто спросите Equifax.

Вот где EDR оказывается бесценным. Используя поведенческий анализ для выявления угроз, эти системы позволяют отслеживать и устранять действия злонамеренных действий, прежде чем они получат доступ к Вашим центральным данным, и поможет вам, если злоумышленник с помощью социальной инженерии устроился к вам на работу и начал промышлять злонамеренными делами сразу изнутри.

Bitdefender Endpoint Detection and Response

Используя, ведущие в отрасли стандарты и практики для снижения угроз и обеспечения безопасности конечных точек, решение EDR компании Bitdefender тщательно разработано для применения методического подхода к управлению инцидентами. Bitdefender GravityZone Ultra был разработан, чтобы помочь MSP укрепить свои предложения по обеспечению безопасности конечных точек, обеспечив улучшенную защиту для своих клиентов.

Интуитивно понятная платформа обеспечивает простоту использования наряду с опциями безопасности следующего поколения для точного определения киберугроз и защиты Ваших систем. Вся система защиты конечных точек тщательно разделена на две категории. Они далее делятся на отдельные задачи и процессы.

Обнаружение:

Постоянный мониторинг и обнаружение любых инцидентов, связанных с безопасностью.
Проверка угроз безопасности и приоритизация рисков.
Меры по локализации инцидентов.

Ответ:

Расследование инцидента с целью выявления причин и уязвимостей.
Применение результатов для тонкой настройки политики безопасности.
Осуществление реабилитационных мер для смягчения воздействия.

С помощью алгоритмов машинного обучения Bitdefender GravityZone Ultra не только использует сигнатуры угроз для предотвращения доступа известных вредоносных программ к Вашему серверу, но также продолжает изучать и интегрировать новые сигнатуры угроз из своей базы данных. Обновленное, с использованием последних идентификаторов угроз, программное обеспечение EDR может выявлять потенциально вредоносную активность с Ваших конечных устройств.

Как это работает?

Так как же функция GravityZone Ultra защищает Вашу организацию от постоянно растущей угрозы кибератак?

Ответ заключается в том, чтобы сформулировать цепь процессов, которые помогут предприятиям окончательно справиться с этой угрозой. Под этим мы имеем в виду, что нужно начать с точной идентификации и закончить ее сдерживанием и многим другим.

Давайте подробно проанализируем процесс.

Шаг 1. Идентификация:

Bitdefender сочетает в себе целую группу технологий для круглосуточного мониторинга и записи активности конечных точек. Как только система обнаруживает подозрительную деятельность или серию событий, первым делом необходимо точно проверить или идентифицировать ее как угрозу.

Затем GravityZone Ultra немедленно предпринимает автоматические шаги по локализации угрозы. Однако, если алгоритм машинного обучения не находит убедительных доказательств, ответственный за безопасность персонал уведомляется об этом событии.

Платформа классифицирует угрозы по степени серьезности, и доступ к ним осуществляется одним щелчком мыши, что позволяет аналитику по безопасности быстро принять решение о статусе угрозы.

Шаг 2. Работа с содержимым:

Содержание также вытекает из предыдущего шага (Идентификация). Если механизм обнаружения подтверждает статус события как проверенной “угрозы”, то он автоматически устанавливает параметры сдерживания.

С другой стороны, если аналитик безопасности идентифицирует подозрительное событие как угрозу, программное обеспечение поможет им в помещении конечной точки в карантин. Gravity Zone добавит все поврежденные вредоносные файлы в список блокировок. Это предотвратит распространение вредоносного программного обеспечения по всей организации. Также возможно полностью изолировать от сети данную конечную точку.

Шаг 3. Избавление:

После того, как Вам удалось остановить распространение атаки, необходимо сконцентрироваться на удалении всех следов, чтобы убедиться, что Ваши серверы и рабочие станции могут вернуться к нормальной работе до начала атаки.

Это позволит Вам функционировать свободно, не опасаясь повторной атаки. Для этого в GravityZone Ultra используется усовершенствованная технология “дезинфекции и удаления”, которая помогает удалять киберугрозы после того, как Ваш сервер их идентифицирует.

Для других типов атак аналитики безопасности могут использовать резервные копии реестра, инструменты настройки, файловые менеджеры и многое другое.

Шаг 4. Восстановление:

Это последний шаг в борьбе с кибератакой. С помощью GravityZone Ultra от Bitdefender вы можете автоматически откатить любые изменения файлов, которые были затронуты атакой.

Но для удаления полной функциональности инфраструктуры конечных точек необходимо иметь обновленные резервные копии файлов.

Кроме того, GravityZone Ultra продолжает мониторинг системы даже после восстановления файлов. Это важно не только для того, чтобы убедиться, что атака действительно устранена, но и для того, чтобы восстановленные конечные точки работали на полную мощность.

В заключение

По мере того, как организации продолжают работать с растущим количеством конечных точек, они сталкиваются с передовыми угрозами, исходящими от этих устройств. Таким образом, комплексное решение для обеспечения безопасности конечных точек, такое как Bitdefender Ultra c EDR, позволяет максимально использовать возможности, предоставляемые такими устройствами в более безопасной среде.

С июля 2020 технологии EDR доступны не только в облаке, но в решении локально.

Для того, чтобы понять, как это работает и какую пользу приносит бизнесу, Bitdefender проводит бесплатные пилотные проекты, Вы можете попробовать полный функционал передовых продуктов первыми, не заплатив денег и уже прямо сейчас.

В подарок вы получите персонального инженера, который поможет в освоении нового продукта.

Закажите пилотный проект в течение 24 часов и получите обучение продукту бесплатно!

Bluetooth — это… Что такое Bluetooth?

Bluetooth

Уровень (по модели OSI):	Прикладной^{[источник не указан 405 дней]}
Создан в:	1994 г.^[1] г.
Назначение протокола:	Беспроводная связь между устройствами на расстоянии до 100 метров (класс I)
Спецификация:	IEEE 802.15.1
Разработчик:	Bluetooth SIG

Bluetooth или блютус (/bluːtuːθ/, переводится как синий зуб, назван в честь Харальда I Синезубого^[2]^[3]) — производственная спецификация беспроводных персональных сетей (англ. Wireless personal area network, WPAN). Bluetooth обеспечивает обмен информацией между такими устройствами как персональные компьютеры (настольные, карманные, ноутбуки), мобильные телефоны, принтеры, цифровые фотоаппараты, мышки, клавиатуры, джойстики, наушники, гарнитуры на надёжной, бесплатной, повсеместно доступной радиочастоте для ближней связи.

Bluetooth позволяет этим устройствам сообщаться, когда они находятся в радиусе до 100 метров друг от друга (дальность сильно зависит от преград и помех), даже в разных помещениях.

Гарнитура для мобильного телефона, использующая для передачи голоса Bluetooth

Название и логотип

Слово Bluetooth — перевод на английский язык датского слова «Blåtand» («Синезубый»). Это прозвище носил король Харальд I, правивший в X веке Данией и частью Норвегии и объединивший враждовавшие датские племена в единое королевство. Подразумевается, что Bluetooth делает то же самое с протоколами связи, объединяя их в один универсальный стандарт^[4]^[5]^[6]. Хотя «blå» в современных скандинавских языках означает «синий», во времена викингов оно также могло означать «чёрного цвета». Таким образом, исторически правильно было бы перевести датское Harald Blåtand скорее как Harald Blacktooth, чем как Harald Bluetooth.

Логотип Bluetooth является сочетанием двух нордических («скандинавских») рун: «хаглаз» _(Hagall) —_analog_latinskoi_H_i_«berkana»_ (Hagall) — аналог латинской H и «беркана» (Berkanan) — латинская B. Логотип похож на более старый логотип для Beauknit Textiles, подразделения корпорации Beauknit. В нём используется слияние отраженной K и В для «Beauknit», он шире и имеет скругленные углы, но в общем он такой же.

История создания и развития

Спецификация Bluetooth была разработана группой Bluetooth Special Interest Group (Bluetooth SIG)^[2]^[7], которая была основана в 1998 году. В неё вошли компании Ericsson, IBM, Intel, Toshiba и Nokia. Впоследствии Bluetooth SIG и IEEE достигли соглашения, на основе которого спецификация Bluetooth стала частью стандарта IEEE 802.15.1 (дата опубликования — 14 июня 2002 года). Работы по созданию Bluetooth компания Ericsson Mobile Communication начала в 1994 году. Первоначально эта технология была приспособлена под потребности системы FLYWAY в функциональном интерфейсе между путешественниками и системой.

Класс	Максимальная мощность, мВт	Максимальная мощность, дБм	Радиус действия, м
1	100	20	100
2	2,5	4	10
3	1	0	1

Компания AIRcable выпустила Bluetooth-адаптер Host XR с радиусом действия около 30 км.

Принцип действия Bluetooth

Принцип действия основан на использовании радиоволн. Радиосвязь Bluetooth осуществляется в ISM-диапазоне (англ. Industry, Science and Medicine), который используется в различных бытовых приборах и беспроводных сетях (свободный от лицензирования диапазон 2,4-2,4835 ГГц)^[8]^[9]. В Bluetooth применяется метод расширения спектра со скачкообразной перестройкой частоты^[10] (англ. Frequency Hopping Spread Spectrum, FHSS). Метод FHSS прост в реализации, обеспечивает устойчивость к широкополосным помехам, а оборудование недорого.

Согласно алгоритму FHSS, в Bluetooth несущая частота сигнала скачкообразно меняется 1600 раз в секунду^[7] (всего выделяется 79 рабочих частот шириной в 1 МГц, а в Японии, Франции и Испании полоса у́же — 23 частотных канала). Последовательность переключения между частотами для каждого соединения является псевдослучайной и известна только передатчику и приёмнику, которые каждые 625 мкс (один временной слот) синхронно перестраиваются с одной несущей частоты на другую. Таким образом, если рядом работают несколько пар приёмник-передатчик, то они не мешают друг другу. Этот алгоритм является также составной частью системы защиты конфиденциальности передаваемой информации: переход происходит по псевдослучайному алгоритму и определяется отдельно для каждого соединения. При передаче цифровых данных и аудиосигнала (64 кбит/с в обоих направлениях) используются различные схемы кодирования: аудиосигнал не повторяется (как правило), а цифровые данные в случае утери пакета информации будут переданы повторно.

Протокол Bluetooth поддерживает не только соединение «point-to-point», но и соединение «point-to-multipoint»^[7].

Спецификации

Bluetooth 1.0

Устройства версий 1.0 (1998) и 1.0B имели плохую совместимость между продуктами различных производителей. В 1.0 и 1.0B была обязательной передача адреса устройства (BD_ADDR) на этапе установления связи, что делало невозможной реализацию анонимности соединения на протокольном уровне и было основным недостатком данной спецификации.

Bluetooth 1.1

В Bluetooth 1.1 было исправлено множество ошибок, найденных в 1.0B, добавлена поддержка для нешифрованных каналов, индикация уровня мощности принимаемого сигнала (RSSI).

Bluetooth 1.2

В версии 1.2 была добавлена технология адаптивной перестройки рабочей частоты (AFH), что улучшило сопротивляемость к электромагнитной интерференции (помехам) путём использования разнесённых частот в последовательности перестройки. Также увеличилась скорость передачи и добавилась технология eSCO, которая улучшала качество передачи голоса путём повторения повреждённых пакетов. В HCI добавилась поддержка трёх-проводного интерфейса UART.

Главные улучшения включают следующее:

Быстрое подключение и обнаружение.
Адаптивная перестройка частоты с расширенным спектром (AFH), которая повышает стойкость к радиопомехам.
Более высокие, чем в 1.1, скорости передачи данных, практически до 721 кбит/с.
Расширенные Синхронные Подключения (eSCO), которые улучшают качество передачи голоса в аудиопотоке, позволяя повторную передачу повреждённых пакетов, и при необходимости могут увеличить задержку аудио, чтобы оказать лучшую поддержку для параллельной передачи данных.
В Host Controller Interface (HCI) добавлена поддержка трёхпроводного интерфейса UART.
Утверждён как стандарт IEEE Standard 802.15.1-2005^[11].
Введены режимы управления потоком данных (Flow Control) и повторной передачи (Retransmission Modes) для L2CAP.

Bluetooth 2.0 + EDR

Bluetooth версии 2.0 был выпущен 10 ноября 2004 г. Имеет обратную совместимость с предыдущими версиями 1.x. Основным нововведением стала поддержка Enhanced Data Rate (EDR) для ускорения передачи данных. Номинальная скорость EDR около 3 Мбит/с, однако на практике это позволило повысить скорость передачи данных только до 2,1 Мбит/с. Дополнительная производительность достигается с помощью различных радио технологий для передачи данных^[12].

Стандартная (базовая) скорость передачи данных использует GFSK-модуляцию радиосигнала при скорости передачи в 1 Мбит/с. EDR использует сочетание модуляций GFSK и PSK с двумя вариантами, π/4-DQPSK и 8DPSK. Они имеют большие скорости передачи данных по воздуху — 2 и 3 Mбит/с соответственно^[13].

Bluetooth SIG издала спецификацию как «Технология Bluetooth 2.0 + EDR», которая подразумевает, что EDR является дополнительной функцией. Кроме EDR есть и другие незначительные усовершенствования к 2.0 спецификации, и продукты могут соответствовать «Технологии Bluetooth 2.0», не поддерживая более высокую скорость передачи данных. По крайней мере одно коммерческое устройство, HTC TyTN Pocket PC, использует «Bluetooth 2.0 без EDR» в своих технических спецификациях^[14].

Согласно 2.0 + EDR спецификации, EDR обеспечивает следующие преимущества:

Увеличение скорости передачи в 3 раза (2,1 Мбит/с) в некоторых случаях.
Уменьшение сложности нескольких одновременных подключений из-за дополнительной полосы пропускания.
Более низкое потребление энергии благодаря уменьшению нагрузки.

Bluetooth 2.1

2007 год. Добавлена технология расширенного запроса характеристик устройства (для дополнительной фильтрации списка при сопряжении), энергосберегающая технология Sniff Subrating, которая позволяет увеличить продолжительность работы устройства от одного заряда аккумулятора в 3—10 раз. Кроме того обновлённая спецификация существенно упрощает и ускоряет установление связи между двумя устройствами, позволяет производить обновление ключа шифрования без разрыва соединения, а также делает указанные соединения более защищёнными, благодаря использованию технологии Near Field Communication.

Bluetooth 2.1 + EDR

В августе 2008 года Bluetooth SIG представил версию 2.1+EDR. Новая редакция Bluetooth снижает потребление энергии в 5 раз, повышает уровень защиты данных и облегчает распознавание и соединение Bluetooth-устройств благодаря уменьшению количества шагов за которые оно выполняется.

Bluetooth 3.0 + HS

3.0+HS^[13] была принята Bluetooth SIG 21 апреля 2009 года. Она поддерживает теоретическую скорость передачи данных до 24 Мбит/с. Её основной особенностью является добавление AMP (асимметричная мультипроцессорная обработка) (альтернативно MAC/PHY), дополнение к 802.11 как высокоскоростное сообщение. Две технологии были предусмотрены для AMP: 802.11 и UWB, но UWB отсутствует в спецификации^[15].

Модули с поддержкой новой спецификации соединяют в себе две радиосистемы: первая обеспечивает передачу данных в 3 Мбит/с (стандартная для Bluetooth 2.0) и имеет низкое энергопотребление; вторая совместима со стандартом 802.11 и обеспечивает возможность передачи данных со скоростью до 24 Мбит/с (сравнима со скоростью сетей Wi-Fi). Выбор радиосистемы для передачи данных зависит от размера передаваемого файла. Небольшие файлы передаются по медленному каналу, а большие — по высокоскоростному. Bluetooth 3.0 использует более общий стандарт 802.11 (без суффикса), то есть не совместим с такими спецификациями Wi-Fi, как 802.11b/g или 802.11n.

Bluetooth 4.0

Bluetooth SIG утвердил спецификацию Bluetooth 4.0 30 июня 2010г. Bluetooth 4.0 включает в себя протоколы Классический Bluetooth, Высокоскоростной Bluetooth и Bluetooth с низким энергопотреблением. Высокоскоростной Bluetooth основан на Wi-Fi, а Классический Bluetooth состоит из протоколов предыдущих спецификаций Bluetooth.

Протокол Bluetooth с низким энергопотреблением предназначен, прежде всего, для миниатюрных электронных датчиков (использующихся в спортивной обуви, тренажёрах, миниатюрных сенсорах, размещаемых на теле пациентов и т. д.). Низкое энергопотребление достигается за счёт использования специального алгоритма работы. Передатчик включается только на время отправки данных, что обеспечивает возможность работы от одной батарейки типа CR2032 в течение нескольких лет^[9]. Стандарт предоставляет скорость передачи данных в 1 Мбит/с при размере пакета данных 8—27 байт. В новой версии два Bluetooth-устройства смогут устанавливать соединение менее чем за 5 миллисекунд и поддерживать его на расстоянии до 100 м. Для этого используется усовершенствованная коррекция ошибок, а необходимый уровень безопасности обеспечивает 128-битное AES-шифрование.

Сенсоры температуры, давления, влажности, скорости передвижения и т. д. на базе этого стандарта могут передавать информацию на различные устройства контроля: мобильные телефоны, КПК, ПК и т. п.

Первый чип с поддержкой Bluetooth 3.0 и Bluetooth 4.0 был выпущен компанией ST-Ericsson в конце 2009 года.

Bluetooth 4.0 поддерживается в MacBook Air и Mac mini (с июля 2011 года), iMac (ноябрь 2012 года), iPhone 4S (октябрь 2011 года) и iPhone 5 (сентябрь 2012 года), iPad 3 (март 2012 года)^[16]^[17], смартфонах LG Optimus 4X HD (февраль 2012 года), HTC One X, S, V и Samsung Galaxy S III (май 2012 года), Explay Infinity (август 2012 года), HTC One X+ (2012), HTC Desire C, Google Nexus 7 (2012), Sony VAIO SVE1511N1RSI.

Стек протоколов Bluetooth

Bluetooth имеет многоуровневую архитектуру, состоящую из основного протокола, протоколов замены кабеля, протоколов управления телефонией и заимствованных протоколов. Обязательными протоколами для всех стеков Bluetooth являются: LMP, L2CAP и SDP. Кроме того, устройства, связывающиеся с Bluetooth обычно используют протоколы HCI и RFCOMM.

LMP: Link Management Protocol — используется для установления и управления радио-соединением между двумя устройствами. Реализуется контроллером Bluetooth.
HCI: Host/controller interface — определяет связь между стеком хоста (т.е. компьютера или мобильного устройства) с контроллером Bluetooth.
AVRCP: A/V Remote Control Profile — обычно используется в автомобильных навигационных системах для управления звуковым потоком через Bluetooth.
L2CAP: Logical Link Control and Adaptation Protocol — используется для мультиплексирования локальных соединений между двумя устройствами, использующими различные протоколы более высокого уровня. Позволяет фрагментировать и пересобирать пакеты.
SDP: Service Discovery Protocol — позволяет обнаруживать услуги, предоставляемые другими устройствами и определять их параметры.
RFCOMM: Radio Frequency Communications — протокол замены кабеля, создаёт виртуальный последовательный поток данных и эмулирует управляющие сигналы RS-232.
BNEP: Bluetooth Network Encapsulation Protocol — используется для передачи данных из других стеков протоколов через канал L2CAP. Применяется для передачи IP-пакетов в профиле Personal Area Networking.
AVCTP: Audio/Video Control Transport Protocol — используется в профиле Audio / Video Remote Control для передачи команд по каналу L2CAP.
AVDTP: Audio/Video Distribution Transport Protocol — используется в профиле Advanced Audio Distribution для передачи стереозвука по каналу L2CAP.
TCS: Telephony Control Protocol – Binary — протокол, определяющий сигналы управления вызовом для установления голосовых соединений и соединений для передачи данных между устройствами Bluetooth. Используется только в профиле Cordless Telephony.

Заимствованные протоколы включают в себя: Point-to-Point Protocol (PPP), TCP/IP, UDP, Object Exchange Protocol (OBEX), Wireless Application Environment (WAE), Wireless Application Protocol (WAP).

Профили Bluetooth

Профиль — набор функций или возможностей, доступных для определённого устройства Bluetooth. Для совместной работы Bluetooth-устройств необходимо, чтобы все они поддерживали общий профиль.

Нижеуказанные профили определены и одобрены группой разработки Bluetooth SIG:

Advanced Audio Distribution Profile (A2DP) — разработан для передачи двухканального стерео аудиопотока, например, музыки, к беспроводной гарнитуре или любому другому устройству. Профиль полностью поддерживает низкокомпрессированный кодек Sub_Band_Codec (SBC) и опционально поддерживает MPEG-1,2 аудио, MPEG-2,4 AAC и ATRAC, способен поддерживать кодеки, определённые производителем.^[18]

Audio / Video Remote Control Profile (AVRCP) — разработан для управления стандартными функциями телевизоров, Hi-Fi оборудования и прочее. То есть позволяет создавать устройства с функциями дистанционного управления. Может использоваться в связке с профилями A2DP или VDPT.

Basic Imaging Profile (BIP) — разработан для пересылки изображений между устройствами и включает возможность изменения размера изображения и конвертирование в поддерживаемый формат принимающего устройства.

Basic Printing Profile (BPP) — позволяет пересылать текст, e-mails, vCard и другие элементы на принтер. Профиль не требует от принтера специфических драйверов, что выгодно отличает его от HCRP.

Common ISDN Access Profile (CIP) — для доступа устройств к ISDN.

Cordless Telephony Profile (CTP) — профиль беспроводной телефонии.

Device ID Profile (DIP) — позволяет идентифицировать класс устройства, производителя, версию продукта.

Dial-up Networking Profile (DUN) — протокол предоставляет стандартный доступ к Интернету или другому телефонному сервису через Bluetooth. Базируется на SPP, включает в себя команды PPP и AT, определённые в спецификации ETSI 07.07.

Fax Profile (FAX) — предоставляет интерфейс между мобильным или стационарным телефоном и ПК на котором установлено программное обеспечение для факсов. Поддерживает набор AT-команд в стиле ITU T.31 и/или ITU T.32. Голосовой звонок или передача данных профилем не поддерживается.

File Transfer Profile (FTP_profile) — обеспечивает доступ к файловой системе устройства. Включает стандартный набор команд FTP, позволяющий получать список директорий, изменения директорий, получать, передавать и удалять файлы. В качестве транспорта используется OBEX, базируется на GOEP.

General Audio / Video Distribution Profile (GAVDP) — база для A2DP и VDP.

Generic Object Exchange Profile (GOEP) — база для других профилей передачи данных, базируется на OBEX.

Hard Copy Cable Replacement Profile (HCRP) — предоставляет простую альтернативу кабельного соединения между устройством и принтером. Минус профиля в том, что для принтера необходимы специфичные драйвера, что делает профиль неуниверсальным.

Hands-Free Profile (HFP) — используется для соединения беспроводной гарнитуры и телефона, передаёт монозвук в одном канале.

Human Interface Device Profile (HID) — обеспечивает поддержку устройств с HID (Human Interface Device), таких как мышки, джойстики, клавиатуры и проч. Использует медленный канал, работает на пониженной мощности.

Headset Profile (HSP) — используется для соединения беспроводной гарнитуры (Headset) и телефона. Поддерживает минимальный набор AT-команд спецификации GSM 07.07 для обеспечения возможности совершать звонки, отвечать на звонки, завершать звонок, настраивать громкость. Через профиль Headset, при наличии Bluetooth 1.2 и выше, можно выводить на гарнитуру всё звуковое сопровождение работы телефона. Например, прослушивать на гарнитуре все сигналы подтверждения операций, mp3-музыку из плеера, мелодии звонка, звуковой ряд видеороликов. Гарнитуры, поддерживающие такой профиль имеют возможность передачи стереозвука, в отличие от моделей, которые поддерживают только профиль Hands-Free.

Intercom Profile (ICP) — обеспечивает голосовые звонки между Bluetooth-совместимыми устройствами.

LAN Access Profile (LAP) — обеспечивает доступ Bluetooth-устройствам к вычислительным сетям LAN, WAN или Интернет посредством другого Bluetooth-устройства, которое имеет физическое подключение к этим сетям. Bluetooth-устройство использует PPP поверх RFCOMM для установки соединения. LAP также допускает создание ad-hoc Bluetooth-сетей.

Object Push Profile (OPP) — базовый профиль для пересылки «объектов», таких как изображения, виртуальные визитные карточки и др. Передачу данных инициирует отправляющее устройство (клиент), а не приёмное (сервер).

Personal Area Networking Profile (PAN) — позволяет использовать протокол Bluetooth Network Encapsulation в качестве транспорта через Bluetooth-соединение.

Phone Book Access Profile (PBAP) — позволяет обмениваться записями телефонных книг между устройствами.

Serial Port Profile (SPP) — базируется на спецификации ETSI TS07.10 и использует протокол RFCOMM. Профиль эмулирует последовательный порт, предоставляя возможность замены стандартного RS-232 беспроводным соединением. Является базовым для профилей DUN, FAX, HSP и AVRCP.

Service Discovery Application Profile (SDAP) — используется для предоставления информации о профилях, которые использует устройство-сервер.

SIM Access Profile (SAP, SIM) — позволяет получить доступ к SIM-карте телефона, что позволяет использовать одну SIM-карту для нескольких устройств.

Synchronisation Profile (SYNCH) — позволяет синхронизировать персональные данные (PIM). Профиль заимствован из спецификации инфракрасной связи и адаптирован группой Bluetooth SIG.

Video Distribution Profile (VDP) — позволяет передавать потоковое видео. Поддерживает H.263, стандарты MPEG-4 Visual Simple Profile, H.263 profiles 3, profile 8 поддерживаются опционально и не содержатся в спецификации.

Wireless Application Protocol Bearer (WAPB) — протокол для организации P-to-P (Point-to-Point) соединения через Bluetooth.

Безопасность

В июне 2006 года Авишай Вул^[19] и Янив Шакед опубликовали статью^[20], содержащую подробное описание атаки на bluetooth-устройства. Материал содержал описание как активной, так и пассивной атаки, позволяющей заполучить PIN код устройства и в дальнейшем осуществить соединение с данным устройством. Пассивная атака позволяет соответствующе экипированному злоумышленнику «подслушать» (sniffing) процесс инициализации соединения и в дальнейшем использовать полученные в результате прослушки и анализа данные для установления соединения (spoofing). Естественно, для проведения данной атаки злоумышленнику нужно находиться в непосредственной близости и непосредственно в момент установления связи. Это не всегда возможно. Поэтому родилась идея активной атаки. Была обнаружена возможность отправки особого сообщения в определённый момент, позволяющего начать процесс инициализации с устройством злоумышленника. Обе процедуры взлома достаточно сложны и включают несколько этапов, основной из которых — сбор пакетов данных и их анализ. Сами атаки основаны на уязвимостях в механизме аутентификации и создания ключа-шифра между двумя устройствами. И поэтому перед изложением механизма атак рассмотрим механизм инициализации bluetooth-соединения.

Инициализация bluetooth-соединения

Инициализацией, касательно bluetooth, принято называть процесс установки связи. Её можно разделить на три этапа:

Генерация ключа Kinit
Генерация ключа связи (он носит название link key и обозначается, как Kab)
Аутентификация

Первые два пункта входят в так называемую процедуру паринга.

Паринг (PAIRING), или сопряжение — процесс связи двух (или более) устройств с целью создания единой секретной величины Kinit, которую они будут в дальнейшем использовать при общении. В некоторых переводах официальных документов по bluetooth можно также встретить термин «подгонка пары».

Перед началом процедуры сопряжения на обеих сторонах необходимо ввести PIN-код. Обычная ситуация: два человека хотят связать свои телефоны и заранее договариваются о PIN-коде.

Для простоты будем рассматривать ситуацию с двумя устройствами. Принципиально это не повлияет на механизмы установления связи и последующие атаки. Далее соединяющиеся устройства будут обозначаться A и B, более того, одно из устройств при сопряжении становится главным (Master), а второе — ведомым (Slave). Будем считать устройство A главным, а B — ведомым. Создание ключа Kinit начинается сразу после того, как были введены PIN-коды.

Kinit формируется по алгоритму E22, который оперирует следующими величинами:

BD_ADDR — уникальный MAC-адрес BT-устройства. Длина 48 бит (аналог MAC-адреса, устанавливается производителем и уникален для каждого сетевого устройства)
PIN-код и его длина
IN_RAND. Случайная 128-битная величина

На выходе E22 алгоритма получаем 128-битное слово, именуемое Kinit. Число IN_RAND отсылается устройством A в чистом виде. В случае, если PIN неизменяем для этого устройства, то при формировании Kinit используется BD_ADDR, полученное от другого устройства. В случае если у обоих устройств изменяемые PIN-коды, будет использован BD_ADDR(B) — адрес slave-устройства. Первый шаг сопряжения пройден. За ним следует создание Kab. После его формирования Kinit исключается из использования.

Для создания ключа связи Kab устройства обмениваются 128-битными словами LK_RAND(A) и LK_RAND(B), генерируемыми случайным образом. Далее следует побитовый XOR с ключом инициализации Kinit. И снова обмен полученным значением. Затем следует вычисление ключа по алгоритму E21.

Для этого необходимы величины:

BD_ADDR
128-битный LK_RAND (каждое устройство хранит своё и полученное от другого устройства значения)

На данном этапе pairing заканчивается и начинается последний этап инициализации bluetooth — Mutual authentication или взаимная аутентификация. Основана она на схеме «запрос-ответ». Одно из устройств становится верификатором, генерирует случайную величину AU_RAND(A) и засылает его соседнему устройству (в plain text), называемому предъявителем (claimant — в оригинальной документации). Как только предъявитель получает это «слово», начинается вычисление величины SRES по алгоритму E1, и она отправляется верификатору. Соседнее устройство производит аналогичные вычисления и проверяет ответ предъявителя. Если SRES совпали, то, значит, всё хорошо, и теперь устройства меняются ролями, таким образом процесс повторяется заново.

E1-алгоритм оперирует такими величинами:

Случайно созданное AU_RAND
link key Kab
Свой собственный BD_ADDR

Уязвимости и атаки

Базовая pairing атака (атака на сопряжение)

Проанализируем данные, обмен которыми идёт на протяжении процесса сопряжения:

№	От	К	Данные	Длина (бит)	Прочая информация
1	A	B	IN_RAND	128	plaintext
2	A	B	LK_RAND(A)	128	XORed with Kinit
3	B	A	LK_RAND(B)	128	XORed with Kinit
4	A	B	AU_RAND(A)	128	plaintext
5	B	A	SRES	32	plaintext
6	B	A	AU_RAND(B)	128	plaintext
7	A	B	SRES	32	plaintext

Представим ситуацию: злоумышленнику удалось прослушать эфир и во время процедуры сопряжения, он перехватил и сохранил все сообщения. Далее найти PIN можно, используя перебор.

Прежде всего необходимо составить сам алгоритм перебора. Мы располагаем перехваченными величинами IN_RAND (он нешифрованный) и BD_ADDR (напомним, что адреса устройств видны в эфире) и запускаем алгоритм E22. Ему передаем вышеперечисленные данные и наш предполагаемый PIN. В результате мы получим предполагаемое значение Kinit. Выглядит оно примерно так:

Kinit = E22[IN_RAND, BD_ADDR(B), PIN’] где PIN’ — предполагаемый нами PIN-код

Далее, сообщения 2 и 3 подвергаются XOR с только что полученным Kinit. Следовательно, следующим шагом мы получим LK_RAND(A) и LK_RAND(B) в чистом виде. Теперь мы можем высчитать предполагаемое значение Kab, для чего проделываем следующую операцию:

LK_K(A) = E21[BD_ADDR(A), LK_RAND(A)] где LK_K(A|B) — это промежуточные величины

LK_K(B) = E21[BD_ADDR(B), LK_RAND(B)]

Kab = LK_K(A) XOR LK_K(B)

Проверим PIN. Возьмем полученный Kab и перехваченный AU_RAND(A) и вычислим SRES(A).

После сравниваем полученный результат с SRES(A)’, хранящийся в сообщении номер 5:

SRES(A) = E1[AU_RAND(A), Kab, BD_ADDR(B)]

Если SRES(A) == SRES(A)’ — PIN успешно угадан. В противном случае повторяем последовательность действий заново с новой величиной PIN’.

Первым, кто заметил эту уязвимость, был англичанин Олли Вайтхауз (Ollie Whitehouse) в апреле 2004 года. Он первым предложил перехватить сообщения во время сопряжения и попытаться вычислить PIN методом перебора, используя полученную информацию. Тем не менее, метод имеет один существенный недостаток: атаку возможно провести только в случае, если удалось подслушать все аутентификационные данные. Другими словами, если злоумышленник находился вне эфира во время начала сопряжения или же упустил какую-то величину, то он не имеет возможности продолжить атаку.

Re-pairing атака (атака на пересопряжение)

Вулу и Шакеду удалось найти решение трудностей, связанных с атакой Вайтхауза. Был разработан второй тип атаки. Если процесс сопряжения уже начат и данные упущены, мы не сможем закончить атаку. Но был найден выход. Нужно заставить устройства заново инициировать процесс сопряжения (отсюда и название). Данная атака позволяет в любой момент начать вышеописанную pairing атаку.

Рассмотрим следующую ситуацию. Допустим, что устройства уже успели связаться, сохранили ключ Kab и приступили к Mutual authentication. От нас требуется заставить устройства заново начать pairing. Всего было предложено три метода атаки на пересопряжение, причём все из них зависимы от качества реализации bluetooth-ядра конкретного устройства. Ниже приведены методы в порядке убывания эффективности:

За pairing следует фаза аутентификации. Master-устройство отсылает AU_RAND и ждёт в ответ SRES. В стандарте декларирована возможность потери ключа связи. В таком случае slave посылает «LMP_not_accepted», сообщая master об утере ключа. Поэтому основная цель злоумышленника — отследить момент отправки AU_RAND master-устройством и в ответ внедрить пакет содержащий LMP_not_accepted. Реакцией master будет реинициализация процесса pairing. Причём это приведёт к аннулированию ключа связи на обоих устройствах.
Если успеть отправить IN_RAND slave-устройству непосредственно перед отправкой master-устройством величины AU_RAND, то slave будет уверен, что на стороне master утерян ключ связи. Это опять же приведёт к процессу реинициализации сопряжения, но уже инициатором будет slave.
Злоумышленник ожидает отправки master-устройством AU_RAND и отправляет в ответ случайно сгенерированный SRES. Попытка аутентификации провалена. Далее следует череда повторных попыток аутентификации(количество зависит от особенностей реализации устройств). При условии, что злоумышленник продолжает вводить master-устройство в заблуждение, вскоре (по счётчику неудачных попыток) устройствами будет принято решение о реинициализации сопряжения.^[21]

Использовав любой из этих методов, злоумышленник может приступить к базовой атаке на сопряжение. Таким образом, имея в арсенале эти две атаки, злоумышленник может беспрепятственно похитить PIN-код. Далее имея PIN-код он сможет установить соединение с любым из этих устройств. И стоит учесть, что в большинстве устройств безопасность на уровне служб, доступных через bluetooth, не обеспечивается на должном уровне. Большинство разработчиков делает ставку именно на безопасность установления сопряжения. Поэтому последствия действий злоумышленника могут быть различными: от кражи записной книжки телефона до установления исходящего вызова с телефона жертвы и использования его как прослушивающего устройства.

Эти методы описывают, как принудить устройства «забыть» link key, что само по себе ведёт к повторному pairing’у, а значит, злоумышленник может подслушать весь процесс с самого начала, перехватить все важные сообщения и подобрать PIN.

Оценка времени подбора PIN-кода

В протоколе Bluetooth активно используются алгоритмы E22, E21, E1, основанные на шифре SAFER+. Брюс Шнайер подтвердил, что уязвимость относится к критическим. Подбор PIN на практике прекрасно работает. Ниже приведены результаты полученные на Pentium IV HT на 3 ГГц:

Длина (знаков)	Время (сек)
4	0,063
5	0,75
6	7,609

Конкретные реализации вышеописанных атак могут работать с различной скоростью. Способов оптимизации множество: особые настройки компилятора, различные реализации циклов, условий и арифметических операций. Авишай Вул и Янив Шакед нашли способ сократить время перебора PIN-кода в разы.

Увеличение длины PIN-кода не является панацеей. Только сопряжение устройств в безопасном месте может частично защитить от описанных атак. Пример — bluetooth-гарнитура или автомобильный handsfree. Инициализация связи (при включении) с данными устройствами может происходить многократно в течение дня, и не всегда у пользователя есть возможность находиться при этом в защищённом месте.

Применение

Радиус работы устройств BT2 не превышает 15 метров, для BT1 до 100 м (класс А). Эти числа декларируются стандартом для прямой видимости, в реальности не стоит ожидать работу на расстоянии более 10—20 м. Такого дальнодействия недостаточно для эффективного применения атак на практике. Поэтому, ещё до детальной проработки алгоритмов атаки, на Defcon-2004 публике была представлена антенна-винтовка BlueSniper, разработанная Джонном Херингтоном (John Herington). Устройство подключается к портативному устройству — ноутбуку/КПК и имеет достаточную направленность и мощность (эффективная работа до 1,5 км).

См. также

Примечания

↑ Bluetooth traveler. www.hoovers.com. Проверено 2010-06-04/lang=en.
↑ ¹ ² About the Bluetooth SIG (англ.). Bluetooth SIG.(недоступная ссылка — история) Проверено 20 марта 2008. (недоступная ссылка — история)
↑ Jim Kardach. How Bluetooth got its name (англ.). United Business Media (3 мая 2008). Архивировано из первоисточника 24 августа 2011. Проверено 20 марта 2008.
↑ Monson, Heidi Bluetooth Technology and Implications. SysOpt.com (14 декабря 1999). Архивировано из первоисточника 24 августа 2011. Проверено 17 февраля 2009.
↑ About the Bluetooth SIG. Bluetooth SIG.(недоступная ссылка — история) Проверено 1 февраля 2008.(недоступная ссылка — история)
↑ Kardach, Jim How Bluetooth got its name (3 мая 2008). Архивировано из первоисточника 24 августа 2011. Проверено 24 февраля 2009.
↑ ¹ ² ³ Вишневский и др. Широкополосные беспроводные сети передачи данных. — М.: Техносфера, 2005. — 592 с. — ISBN 5-94836-049-0
↑ Soltanian A., Van Dyck R.E. Performance of the Bluetooth system in fading dispersive channelsand interference // IEEE Global Telecommunications Conference, 2001 (GLOBECOM ’01). — С. 3499—3503.
↑ ¹ ² BLUETOOTH SIG Introduces BLUETOOTH Low Energy Wireless Technology, the Next Generation BLUETOOTH Wireless Technology (англ.). Официальный сайт.(недоступная ссылка — история) Проверено 16 января 2010.(недоступная ссылка — история)
↑ Бителева А. Технологии мультимедийного доступа. Журнал «Теле-Спутник» 8(82) (август 2002). Архивировано из первоисточника 24 августа 2011. Проверено 15 января 2010.
↑ IEEE Std 802.15.1-2005 — IEEE Standard for Information technology — Telecommunications and information exchange between systems — Local and metropolitan area networks — Specific requirements Part 15.1: Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications for Wireless Personal Area Networks (WPANs)
↑ Guy Kewney High speed Bluetooth comes a step closer: enhanced data rate approved. Newswireless.net (16 ноября 2004). Архивировано из первоисточника 24 августа 2011. Проверено 4 февраля 2008.
↑ ¹ ² Specification Documents. Bluetooth SIG.(недоступная ссылка — история) Проверено 4 февраля 2008. (недоступная ссылка — история)
↑ HTC TyTN Specification (PDF). HTC. Проверено 4 февраля 2008.
↑ David Meyer. Bluetooth 3.0 released without ultrawideband. zdnet.co.uk (22 апреля 2009). Архивировано из первоисточника 24 августа 2011. Проверено 22 апреля 2009.
↑ Технические характеристики iPad третьего поколения. Apple. Архивировано из первоисточника 23 июня 2012. Проверено ???.
↑ Наконец-то: по-настоящему волшебный iPad. ??? (???). Архивировано из первоисточника 23 июня 2012. Проверено ???.
↑ http://www.bluetooth.com/SiteCollectionDocuments/A2DP_SPEC_V12.pdf
↑ Prof. Avishai Wool
↑ Yaniv Shaked, Avishai Wool (2005-05-02). «Cracking the Bluetooth PIN» (School of Electrical Engineering Systems, Tel Aviv University). Проверено 2010-06-04.
↑ Все эти атаки требуют отправки нужных сообщений в нужный момент времени. Стандартные устройства, доступные в продаже, почти со 100 % вероятностью не подойдут для этих целей.

Ссылки

EDR Безопасность | Что такое обнаружение конечных точек и реагирование на них?

Что такое EDR?

Согласно Gartner, Endpoint Detection and Response (EDR) определяется как решение, которое «записывает и хранит поведение на уровне конечных точек, использует различные методы анализа данных для обнаружения подозрительного поведения системы, предоставляет контекстную информацию, блокирует вредоносную активность и предоставляет предложения по исправлению положения для восстановления поврежденных систем ».

Настоящий инструмент EDR должен иметь следующие возможности:

Поиск и расследование происшествий
Сортировка предупреждений или проверка подозрительной активности
Обнаружение подозрительной активности
Поиск угроз или исследование данных
Прекращение вредоносной активности

Совет эксперта

В чем разница между EDR и антивирусом? Antivirus — это компонент защиты конечных точек, предотвращающий проникновение киберугроз в сеть.Когда угрозы проскакивают мимо антивируса, EDR обнаруживает эту активность и позволяет командам сдерживать противника, прежде чем он сможет продвинуться в сети.

Что следует искать в решении EDR?

Понимание ключевых аспектов безопасности EDR и их важности поможет вам лучше понять, что искать в решении. Для важно найти решение безопасности EDR, которое может обеспечить высочайший уровень защиты при минимальных усилиях и инвестициях. повысит ценность вашей группы безопасности без истощения ресурсов.Вот шесть ключевых аспектов EDR, на которые следует обратить внимание:

1. Видимость:

Видимость в реальном времени на всех ваших конечных точках позволяет вам отслеживать действия злоумышленников, даже когда они пытаются проникнуть в вашу среду, и немедленно их останавливать.

2. База данных угроз:

Эффективный EDR требует огромного количества телеметрии, собираемой с конечных точек и обогащенной контекстом, чтобы ее можно было обнаружить на предмет признаков атаки с помощью различных аналитических методов.

3.Поведенческая защита:

Если полагаться исключительно на основанные на сигнатуре методы или индикаторы взлома (IOC), то это приведет к «тихому сбою», который может привести к утечке данных. Эффективное обнаружение конечных точек и реагирование на них требует поведенческих подходов, которые ищут индикаторы атаки (IOA), поэтому вы будете предупреждены о подозрительных действиях до того, как может произойти компрометация.

4. Проницательность и разведка:

Решение для обнаружения конечных точек и реагирования, которое объединяет аналитические данные об угрозах, может предоставить контекст, в том числе подробные сведения о приписанном противнике, который атакует вас, или другую информацию об атаке.

5. Быстрый ответ:

EDR, который позволяет быстро и точно реагировать на инциденты, может остановить атаку до того, как она станет нарушением, и позволит вашей организации быстро вернуться к работе.

6. Облачное решение:

Наличие облачного решения для обнаружения и реагирования конечных точек — единственный способ обеспечить нулевое воздействие на конечные точки, при этом обеспечивая возможность выполнения таких функций, как поиск, анализ и расследование, точно и в режиме реального времени.

Как работает EDR?

Решения

EDR работают, обеспечивая непрерывную и полную видимость в реальном времени того, что происходит на ваших конечных точках.Затем к данным конечных точек применяются поведенческий анализ и практическая информация, чтобы предотвратить превращение инцидента в нарушение.

Инструмент EDR

CrowdStrike, Falcon Insight, делает это с помощью:

Автоматически обнаруживает незаметных злоумышленников

Falcon Insight объединяет комплексную видимость на всех конечных точках с IOA, а применяет поведенческую аналитику, которая анализирует миллиарды событий в реальном времени. автоматически обнаруживает следы подозрительного поведения.

Понимание отдельных событий как части более широкой последовательности позволяет агенту Falcon Insight применять логику безопасности, полученную из CrowdStrike Intelligence.Если последовательность событий соответствует известному IOA, агент Falcon определит действие как вредоносное и автоматически отправит предупреждение об обнаружении. Пользователи также могут создавать свои собственные поисковые запросы за период до 90 дней с облачной архитектурой Falcon Insight, возвращающей результаты запроса за пять секунд или меньше.

2021 CrowdStrike Global Threat Report

Загрузите 2021 Global Threat Report , чтобы выявить тенденции постоянно меняющихся тактик, методов и процедур злоумышленников, которые наши команды наблюдали в прошлом году.

Загрузить сейчас

интегрируется с анализом угроз

Интеграция с системой аналитики киберугроз CrowdStrike обеспечивает более быстрое обнаружение действий и тактик, методов и процедур (ДТС), идентифицированных как вредоносные. Это предоставляет контекстуализированную информацию, которая включает в себя атрибуцию, где это уместно, предоставляет подробную информацию о противнике и любую другую информацию, известную об атаке.

Операционные центры безопасности (SOC) и аналитики безопасности получают подробное описание, в котором указывается, «кто, почему и что» произошло по событию , что дает организациям возможность лучше подготовиться к защите.

Управляемый поиск угроз для проактивной защиты

Как часть платформы Falcon, управляемая служба поиска угроз Falcon OverWatch ™ добавляет дополнительный уровень защиты с помощью команды опытных охотников, действующих от имени клиента, чтобы гарантировать, что угрозы не будут пропущены и, в конечном итоге, предотвратить мега взлом .

Используя Falcon Insight EDR, члены команды OverWatch активно работают над поиском, исследованием и консультированием по активности угроз в вашей среде. Когда они обнаруживают угрозу, они работают вместе с вашей командой, чтобы отсортировать, расследовать и устранить инцидент, прежде чем он сможет превратиться в полномасштабное нарушение.

Обеспечивает видимость в режиме реального времени и истории

Falcon Insight действует как цифровой видеорегистратор на конечной точке, записывая соответствующие действия для выявления инцидентов, которые не удалось предотвратить. . Клиентам предоставляется полная видимость всего, что происходит на их конечных точках, с точки зрения безопасности, поскольку агент Falcon отслеживает сотни различных событий, связанных с безопасностью, таких как создание процесса, загрузка драйверов, изменения реестра, доступ к диску, доступ к памяти или сетевые подключения.

Пример интерактивного дерева процессов с контекстом

Это дает группам безопасности необходимую им полезную информацию, в том числе:

локальные и внешние адреса, к которым подключен хост
все учетные записи пользователей, которые вошли в систему, как напрямую, так и удаленно
сводка изменений ключей ASP, исполняемых файлов и использования административных инструментов
выполнения процессов
как сводная, так и подробная сетевая активность на уровне процессов, включая запросы DNS, подключения и открытые порты
, включая RAR и ZIPS
использование съемных носителей

Такой полный надзор за деятельностью конечных точек, связанных с безопасностью, позволяет группам безопасности «просматривать» действия злоумышленника в режиме реального времени, наблюдая, какие команды они выполняют и какие методы используют, даже когда они пытаются проникнуть в среду или перемещаться по ней. .

Ускоряет расследования

Обнаружение конечных точек

CrowdStrike и реагирование на них может повысить скорость расследования и, в конечном итоге, исправления, поскольку информация, собранная с ваших конечных точек, хранится в облаке CrowdStrike через платформу Falcon с архитектурой, основанной на ситуационной модели.

Модель отслеживает все взаимосвязи и контакты между каждым событием конечной точки с помощью массивной мощной графической базы данных, которая предоставляет подробные сведения и контекст быстро и в нужном масштабе как для исторических данных, так и для данных в реальном времени.Это позволяет службам безопасности быстро расследовать инциденты.

Эта скорость и уровень наглядности в сочетании с интегрированным контекстным интеллектом предоставляют информацию, необходимую для полного понимания данных . Это позволяет группам безопасности эффективно отслеживать даже самые изощренные атаки и оперативно обнаруживать инциденты, а также сортировать, проверять и расставлять приоритеты, что приводит к более быстрому и более точному устранению последствий.

Обеспечивает быстрое и надежное исправление ошибок

Falcon Insight может изолировать конечную точку, что называется «сдерживание сети».«Это позволяет организациям принимать быстрые и мгновенные меры, изолируя потенциально скомпрометированные хосты от всей сетевой активности.

Когда конечная точка находится в состоянии сдерживания, она все еще может отправлять и получать информацию из облака CrowdStrike, но она будет оставаться закрытой, даже если соединение с облаком будет разорвано, и будет сохраняться в этом состоянии сдерживания во время перезагрузок.

Когда дело доходит до реагирования на возникающие угрозы, время имеет решающее значение, и реагирующим лицам требуется глубокая и полная прозрачность в реальном времени, чтобы они могли быстро и решительно реагировать на них.

Falcon Insight включает функцию реагирования в реальном времени, которая обеспечивает улучшенную видимость, что позволяет службам безопасности немедленно понимать угрозы, с которыми они имеют дело, и устранять их напрямую, не оказывая при этом никакого влияния на производительность.

Real Time Response включает два набора встроенных команд, которые вы можете выполнять во время расследования, чтобы ускорить исправление.

Сборщики информации позволяют группам безопасности немедленно понять риск и масштаб расширенной угрозы, выполняя такие задачи, как:

Изучить файловую систему и извлечь файлы
Список запущенных процессов
Извлечь журнал событий Windows
Запрос реестра Windows
Список текущих сетевых подключений и конфигурации
Извлечь память процесса
Вычислить хэши файлов
Сбор переменных среды
Сбор дополнительной необходимой информации с помощью PowerShell или других инструментов

Действия по устранению позволяют командам оперативно и решительно принимать меры по сдерживанию или устранению угрозы, в том числе:

Удалить файл
Убить процесс
Удалить или изменить ключ или значение реестра Windows
Поставил напильник
Запустить сценарий или исполняемый файл
Зашифровать файл
Перезагрузка / выключение

Благодаря облачной архитектуре CrowdStrike, легковесному агенту и унифицированной консоли возможности реагирования в реальном времени могут быть доставлены в любую систему в любой точке мира без ущерба для стоимости или производительности.

Подробнее

Загрузите нашу техническую документацию о том, как «модель зрелости EDR» может помочь вам выбрать решение, которое наилучшим образом соответствует потребностям вашей организации. Загрузить информационный документ

Почему EDR важен?

К настоящему времени все организации должны знать, что при наличии достаточной мотивации, времени и ресурсов злоумышленники в конечном итоге найдут способ преодолеть вашу защиту, независимо от того, насколько они продвинуты. Ниже приведены некоторые веские причины, по которым EDR должен быть частью вашей стратегии безопасности конечных точек.

Причина №1: только профилактика не может обеспечить 100-процентную защиту

Когда предотвращение дает сбой, ваша организация может остаться в неведении из-за ее текущего решения по обеспечению безопасности конечных точек. Злоумышленники используют эту ситуацию, чтобы задерживаться и перемещаться по вашей сети.

Причина № 2: злоумышленники могут находиться внутри вашей сети в течение нескольких недель и возвращаться по желанию.

Из-за тихого сбоя злоумышленники могут свободно перемещаться в вашей среде, часто создавая лазейки, которые позволяют им вернуться по своему желанию.В большинстве случаев организация узнает о нарушении от третьей стороны, например от правоохранительных органов или от своих клиентов или поставщиков.

Причина № 3: Организациям не хватает прозрачности, необходимой для эффективного мониторинга конечных точек

Когда нарушение, наконец, обнаружено, организация-жертва может потратить месяцы, пытаясь исправить инцидент, потому что ей не хватает видимости, необходимой для того, чтобы точно увидеть и понять, что произошло, как это произошло и как это исправить — только для того, чтобы увидеть, как злоумышленник возвращается в течение дело дней.

Причина № 4: Для реагирования на инцидент необходим доступ к оперативной информации.

Организациям может не хватать видимости, необходимой для понимания того, что происходит на ее конечных точках, она может быть не в состоянии записать то, что имеет отношение к безопасности, сохранить ее, а затем, при необходимости, достаточно быстро вызвать информацию.

Причина № 5: Наличие данных — только часть решения

Даже когда данные доступны, группам безопасности нужны ресурсы, необходимые для их анализа и полного использования.Вот почему многие группы безопасности обнаруживают, что вскоре после развертывания продукта для сбора событий, такого как SIEM, они часто сталкиваются со сложной проблемой данных. Проблемы, связанные с пониманием того, что искать, скорости и масштабируемости, начинают возникать, а другие проблемы возникают еще до того, как их основные цели могут быть решены.

Причина № 6: Восстановление может быть длительным и дорогостоящим

Без перечисленных выше возможностей организации могут потратить недели, пытаясь понять, какие действия следует предпринять. Часто единственным выходом является изменение образа машин, что может нарушить бизнес-процессы, снизить производительность и в конечном итоге привести к серьезным финансовым потерям.

Хотите увидеть решение EDR в действии? Нажмите кнопку ниже, чтобы просмотреть по запросу демонстрацию платформы защиты конечных точек CrowdStrike.

Смотреть сейчас

Безопасность

EDR — что такое обнаружение конечных точек и реагирование на них?

Почему EDR важен?

По мере того как удаленная работа становится все более распространенной, надежная защита конечных точек становится все более важным компонентом стратегии кибербезопасности любой организации. Развертывание эффективного решения безопасности EDR имеет важное значение для защиты как предприятия, так и удаленных сотрудников от киберугроз.

EDR разработан, чтобы выйти за рамки реактивной киберзащиты, основанной на обнаружении. Вместо этого он предоставляет аналитикам безопасности инструменты, необходимые для упреждающего выявления угроз и защиты организации. EDR предоставляет ряд функций, которые улучшают способность организации управлять рисками кибербезопасности, например:

Улучшенная видимость: Решения безопасности EDR обеспечивают непрерывный сбор и анализ данных, а также отчеты в единую централизованную систему.Это дает группе безопасности полную информацию о состоянии конечных точек сети с единой консоли.
Rapid Investigations: Решения EDR предназначены для автоматизации сбора и обработки данных, а также некоторых действий по реагированию. Это позволяет группе безопасности быстро получить информацию о потенциальном инциденте безопасности и быстро предпринять шаги по его устранению.
Автоматизация исправления: Решения EDR могут автоматически выполнять определенные действия по реагированию на инциденты на основе заранее определенных правил.Это позволяет им блокировать или быстро устранять определенные инциденты и снижает нагрузку на аналитиков по безопасности.
Контекстуализированный поиск угроз: Непрерывный сбор и анализ данных решений EDR обеспечивают глубокую видимость состояния конечной точки. Это позволяет охотникам за угрозами выявлять и исследовать потенциальные признаки существующей инфекции.

EDR и EPP
Endpoint Detection and Response (EDR) и Endpoint Protection Platforms (EPP) имеют схожие цели, но предназначены для выполнения разных задач.EPP разработан для обеспечения защиты на уровне устройства путем выявления вредоносных файлов, обнаружения потенциально вредоносной активности и предоставления инструментов для расследования инцидентов и реагирования на них.
Профилактический характер ПОП дополняет проактивную МЭД. EPP действует как первая линия защиты, отфильтровывая атаки, которые могут быть обнаружены с помощью развернутых в организации решений безопасности. EDR действует как второй уровень защиты, позволяя аналитикам безопасности выполнять поиск угроз и выявлять более тонкие угрозы для конечной точки.
Для эффективной защиты конечных точек требуется решение, объединяющее возможности EDR и EPP для обеспечения защиты от киберугроз, не перегружая команду безопасности организации.
Ключевые компоненты решения EDR
Как следует из названия, решение безопасности EDR должно обеспечивать поддержку как обнаружения киберугроз, так и реагирования на конечные точки организации. Чтобы аналитики по безопасности могли эффективно и проактивно обнаруживать киберугрозы, решение EDR должно включать следующие компоненты:
Поток обработки инцидентов: Команды безопасности обычно перегружены предупреждениями, большая часть которых является ложноположительной.Решение EDR должно автоматически сортировать потенциально подозрительные или вредоносные события, позволяя аналитикам безопасности определять приоритеты своих расследований.
Threat Hunting: Не все инциденты безопасности блокируются или обнаруживаются решениями безопасности организации. Решения EDR должны обеспечивать поддержку действий по поиску угроз, чтобы аналитики безопасности могли упреждающе искать потенциальное вторжение.
Агрегация и обогащение данных : Контекст важен для правильного различения истинных угроз и ложных срабатываний.Решения безопасности EDR должны использовать как можно больше данных для принятия обоснованных решений о потенциальных угрозах.
После того, как угроза была идентифицирована, аналитик безопасности должен иметь возможность быстро устранить угрозу. Для этого требуются следующие возможности:
Integrated Response: Переключение контекста снижает способность аналитика быстро и эффективно реагировать на инциденты безопасности. Аналитики должны иметь возможность немедленно принять меры для реагирования на инцидент безопасности после изучения связанных доказательств.
Варианты множественного ответа: Надлежащий ответ на киберугрозу зависит от ряда факторов. Решение EDR должно предоставлять аналитикам несколько вариантов ответа, таких как ликвидация или помещение в карантин конкретной инфекции.
Почему защита конечных точек важнее, чем когда-либо
Безопасность конечных точек всегда была важной частью стратегии кибербезопасности организации. Несмотря на то, что сетевая защита эффективна для блокирования большого процента кибератак, некоторые из них проскочат, а другие (например, вредоносные программы, переносимые на съемные носители) могут полностью обойти эту защиту.Решение для защиты на основе конечных точек позволяет организации внедрять глубокоэшелонированную защиту и повышать вероятность выявления этих угроз и реагирования на них.
Однако важность надежной защиты конечных точек возросла, поскольку организации все больше поддерживают удаленную работу. Сотрудники, работающие из дома, могут быть не защищены от киберугроз в той же степени, что и сотрудники на местах, и могут использовать личные устройства или устройства, на которых отсутствуют последние обновления и исправления безопасности. Кроме того, сотрудники, работающие в более непринужденной обстановке, также могут более небрежно относиться к своей кибербезопасности.
Все эти факторы подвергают организацию и ее сотрудников дополнительному риску кибербезопасности. Это делает надежную безопасность конечных точек важной, поскольку она защищает сотрудников от заражения и может помешать киберпреступникам использовать компьютер удаленного работника в качестве ступеньки для атаки на корпоративную сеть.
Усовершенствованное решение для защиты конечных точек
Check Point — это комплексное решение безопасности для организаций, работающих в новой реальности «работа из дома» с удаленными сотрудниками.Он обеспечивает защиту от самых непосредственных угроз конечным точкам с мгновенным и полным исправлением даже в автономном режиме, включая программы-вымогатели и другие вредоносные программы. Чтобы увидеть, как Check Point может помочь защитить вашу удаленную рабочую силу от киберугроз, запланируйте демонстрацию, чтобы увидеть Check Point Harmony Endpoint в действии.
Рекомендуемые ресурсы
Что такое обнаружение конечных точек и реагирование на них и почему это важно
Что такое EDR?
Endpoint Detection and Response (EDR) — это новое расширение традиционной защиты конечных точек с упором на большую видимость конечных точек с целью обеспечения более быстрого времени отклика.Например, когда конечная точка сталкивается с невиданной ранее угрозой, EDR позволяет отслеживать новую угрозу и, при необходимости, классифицировать ее как вредоносную.
Благодаря EDR безопасность конечных точек обеспечивает дополнительную видимость для постоянных угроз нулевого дня, полиморфных и расширенных постоянных угроз и позволяет незамедлительно реагировать. Например, модели машинного обучения можно обучить отслеживать неизвестный файл и принимать решения о категоризации на основе поведения. Другими словами, только когда файл начинает действовать аналогично известным вредоносным файлам, он классифицируется как таковой.
Почему EDR важен?
EDR
важен, во-первых, потому что, согласно данным Webroot, 93% всех вредоносных программ, обнаруженных в 2018 году, были полиморфными. Это означает, что практика защиты конечных точек на основе статических списков текущих угроз, переданных отдельным конечным точкам, изжила себя. Для того, чтобы такая система работала, обновления необходимо будет выпускать почти непрерывно, что приведет к сбоям в работе устройств и ухудшению взаимодействия с пользователем.
Вместо этого с платформой, основанной на облачной архитектуре машинного обучения, такой как платформа Webroot®, угрозы могут быть идентифицированы по мере их попадания на устройство, а все подключенные к облаку устройства могут быть защищены от новой угрозы всего за несколько минут.
EDR и кибербезопасность
Современный ландшафт угроз требует инновационных методов защиты. Простые решения для обеспечения безопасности конечных точек на основе определений больше не могут защитить предприятия или отдельных лиц. Как для потребителей, так и для предприятий важно изучить технологию, поддерживающую их предпочтительное решение для защиты конечных точек.
Для предприятий, которым требуется продвинутая облачная архитектура машинного обучения, которая делает возможным EDR, изучите Webroot ^® Business Endpoint Protection здесь.
Что такое безопасность EDR? (И почему это важно)
28 год Апр
Майкл Суонаган, CISSP, CISA, CISM Конечные точки
сегодня представляют значительную угрозу безопасности для предприятий.
Одна из причин заключается в том, что хакеры научились внедрять код в операционную систему и лежащие в ее основе приложения.
Обнаружение и ответ конечных точек (EDR) обеспечивает дополнительный уровень защиты конечных точек, который отсутствует в традиционном антивирусном программном обеспечении.Намерение большинства хакеров сегодня заключается в том, чтобы тайно установить вредоносное ПО на конечную точку, чтобы украсть пароли, зашифровать и удерживать ваши файлы с целью выкупа, записывать нажатия клавиш или незаметно выполнять вредоносные действия. Чтобы противостоять скрытым угрозам, направленным на использование конечной точки, необходим уровень защиты конечной точки.
В этой статье мы дадим определение EDR, объясним, как он работает, исследуем, когда это необходимо, и выясним, какие решения сегодня лидируют на рынке EDR.
Навигация по артикулам
Что такое конечная точка?
Конечная точка — это точка входа и выхода из сети организации.
Наиболее распространенные конечные точки для организации:
Ноутбуки
Рабочие места
Серверов
Таблетки
Смартфоны
Конечное устройство содержит операционную систему и приложения, которые позволяют нам подключаться к Интернету.
Как только это соединение установлено, конечное устройство может отправлять и получать электронную почту, обрабатывать финансовые транзакции и выполнять многие другие связанные действия за считанные секунды. Это отличная технология, но у нее есть серьезный недостаток.
Подробнее : 10 тенденций кибербезопасности, которые нельзя игнорировать в 2021 году
Обнаружение конечной точки и ответ (EDR)
Технология обнаружения и реагирования на конечные точки
определяется как — решение, которое непрерывно регистрирует системные действия и события, происходящие на конечных точках, и обеспечивает видимость для групп безопасности, что им необходимо для обнаружения инцидентов, которые в противном случае остались бы невидимыми.
Исследователь Gartner придумал этот термин в 2013 году, чтобы отличить его возможности от традиционных средств защиты от вредоносных программ.
Антивирус — это то же самое, что и EDR?
Является ли расширенная защита от угроз такой же, как EDR? Ну, как и большинство сценариев в кибербезопасности — это зависит от . Множество терминов и продуктов, используемых для защиты конечной точки, может вызывать затруднения и сбивать с толку.
Причина в том, что EDR может быть компонентом набора продуктов поставщика программного обеспечения.Поставщик может использовать эти термины взаимозаменяемо или отдельно указать его как отдельный продукт. Подробнее о различных поставщиках мы поговорим позже в этой статье, а пока рассмотрим различия между EDR и антивирусными решениями.
EDR дополняет традиционный антивирус.
Целью антивируса является предотвращение вредоносных программ путем сопоставления определенной сигнатуры или шаблона. После сопоставления сигнатуры вредоносного ПО соответствующий файл обычно удаляется или помещается на карантин в другую папку на конечной точке.
Операция регистрируется на конечной точке, и это конец. Но что, если вредоносная программа не была полностью очищена и продолжает работать в рамках нового процесса. На этот раз файлы повреждены или повреждены. Аналитику службы поддержки настольных компьютеров теперь поручено найти журналы и попытаться выполнить анализ, который может занять значительное время.
Каковы обычные действия? Удалите устройство из сети и протрите его начисто. Такой подход действительно сэкономит время и человеко-часы, но что, если одно и то же вредоносное ПО появится снова или, что еще лучше, на разных конечных точках в корпоративной сети.Проблема очевидна, необходим другой метод оповещения и анализа, чтобы дополнить существующее решение.
Вот где на сцену выходит EDR.
EDR обеспечивает графическое представление того, как злоумышленник получил доступ к системе и что он сделал, оказавшись внутри. EDR может обнаруживать вредоносную активность на конечной точке в результате эксплойтов нулевого дня, сложных постоянных угроз, атак без файлов или вредоносных программ, которые не оставляют сигнатур и, следовательно, могут обойти устаревший антивирус.
Как работает EDR?
Для того, чтобы EDR изучал и отслеживал конечную точку, он должен быть сначала установлен на конечной точке. Эта установка обычно выполняется в виде агента или программного пакета, который развертывается на конечной точке. Агент находится на конечной точке, которая собирает данные и отправляет отчеты внутренней системе баз данных в локальной сети организации или в облачный экземпляр.
Хотя у каждого поставщика есть свой собственный агент, который выполняет обнаружение, основные функции EDR одинаковы для всех поставщиков.
Давайте теперь углубимся и посмотрим, как работает EDR:
Агент установлен на оконечном устройстве. Агент следит за компьютером и архивирует все его действия.
Аналитика поведения пользователей и объектов (UEBA) — это тип процесса кибербезопасности, который учитывает нормальное поведение пользователей. В свою очередь, они обнаруживают любое аномальное поведение или случаи отклонения от этих «нормальных» моделей.Например, если конкретный пользователь регулярно загружает 10 МБ файлов каждый день, но внезапно загружает гигабайты файлов, система сможет обнаружить эту аномалию и немедленно предупредить их.
Агент непрерывно отслеживает и анализирует действия на конечной точке и передает информацию непосредственно на панель управления консоли с помощью уведомления.
Агент обнаруживает ненормальное поведение конечной точки, потенциально вредоносное. Расширенные алгоритмы отображают путь сервисов и процессов, которые последовательно выполнялись во время атаки
Создается визуализация или карта процесса, чтобы проиллюстрировать процесс или процессы, вызвавшие событие.Предоставляется возможность перейти к защищающемуся исполняемому файлу или программе и узнать, откуда они взялись.
Аналитик безопасности или инженер получает сообщение с уведомлением по электронной почте. Аналитик просматривает предупреждения, чтобы создать план исправления.
Как указывалось ранее, основные функции решений EDR, представленных сегодня на рынке, аналогичны по своей эффективности. Основным отличием поставщиков является то, как они визуально представляют информацию на консоли.Независимо от вида панели управления или консоли конечная цель EDR — предоставить анализ злонамеренной атаки в реальном времени и исторический анализ.
Когда вам нужно решение EDR?
Когда новая конечная точка включается и подключается к локальной корпоративной сети или Интернету, она становится уязвимой для атаки.
Новые или существующие компьютеры нередко автоматически подключаются к веб-сайту вашего антивирусного продукта, чтобы загрузить последние определения вирусов для защиты от вредоносных программ.В корпоративной среде группы ИТ-поддержки могут направить все конечные точки на сервер репозитория для получения пакетов антивирусного программного обеспечения.
Если организации не удается создать процесс для немедленного обновления своих конечных точек с помощью какой-либо формы защиты от вредоносных программ, атака на конечную точку — это вопрос времени.
Сегодня, с наплывом хакеров и инновационных методов вредоносного ПО, руководители, принимающие решения, сталкиваются с проблемой: покупать и добавлять ли дополнительные решения для защиты конечных точек, чтобы опережать хакеров.
В зависимости от характера организации бизнес может обрабатывать данные PII, PHI и PCI. Риск потери данных в любом из этих стандартов высок.
Следовательно, аналитики безопасности должны иметь инструменты конечных точек, которые обеспечивают видимость поведения системных процессов в режиме реального времени, а также возможность выполнять пост-разведку на конечной точке, которая была взломана.
EDR может обеспечить такой уровень видимости.
Антивирусное программное обеспечение исторически является наиболее распространенным компонентом защиты конечной точки. Эксперты по безопасности полагают, что антивирусных приложений недостаточно, в то время как другие говорят, что в этом нет необходимости.
Факты показывают, что автономная антивирусная защита — не лучшая альтернатива для обнаружения современных вредоносных программ, таких как программы-вымогатели. Подход, который предлагают многие эксперты в области безопасности, заключается в том, что эшелонированная защита — лучшее решение.
Когда организация подвергается опасности с помощью вредоносных программ, таких как программы-вымогатели, обычно обнаруживается, что это антивирусное программное обеспечение было установлено и запущено. Этот случай является убедительным показателем того, что необходим надежный дополнительный инструмент, а именно EDR.
Лучшее время для рассмотрения решения EDR — до атаки.
Это мало чем отличается от защиты вашего дома. Двери и окна в новом доме запираются на замок — это стандартное явление.Однако для дополнительной защиты большинство новых домовладельцев сразу же приобретают сигнализацию, дополняющую традиционную безопасность дверных и оконных замков.
Подобно защите ваших конечных точек, требуется нечто большее, чем просто традиционный антивирус. EDR дополняет антивирус.
Хорошей новостью является то, что многие поставщики антивирусных программ разработали программное обеспечение EDR, которое интегрируется с их существующим антивирусным агентом или представляет собой отдельный продукт, которым можно управлять с той же консоли.В следующем разделе мы рассмотрим топ-лидеров рынка EDR.

Согласно отчету независимого исследования рынка Forrester, три компании лидируют в области решений Enterprise Detection Response (другое название EDR).
Лучшие решения EDR на рынке сегодня включают:
Microsoft’s Advanced Threat Prevention
CrowdStrike’s Falcon Insight
Trend Micro
VMware Угольно-черный
Bitdefender
Cybereason
Эластичный
SentinelOne
McAfee
Cybereason
Palo Alto Networks
Касперский
BlackBerry Cylance
Что интересно, согласно текущему отчету Forrester, Microsoft является одним из лидеров в первом квартале 2020 года.Когда вы думаете о Microsoft, на ум приходит их бесплатное антивирусное решение под названием Windows Defender. Microsoft больше не представляет возможности EDR в своем продукте Advanced Threat Prevention.
VMWare Carbon Black — еще один популярный продукт EDR, который дает аналитикам по безопасности визуализацию атакуемой конечной точки и предоставляет возможности записи, чтобы оглянуться назад на поток процесса угрозы.
Я могу лично подтвердить возможности этого продукта.Нашу команду вызвали для расследования возможной утечки данных из неизвестного источника, произошедшей несколькими часами ранее.
Поскольку нам принадлежал продукт Threat Hunter компании Carbon Black вместе с агентами, установленными на наши ноутбуки, аналитик вошел в консоль и обнаружил объект, который предположительно был взломан.
Используя приведенный ниже пример анализа процессов, мы смогли развернуть все дочерние процессы, чтобы найти исполняемый файл программы на конечной точке.
В течение нескольких минут мы смогли найти удаленный процесс, который пытался получить доступ к устройству и IP-адресу источника. Действия совпадали с временем предполагаемой атаки, что подтвердило, что мы обнаружили источник проблемы.
К счастью, мы определили, что это не злонамеренная атака, а непреднамеренная попытка удаленного управления устройством со стороны внутреннего аналитика службы поддержки. Основываясь на результатах анализа с помощью Carbon Black Threat Hunter, мы на собственном опыте убедились в возможностях и ценности решения EDR.
Сколько стоит решение EDR?
Поскольку многие поставщики не раскрывают полностью свои расценки на своих общедоступных веб-сайтах, годовая стоимость на пользователя, указанная ниже, является приблизительной:
Поставщик, в большинстве случаев, направит вас к рекомендованному им реселлеру с добавленной стоимостью или поставщику управляемых услуг для получения точной цены.
Другие факторы, влияющие на стоимость решений EDR, включают:
Количество пользователей
Техническое обслуживание
Поддержка
Как и любое другое сложное приложение безопасности, внутреннему операционному персоналу необходимо полностью понимать функции инструмента, чтобы распознавать атаки и реагировать на них.Если ваша организация решит продвинуться вперед с приобретением решения EDR, целесообразно включить обучение.
Это увеличит общую стоимость, однако это необходимо для оптимального возврата инвестиций.
Многие поставщики также предлагают профессиональные услуги для помощи во внедрении приложения, а также предоставляют постподдержку.
Добавление этого уровня обслуживания, скорее всего, увеличит общие годовые затраты, однако дополнительные затраты того стоят, если внутренние знания и ресурсы ограничены.
Заключение

В спортивном мире говорят, что лучшая защита — это хорошее нападение. Многие организации сегодня сосредоточены на добавлении уровней безопасности для защиты своей корпоративной инфраструктуры в локальной среде или в облаке.
Решение EDR не только добавляет защитный уровень, но также обеспечивает наступательный компонент, проактивно выявляя события угроз до того, как они могут повлиять на сеть.
В этой статье мы определили термин «решение для обнаружения и реагирования конечных точек» (EDR) и то, как оно дополняет существующие вредоносные программы и инструменты предотвращения угроз.
Эффективное решение EDR может расширять и обеспечивать столь необходимую видимость для групп поддержки безопасности, чтобы быстро расследовать угрозы по мере их возникновения в режиме реального времени или из архивной резервной копии.
Добавление решения EDR определенно повысит уровень безопасности вашей организации.После внедрения вы будете на пути к защите своих конечных точек от атак, чтобы ваши бизнес-операции продолжались безопасно и надежно.
Статьи по теме
Что такое EDR и как его использовать?
Существует бесчисленное множество инструментов кибербезопасности, которые необходимы современному бизнесу для противодействия угрозам кибербезопасности. В частности, защита конечных точек стала невероятно важной, поскольку многие злоумышленники пытаются использовать слабые места в отдельных конечных точках сети, чтобы попытаться обойти сетевую безопасность своей цели.
В области безопасности конечных точек сети есть вероятность, что вы встретите термин «EDR» раньше, чем позже. Что такое EDR? Что еще более важно, как вы можете использовать EDR для защиты конечных точек?
Вот краткое объяснение основ EDR и того, как он может помочь защитить ваш бизнес:
Что такое EDR?
EDR — это аббревиатура от термина «обнаружение конечной точки и ответ». Этот термин используется для обозначения множества различных инструментов кибербезопасности, которые используются для защиты конечных точек сети от киберугроз.Конкретные возможности инструментов обнаружения конечных точек и реагирования будут сильно различаться от одного инструмента к другому, но некоторые общие из них включают:
Инструменты мониторинга. Многие инструменты EDR имеют ту или иную форму мониторинга оконечных устройств, аналогичную инструменту управления информацией и событиями безопасности (SIEM) — если они более ограничены или детализированы по объему. Эти инструменты мониторинга могут помочь выявить необычные шаблоны использования конечного сетевого устройства — такие как необычные запросы особо конфиденциальной информации из баз данных, к которым устройство обычно не обращается, или устройство, которое включается в нерабочее время, — и генерировать предупреждение.
Обнаружение угроз вредоносного ПО. Еще одна общая черта многих инструментов EDR — это возможность сканировать оконечные устройства сети на наличие вредоносных программ и других постоянных угроз. Возможность обнаруживать и удалять вредоносные программы является основной необходимостью наряду с частыми проверками и сканированием.
Белые / черные списки программ. Некоторые решения EDR используют белые списки (ограниченные списки «безопасных» программ) или черные списки (списки известных вредоносных программ), чтобы блокировать выполнение вредоносного кода на конечных точках сети.
Автоматическое реагирование на угрозы. Чтобы обеспечить максимальную безопасность сети, некоторые решения EDR поддерживают возможности автоматического реагирования на угрозы. Когда угроза обнаруживается в конечной точке сети, решение EDR автоматически инициирует соответствующий ответ, чтобы сдержать или нейтрализовать угрозу. Ответ будет зависеть от характера угрозы и от того, интегрировано ли решение EDR с другими решениями безопасности. Эта функция может быть особенно полезной для ограничения воздействия кибератаки.
Интеграция с другими решениями безопасности. Некоторые системы обнаружения конечных точек и реагирования созданы для интеграции с другими решениями безопасности. Это часто используется для запуска автоматического реагирования на угрозы. Например, предположим, что EDR обнаруживает вредоносную программу на компьютере. Затем решение EDR может сигнализировать сторонней программе защиты от вредоносных программ немедленно удалить вредоносное ПО, не дожидаясь ответа от пользователя.
Обратите внимание, что приведенный выше список не является исчерпывающим и не репрезентативным для всех решений EDR.Некоторые программы обнаружения конечных точек и реагирования могут иметь возможности, которых нет в этом списке, или могут не иметь одного или нескольких из вышеперечисленных. Итак, при поиске решения EDR для защиты вашей собственной сети важно спросить, каковы его особенности и функции.
От чего защищают решения EDR?
От каких угроз решение EDR может помочь защитить вашу сеть? Существует множество различных угроз, которым могут противостоять меры защиты конечных точек, такие как системы EDR, в том числе:
Вредоносные программы. Некоторые решения EDR можно использовать для быстрого устранения основных угроз, таких как вредоносные программы, установленные на конечных точках сети. Это помогает ограничить подверженность компании угрозам, основанным на вредоносном ПО, и их последствиям.
Внутренние атаки. Как решение сетевой безопасности, которое в значительной степени связано с проверкой целостности конечных точек сети, EDR может помочь предотвратить внутренние угрозы, которые обходят меры безопасности периметра. В частности, инструменты EDR для мониторинга поведения могут помочь быстро выявить ненормальные шаблоны использования, чтобы можно было быстро остановить текущие атаки.
Активные постоянные угрозы. С активными постоянными угрозами (APT) трудно бороться, потому что они разработаны таким образом, чтобы их было трудно обнаружить при перекачивании данных для дальнейшего использования злоумышленником. Возможности мониторинга инструментов EDR помогают им обнаруживать APT и, в сочетании с автоматическим реагированием на угрозы, эффективно противодействовать им — надеюсь, до того, как у злоумышленников появится шанс украсть слишком много данных.
Возможность противостоять внутренним угрозам — особенно важное преимущество использования решений EDR.Это связано с тем, что внутренние атаки обходят многие традиционные меры кибербезопасности, ориентированные на периметр, используемые предприятиями.
В целом, решения EDR могут быть неоценимой частью любого набора инструментов сетевой безопасности. Однако они по-прежнему являются лишь частью полной архитектуры кибербезопасности.
Вам нужна помощь в настройке решения EDR для вашей организации? Обратитесь к экспертам Compuquip Cybersecurity, чтобы начать работу.
Все, что вам нужно знать
Конечные точки
— излюбленная цель злоумышленников — они повсюду, подвержены уязвимостям безопасности и их сложно защитить.Например, согласно сообщениям, атака WannaCry в 2017 году затронула более 230 000 конечных точек по всему миру.
Что такое обнаружение конечной точки и ответ (EDR)?
Платформы обнаружения и реагирования на конечные точки
(EDR) — это решения, которые отслеживают конечные точки (компьютеры в сети, а не саму сеть) на предмет подозрительной активности. Решения EDR, разработанные аналитиком Gartner Антоном Чувакиным в 2013 году, ориентированы на устройства конечных пользователей — ноутбуки, настольные компьютеры и мобильные устройства.
Получите бесплатное основное руководство по соответствию и нормативным требованиям США по защите данных
Решения
EDR обеспечивают видимость и мониторинг подозрительной активности, такой как вредоносное ПО и кибератаки, на эти устройства конечных пользователей.
Почему EDR важен?
Каждое устройство, которое подключается к сети, является потенциальным вектором атаки для киберугроз, и каждое из этих подключений является потенциальной точкой входа в ваши данные. С развитием BYOD (приносите свои собственные устройства) мобильные атаки и изощренные методы взлома только увеличили риск утечки данных.
Решения
EDR помогают защитить эти точки входа в вашу сеть, отслеживая ваши конечные точки на предмет многих современных угроз, которые антивирусное программное обеспечение не может обнаружить.
Решения
EDR могут помочь в мониторинге и защите от расширенных постоянных угроз (APT), которые часто используют методы взлома без вредоносных программ и уязвимости системы безопасности для получения доступа к сети. Старое антивирусное программное обеспечение способно обнаруживать вредоносные программы только при наличии соответствующей сигнатуры и не может определить, что злоумышленник имеет доступ к компьютеру, просто отслеживая их активность.
Endpoint Security — это не просто корпоративный инструмент: в наши дни также существуют потребительские версии EDR.Несколько различий в том, как защита конечных точек различается для потребителей и предприятий, включают:
Удаленное управление и центральное хранилище:
Предприятия обычно предоставляют возможности удаленного управления, чтобы администраторы безопасности могли настраивать соответствующие параметры. Каждая конечная точка отправляет данные аудита в центральный репозиторий для аудита и анализа.
Потребителям не нужно централизованное администрирование.
Автообновления vs.распространено патчей:
Предприятиям необходимо придерживаться процессов управления изменениями, которые требуют от предприятия распространения исправлений во время этих окон.
Потребители обычно позволяют EDR автоматически обновлять в соответствии с графиком выпуска выпусков поставщика.
9 элементов решений EDR
Решения
для обнаружения и реагирования на конечные точки могут иметь ряд функций, но есть набор основных элементов, которые необходимы для EDR:
Консоль оповещений и отчетов: Консоль на основе ролей, которая обеспечивает видимость состояния безопасности конечных точек организации
EDR Advanced Response: Расширенные возможности анализа и реагирования для решений EDR, включая автоматизацию и подробную судебную экспертизу инцидентов безопасности
EDR Основные функции: Возможность обнаруживать и сообщать об угрозах и уязвимостях безопасности на конечной точке
EPP Suite: Базовые функции, которые были доступны в предыдущем поколении программного обеспечения для обеспечения безопасности конечных точек, включая функции защиты от вредоносных программ, фишинга и защиты от эксплойтов
Географическая поддержка: Возможность поставщика EDR поддерживать глобальное предприятие — поскольку информационная безопасность является критически важной
Управляемые службы: Способность EDR передавать данные в службу управляемой безопасности или поставщику управляемого обнаружения и реагирования для дальнейшего расширения возможностей группы безопасности.
Поддержка ОС: Чтобы быть эффективным, EDR должен поддерживать все операционные системы, используемые в вашей организации,
Предотвращение: Недостаточно просто обнаружить угрозу — эффективные EDR должны также предусматривать превентивные меры, чтобы помочь смягчить ее и дать командам возможность действовать.
Сторонняя интеграция: Комплексная стратегия безопасности данных часто требует интеграции с несколькими продуктами: EDR должны иметь API или встроенную интеграцию с другими решениями, чтобы дополнять и обеспечивать многоуровневый подход к безопасности.
Endpoint Security против антивирусного программного обеспечения
Как указано в приведенном выше списке, защита от вредоносных программ по-прежнему является ключевым компонентом решений EDR. Старые поколения антивирусного программного обеспечения обнаруживают угрозы по сигнатуре, которая заранее необходима для обнаружения вредоносного ПО.Следующее поколение решений EDR включает в себя прогнозный анализ и расширенное обнаружение угроз для лучшей защиты пользователей.
Дополнительные функции, обнаруженные в решениях EDR, которые не включены в традиционные решения AV, включают:
Удаление вредоносного ПО на основе сопоставления сигнатур и аналитики
Защита от шпионского ПО
Локальный межсетевой экран
Системы обнаружения и предотвращения вторжений
Контроль приложений и управление пользователями
Контроль данных, включая переносные устройства
Шифрование полного диска
Предотвращение утечки данных
Белый список приложений
Хотя решение EDR защищает конечные точки в вашей сети, они ограничены в том, какой тип активности они могут отслеживать, и ограничены в том, какие типы вредоносных программ или кибератак они могут обнаруживать.Varonis разработан для защиты корпоративных данных от атак «нулевого дня» за пределами конечной точки, позволяя сопоставить телеметрию периметра с активностью файлов и поведением пользователей в ваших основных хранилищах данных.
Некоторое поведение, которое может выглядеть нормально на конечной точке — например, пользователь, входящий в систему с действующим пользователем и паролем — не обязательно поднимет красный флаг только с помощью EDR. Однако это событие входа в систему может быть подозрительным, если оно входит в систему из нескольких мест в течение короткого времени. Varonis DatAlert и Edge анализируют файловую активность, пользовательские события и телеметрию по периметру для выявления ненормального поведения с добавлением контекста: так что даже кажущаяся безобидной деятельность рассматривается в контексте, чтобы получить более широкую картину.
Посмотрите, как EDR и Varonis могут работать вместе — щелкните здесь, чтобы просмотреть демонстрацию 1: 1 и увидеть, как многоуровневая стратегия безопасности работает в вашей среде.
Обнаружение конечных точек и реагирование: все, что вам нужно знать о безопасности EDR
Конечные точки
— ноутбуки, смартфоны и другие устройства, которые мы используем ежедневно, — излюбленная цель злоумышленников. Они повсюду, подвержены уязвимостям в системе безопасности и их сложно защитить. Например, согласно сообщениям, атака WannaCry в 2017 году затронула более 230 000 конечных точек по всему миру.Endpoint Detection and Response (EDR) — это быстрорастущая категория решений, которые стремятся предоставить более широкие возможности, чем традиционные решения для защиты от вирусов и вредоносных программ. В этой статье мы узнаем, что такое EDR и почему это важно, узнаем, как работают решения безопасности EDR, и рассмотрим некоторые передовые методы использования этих инструментов.
Что такое обнаружение конечной точки и ответ (EDR)?
Endpoint Detection and Response (EDR) — это категория решений, которые могут обнаруживать подозрительную активность на настольных компьютерах, ноутбуках и мобильных устройствах организации и реагировать на них.Этот термин был придуман аналитиком Gartner Антоном Чувакиным в 2013 году для описания новых платформ, позволяющих проводить глубокое расследование подозрительной деятельности. EDR также отличается от других решений безопасности, таких как брандмауэры, тем, что он применяет защиту непосредственно на компьютерах в сети, а не на границе сети.
Почему EDR важен?
От расширенных постоянных угроз (APT) до бесфайловых вредоносных программ — организации сегодня сталкиваются с целым рядом киберугроз, которые устаревшие продукты безопасности просто упускают.Злоумышленники хорошо умеют обходить средства защиты на основе сигнатур, такие как антивирусное программное обеспечение и системы обнаружения вторжений (IDS). Каждое устройство, которое подключается к сети, является потенциальным вектором атаки для киберугроз, а растущая популярность мобильных устройств и удаленной работы снижает эффективность защиты на основе периметра, такой как брандмауэры.
Решения безопасности
EDR объединяют большие объемы данных, собираемых с каждой конечной точки, с контекстным анализом для обнаружения неуловимых угроз, которые, возможно, никогда раньше не наблюдались.Большинство решений EDR используют базовый анализ и поведенческий анализ для выявления потенциально подозрительной активности, а многие даже могут реагировать на события в режиме реального времени.
В отличие от других решений, обнаружение конечных точек и реагирование часто наиболее ценны во время и после взлома. Подробная информация, доступная на платформах EDR, позволяет группам безопасности раскрыть, как угроза обошла существующие средства защиты. Оповещения в реальном времени от решения EDR могут помочь организации выявить ранние стадии атаки и принять меры для предотвращения полномасштабной утечки данных.Если нарушение действительно происходит, возможности, предлагаемые такими платформами, значительно помогают усилиям по расследованию и исправлению.
Как работает EDR?
Endpoint Detection and Response часто сравнивают с регистратором полетных данных или «черным ящиком», используемым на коммерческих самолетах, и не зря. Подобно тому, как черный ящик постоянно собирает телеметрию от систем полета самолета, платформы EDR постоянно получают данные с конечных точек в виде журналов событий, попыток аутентификации, запущенных приложений и т. Д.Детали могут отличаться у разных поставщиков, но в целом решения безопасности EDR работают следующим образом:
Телеметрия поступает с конечных точек
С конечных точек собирается широкий спектр телеметрических данных. Обычно это делается с помощью программного агента, установленного на каждой конечной точке, но в некоторых случаях телеметрия может быть получена косвенными средствами.
Полученная телеметрия отправляется на большую платформу EDR
Данные от каждого из агентов конечной точки отправляются в центральное место, часто на облачную платформу, предоставляемую поставщиком EDR.Отрасли с особыми требованиями соответствия могут использовать локальную или гибридную облачную реализацию.
Данные сопоставлены и проанализированы
Алгоритмы и технологии машинного обучения анализируют огромные объемы собранных данных и выявляют потенциальные нарушения. Многие решения EDR «узнают», как выглядит нормальное поведение пользователя и операции конечной точки. Данные также могут быть коррелированы из нескольких источников, включая другие продукты безопасности.Каналы аналитики угроз часто используются для предоставления реальных примеров продолжающихся кибератак, которые можно сравнить с деятельностью внутри организации.
Подозрительная активность помечается, и на нее направляется ответ
Любые события или действия, которые платформа EDR рассматривает как подозрительные, генерируют предупреждение, которое аналитики безопасности должны просмотреть. Возможности автоматизации, присутствующие во многих решениях по обеспечению безопасности EDR, также могут принимать прямые меры в ответ на угрозу. Например, решение может временно изолировать конечную точку от остальной сети, чтобы предотвратить распространение вредоносного ПО.Более серьезные угрозы могут потребовать высокой степени вмешательства человека.
Данные сохранены для использования в будущем
Сохранение данных — важная функция обнаружения конечной точки и ответа на нее. По мере обнаружения новых типов кибератак группы безопасности могут копаться в старых данных, чтобы узнать, не могли ли они стать жертвой ранее неизвестной атаки. Архивные данные также можно использовать для упреждающего поиска угроз — по сути, для зондирования больших объемов данных с предвзятым ожиданием вредоносной активности.
9 элементов решений EDR
Решения
для обнаружения и реагирования на конечные точки могут иметь ряд функций, но есть набор основных элементов, которые необходимы для EDR:
Консоль оповещений и отчетов: Консоль на основе ролей, которая обеспечивает видимость состояния безопасности конечных точек организации
EDR Advanced Response: Расширенные возможности анализа и реагирования для решений EDR, включая автоматизацию и подробную криминалистическую экспертизу инцидентов безопасности
EDR Базовая функциональность: Возможность обнаруживать и сообщать об угрозах и уязвимостях безопасности на конечной точке
EPP Suite: Базовые функции, которые были доступны в предыдущем поколении программного обеспечения для обеспечения безопасности конечных точек, включая возможности защиты от вредоносных программ, фишинга и защиты от эксплойтов
Географическая поддержка: Возможность поставщика EDR поддерживать глобальное предприятие — поскольку информационная безопасность является критически важной
Управляемые службы: Способность EDR передавать данные в службу управляемой безопасности или поставщику управляемого обнаружения и реагирования для дальнейшего расширения возможностей группы безопасности
Поддержка ОС: Чтобы быть эффективным, EDR должен поддерживать все операционные системы, используемые вашей организацией,
Предотвращение: Недостаточно просто обнаружить угрозу — эффективные EDR должны также предусматривать превентивные меры, чтобы помочь смягчить ее и дать командам возможность действовать.
Интеграция со сторонними организациями: Комплексная стратегия безопасности данных часто требует интеграции с несколькими продуктами: EDR должны иметь API или встроенные интеграции с другими решениями, чтобы дополнять и обеспечивать многоуровневый подход к безопасности.
Преимущества EDR Security
При правильном использовании
EDR может дать широкий спектр преимуществ. Сюда могут входить:
Глубокая и широкая видимость
Видимость — ключевой компонент всех решений EDR, и эта видимость является одновременно глубокой и широкой.Глубокая видимость приходит в виде возможности изучить внутреннюю работу конечной точки и проверить взаимосвязь между процессами, сетевыми соединениями и поведением пользователей. В то же время централизованный характер EDR означает, что аналитики получают широкое представление о состоянии безопасности организации и могут выявлять закономерности на десятках, сотнях или даже тысячах конечных точек.
Обнаружение сложных угроз
Одним из ключевых преимуществ, обещанных EDR, является способность обнаруживать угрозы, которые в противном случае могли бы остаться незамеченными.Сюда могут входить атаки нулевого дня, внутренние угрозы, изощренные хакерские кампании и многое другое.
Упрощенное реагирование на инциденты
Обширный уровень детализации, собранный решениями EDR, может значительно упростить действия по реагированию и исправлению после нарушения. В прошлом специалисты по реагированию на инциденты тратили много времени на сбор артефактов с различных конечных точек, чтобы создать больший пул доказательств. EDR собирает и хранит эти артефакты в рамках своей нормальной работы.Централизованные консоли EDR и более длительные периоды хранения данных также могут предоставить более полную картину инцидента безопасности, чем было бы доступно в противном случае.
Автоматизация и интеграция
Продукты
EDR часто включают надежные возможности автоматизации, а индивидуальная интеграция часто возможна с помощью API. Поскольку агенты EDR обычно устанавливаются на всех конечных точках в организации, расследование или реагирование могут быть быстро инициированы в любом масштабе.
Обнаружение и реакция конечных точек (EDR) против антивируса против платформы защиты конечных точек (EPP)
В принципе, EDR предназначен для обнаружения угроз, которые уклоняются от других уровней защиты, и реагирования на них. На практике, однако, многие поставщики сочетают функциональность EDR с другими типами средств безопасности. Большинство продуктов EDR предлагают такую же защиту от вредоносных программ на основе сигнатур, что и старый Anti-Virus. Платформа защиты конечных точек (EPP) — это термин, который часто используется для описания продуктов, которые объединяют EDR, антивирус нового поколения (NGAV) и другие типы защиты в одном программном обеспечении.Дополнительные возможности, предлагаемые в продуктах EPP, могут включать межсетевые экраны на основе хоста, контроль над шифрованием устройств, предотвращение потери данных и многое другое.
Советы и рекомендации по обеспечению безопасности EDR
EDR может стать мощным дополнением к общей программе информационной безопасности организации, но требует продуманной реализации. Чтобы получить максимальную отдачу от инвестиций в EDR, организация должна:
Помните, что решения EDR требуют человеческого таланта
В большой организации решения безопасности EDR могут генерировать десятки тысяч предупреждений каждый день.Многие из этих предупреждений могут оказаться ложными. Чтобы понять истинные преимущества EDR, организации должны инвестировать в аналитиков по безопасности человека, которые могут разбираться в данных, генерируемых компьютером. Часто это дорогое вложение, поскольку опытный аналитик по безопасности может получать относительно высокую зарплату. Небольшие организации могут обратиться к Managed Detection and Response (MDR), предложению как услуга, сочетающему EDR с человеческим анализом.
Выберите поставщика в соответствии с конкретными требованиями вашей организации
Возможности и стоимость продукта для обнаружения конечных точек и реагирования могут сильно различаться.Организациям следует потратить много времени на изучение продуктов от нескольких поставщиков, чтобы убедиться, что они подходят друг другу. Например, предлагает ли поставщик решение EDR, которое хорошо работает с уже используемыми операционными системами и приложениями? И как решение интегрируется с другими инструментами безопасности? Если не задать такие вопросы, это может привести к плохому совпадению, что сводит на нет преимущества обнаружения конечных точек и реагирования на них.
Используйте его как дополнение, а не замену
Endpoint Detection and Response называется так не просто так; его внимание сосредоточено исключительно на конечных точках.Некоторое поведение, которое может выглядеть нормально на конечной точке — например, пользователь, входящий в систему с действующим пользователем и паролем — не обязательно поднимет красный флаг только с помощью EDR. Однако это событие входа в систему может быть подозрительным, если оно входит в систему из нескольких мест в течение короткого времени. Varonis DatAlert и Edge анализируют файловую активность, пользовательские события и телеметрию по периметру для выявления ненормального поведения с добавлением контекста: так что даже кажущаяся безобидной деятельность рассматривается в контексте, чтобы получить более широкую картину.
Хотя решение EDR защищает конечные точки в вашей сети, они ограничены в том, какой тип активности они могут отслеживать, и ограничены в том, какие типы вредоносных программ или кибератак они могут обнаруживать.
No related posts.