Что такое edr: Технология EDR, как элемент ядерной триады SOC / Хабр

Содержание

Технология EDR, как элемент ядерной триады SOC / Хабр

Для начала, напомним, что такое ядерная триада. Термин этот обозначает стратегические вооружённые силы государства, оснащенные ядерным вооружением. В триаду входят три компонента: воздушный — стратегическая авиация, сухопутный — межконтинентальные баллистические ракеты, морской — атомные подводные ракетоносцы.

Уважаемый Gartner провел аналогию стратегических вооруженных сил государства с центром мониторинга и оперативного реагирования на инциденты (SOC), выделяя следующие элементы триады SOCа: Security information and event management (SIEM), Network Traffic Analysis (NTA), Endpoint Detection and Response (EDR). Смотря на эту аналогию становится очевидным, что SOC может быть максимально эффективен только в том случае, если будет оснащён всеми компонентами защиты: в «воздухе», на «земле» и в «море».

К сожалению, сегодня большинство организаций используют только «стратегическую авиацию» – SIEM системы. Достаточно редко «межконтинентальные баллистические ракеты» — NTA, заменяя полноценный анализ сетевого трафика лишь сбором логов со стандартных сетевых средств защиты. И уж совсем нечасто «атомные подводные ракетоносцы» — EDR.

В своей сегодняшней заметке, по заветам Gartner, я хочу осветит основные причины важности включения технологии EDR, как одного из элементов современного центра мониторинга и оперативного реагирования на инциденты.

В мире информационной безопасности, технология EDR — это уже гораздо больше, чем просто передовая защита рабочих станций и серверов от сложных угроз. Из года в год рабочие места остаются ключевой целью злоумышленников и самыми распространёнными точками входа в инфраструктуру организаций, что требует должного внимания и соответствующей защиты. А телеметрия является ценной информацией, необходимой для качественного расследования инцидентов, значимость доступа к которой возрастает в еще большей степени с появлением нового протокола шифрования TLS 1.3 и его активного распространения.

EDR стремительно становится движущей силой повышения уровня зрелости и эффективности современных SOC.

Давайте разберемся почему?

Дополнительная видимость


В первую очередь, технология EDR способна предоставить команде SOC видимость там, где большинство организаций остаются сегодня слепы, так как в большинстве своем ориентированы на контроль активностей в сети. Такие компании, в рамках функционирования центра мониторинга и оперативного реагирования на инциденты, редко или только частично подключают конечные точки в качестве источников событий в SIEM систему. Это происходит по причине высокой стоимость сбора и обработки журналов со всех конечных точек, а также из-за генерации огромного количества событий для разбора при достаточно высоком уровне ложных срабатываний, что зачастую приводит к перегрузке специалистов и неэффективному в целом использованию дорогостоящих ресурсов.

Специальный инструмент для обнаружения сложных угроз на хостах


Сложные угрозы и целенаправленные атаки с использованием неизвестного вредоносного кода, скомпрометированных учетных записей, бесфайловых методов, легитимных приложений и действий, не несущих под собой ничего подозрительного, требуют многоуровневого подхода к обнаружению с использованием передовых технологий. В зависимости от того или иного вендора, EDR обычно может включать, различные технологии обнаружения, работающие в автоматическом, полуавтоматическом режиме, и встроенные инструменты, требующие постановки задач вручную, с привлечением высококвалифицированных кадров. Например, это может быть: антивирус, движок поведенческого анализа, песочница, поиск индикаторов компрометации (IoC), работа с индикаторами атак IoA, сопоставление с техниками MITRE ATT&CK, а также автоматическое взаимодействие с Threat Intelligence и ручные запросы в глобальную базу данных об угрозах, ретроспективный анализ, возможность проактивного поиска угроз (Threat Hunting). EDR – это дополнительный инструмент для SOC аналитика с интуитивно понятным интерфейсом для возможности охоты на угрозы в режиме реального времени, который позволяет составлять сложные запросы на поиск подозрительных активностей, вредоносных действий с учетом особенностей защищаемой инфраструктуры.

Все вышеперечисленное позволяет организациям обнаруживать сложные угрозы, нацеленные на обход традиционных средств защиты на хостах, таких как обычные антивирусы, NGAV или решения класса EPP (Endpoint protection platform). Последние сегодня очень тесно взаимодействуют с EDR-решениями и большинство производителей данного класса продуктов предоставляют функциональность EPP и EDR в рамках единого агента, не перегружая машины и в то же время обеспечивая комплексный подход к защите конечных точек от сложных угроз, начиная от автоматической блокировки более простых угроз, заканчивая детектированием и реагированием на более сложные инциденты. Передовые механизмы обнаружения, используемые в EDR, позволяют командам быстро идентифицировать угрозу и оперативно реагировать, предотвращая возможный ущерб для бизнеса.

Дополнительный контекст


Данные с EDR о событиях на хостах являются значимым дополнением к информации, генерируемой другими элементами безопасности и бизнес-приложениями защищаемой инфраструктуры, которые сопоставляются SIEM системой в центре мониторинга и оперативного реагирования на инциденты. EDR обеспечивает быстрый доступ к уже обогащённым дополнительным контекстом данным c инфраструктуры конечных точек, что позволяет, с одной стороны, быстро идентифицировать ложные срабатывания, с другой, использовать эти данные, как драгоценный уже предобработанный материал при расследовании сложносоставных атак, то есть EDR предоставляет релевантные логи для корреляции с событиями от иных источников, тем самым повышает качество глобальных расследований в SOC.

Дополнительная автоматизация


Для организаций, не имеющих EDR, обнаружение сложных угроз на инфраструктуре конечных точек, куда входит: сбор, хранение и анализ данных, а также проведения различных действий на этапах расследования и реагирования на комплексные инциденты, представляется достаточно трудозатратным занятием без применения средств автоматизации.

Сегодня многие аналитики тратят уйму времени на рутинные операции, которые необходимы и важны, но могут быть автоматизированы. Автоматизация этих рутинных ручных задач позволит организациям не только сэкономит дорогостоящее рабочее время аналитика, но и снизить их нагрузку и позволит им сосредоточиться на анализе и реагировании на действительно сложные инциденты. EDR обеспечивают полностью автоматизированный рабочий процесс управления инцидентами, от обнаружения угроз, до анализа и реагирования. Это позволяет SOC команде выполнять более эффективно ежедневные задачи, не тратя времени на ручную работу, тем самым снижая затраты на анализ ненужных журналов.

Быстрый доступ к данным и их наглядное представление информации


Для получения данных, необходимых для расследования, организации могут сталкиваться с некоторыми сложностями, такими как отсутствие возможности оперативного доступа к рабочим местам и серверам при распределенной инфраструктуре или невозможности получения контекстной информации с конкретных машин по причине их уничтожения или зашифровки данных злоумышленниками. Это конечно же приводит к невозможности получения необходимых данных для эффективного процесса расследования и дальнейшего реагирования на инциденты. Когда инцидент уже произошел, использование технологии EDR, включающей непрерывную и централизованную запись, позволяет исключить догадки и экономит время аналитиков.

Злоумышленник зачастую уничтожает свои следы, но EDR, как уже упоминалось, записывает каждое действие атакующих. Вся цепочка событий фиксируется и надежно сохраняется для дальнейшего использования. Когда срабатывает предупреждение любого характера, EDR предоставляет удобный инструментарий, с помощью которого аналитики SOC могут быстро запрашивать информацию для проверки угроз, устранения ложных срабатываний, а также делать запросы на повторное сканирование ретроспективных данных для повышения эффективности расследования и реагирования.

Все действия на хостах представляются в интерфейсе в виде дерева событий, тем самым помогая аналитикам видеть всю картину развития атаки, а также искать нужную им информацию для расследования и принятия оперативных мер по предотвращению угрозы.

Централизованное хранение телеметрии, объектов и ранее сформированных вердиктов позволяет аналитикам работать с ретроспективными данными в рамках расследования угроз, в том числе и растянутых во времени атак. EDR сегодня – это источник ценных данные для современного SOC.

Централизованное реагирование


Когда инцидент обнаружен, EDR предоставляет расширенные возможности для принятия мер на разных этапах его расследования: например, карантин файла, выполнение произвольных команд на хосте удаление объекта, сетевая изоляция хостов и другие действия. EDR позволяет незамедлительно реагировать на инциденты за счет наглядного представления информации и централизованной постановки задач, что не требует выездов на место преступления для поиска улик и принятия мер по реагированию. EDR — это инструмент оптимизации трудозатрат SOC специалистов. Организации значительно уменьшают количество рутинных ручных операций, экономят время SOC аналитиков и сокращают время реагирования с часов до минут.

Вывод


EDR служат бесценным источником данных для SOC, обеспечивая мощные возможности поиска угроз и централизованного реагирования на инциденты, максимально при этом автоматизируя процессы по сбору, анализу и принятию ответных мер на обнаруженные угрозы.

Использование EDR в рамках SOC позволит организациям:

  • повысить эффективность процесса обработки сложных инцидентов за счет дополнительной видимости уровня конечных точек, возможности проактивного поиска угроз и наглядного предоставления информации об обнаруженных событиях на хостах;
  • обогатить SOC предобработанными релевантными данными с рабочих мест и серверов, для сопоставления с логами, предоставляемыми другими источниками для эффективного расследования;
  • значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные со анализом данных с рабочих мест и серверов, а также реагированию на инциденты.

Bluetooth 5, Bluetooth BR / EDR или Bluetooth Low Energy (BLE)? Что лучше?

Беспроводная связь становится неотъемлемой частью электроники, так как все больше и больше потребителей требуют возможности отправлять и получать данные, не привязываясь к разъемам и кабелям. Одним из самых популярных протоколов беспроводной связи является Bluetooth, который имеет универсальность для поиска «родственников» в самых разных приложениях.

Среди многих других приложений Bluetooth встроен в автомобили, так что пользователи могут воспроизводить свою любимую музыку со смартфона на автомобильной стереосистеме. Новая область безопасности «умного дома» использует Bluetooth, чтобы позволить людям выполнять такие задачи, как запирание и отпирание входной двери с помощью телефона. Bluetooth также можно использовать для отправки файлов между планшетом и компьютером, отправки уведомлений с фитнес-трекера на компьютер или телефон и многое другое. На рисунке ниже изображены два распространенных устройства с поддержкой Bluetooth, смартфон и ноутбук.

Благодаря протоколу Bluetooth мы можем отправлять и получать данные без шнуров и проводов

Все эти различные приложения подпадают под общий термин «Bluetooth», но, что удивительно, не все из них используют одни и те же беспроводные протоколы. Некоторые используют Bluetooth с низким энергопотреблением (BLE), в то время как другие используют базовую скорость Bluetooth / повышенную скорость передачи данных (Bluetooth BR / EDR). Более новые приложения даже могут использовать Bluetooth 5.

Большинство людей не знают ни о разнице между Bluetooth BR / EDR и BLE, ни о том, какой из них лучше всего подходит для их конкретных приложений. С появлением Bluetooth 5 все стало более запутанным, что еще больше стирает грань между этими протоколами. Цель этой статьи — объяснить, чем BLE отличается от Bluetooth BR / EDR и как Bluetooth 5 обещает улучшить оба протокола. Это также поможет вам определить версию, наиболее подходящую для вашего приложения.

История

Чтобы лучше понять, чем отличаются Bluetooth с базовой скоростью передачи данных (BR) / повышенную скорость передачи данных (EDR) и BLE, важно изучить историю этих беспроводных технологий. Каждый из них был разработан Специальной группой по интересам Bluetooth (Bluetooth SIG), которая управляет всеми протоколами Bluetooth. По мере разработки Bluetooth SIG выпускает новую спецификацию для внесения улучшений. Временная шкала на рисунке ниже показывает спецификации Bluetooth, которые были выпущены и где Bluetooth BR, Bluetooth EDR, BLE и Bluetooth 5 соответствуют этим спецификациям.

График выпуска новых спецификации Bluetooth на протяжении многих лет

Bluetooth с базовой / повышенной скоростью передачи данных (BR/EDR)

Bluetooth BR был первым разработанным протоколом Bluetooth. В нем реализован уникальный метод использования гауссовой частотно-сдвиговой манипуляции (GFSK) для обмена данными в диапазоне ISM 2,4 ГГц. Эта полоса была выбрана потому, что, в отличие от большинства полос частот, для работы в ней не требуется лицензия, поэтому связь полностью бесплатна. Bluetooth BR быстро завоевал популярность, поскольку он предоставил недорогой и маломощный способ отправки и получения данных по беспроводной сети на короткие расстояния со скоростью передачи данных до 0,7 Мбит / с.

Несколько лет спустя была выпущена новая спецификация Bluetooth 2.0, которая включала опцию Bluetooth EDR. Bluetooth EDR позволяет передавать данные в два-три раза быстрее, чем предыдущая версия. Это стало возможным потому, что он использует дифференциальную квадратурную фазовую манипуляцию (QDPSK) и дифференциальную 8-уровневую фазовую манипуляцию (8DPSK) вместе с GFSK. GFSK передает один бит на символ, тогда как QDPSK передает два бита на символ, а 8DPSK передает три бита на символ.

BLE

Когда BLE был впервые разработан, на самом деле это был даже не Bluetooth! Он был разработан Nokia как беспроводная технология под названием Wibree. Данный стандарт был разработан так, чтобы потреблять очень мало энергии (а также быть очень дешевым и простым в настройке), что делает его идеальным решением для устройств, работающих от батарей небольшой емкости.

Wibree включает в себя множество методов, аналогичных Bluetooth BR / EDR, включая работу в диапазоне ISM 2,4 ГГц, модуляцию GFSK, схему канала и скачкообразную перестройку частоты. Параллели между ними привели к тому, что Bluetooth SIG принял Wibree в свою спецификацию. Он был выпущен как новый беспроводной стандарт потребляющий мало энергии для работы под названием Bluetooth Low Energy (BLE). BLE впервые появился в спецификации Bluetooth 4.0.

Bluetooth 4.0 не «уничтожил» полностью стандарты Bluetooth BR / EDR, но вместо этого предлагал BLE в дополнение к Bluetooth BR / EDR. Потребительские устройства с BLE часто назывались Bluetooth Smart, а Bluetooth BR / EDR — Bluetooth Classic; однако эти термины больше не используются для дифференциации каждого протокола. В соответствии с этой спецификацией радиостанции могут быть разработаны для работы в качестве радиомодуля BD / EDR только Bluetooth, радиомодуля BLE или спаренного радиомодуля, который поддерживает Bluetooth BR / EDR и BLE.

Bluetooth 5.0

Bluetooth SIG делает все возможное, чтобы вносить улучшения, соответствующие эволюции технологий, и одним из ключевых достижений, которые, по-видимому, движут электроникой, является Интернет вещей (IoT). BLE сыграл большую роль в развитии IoT, но Bluetooth SIG хотел еще больше расширить возможности Bluetooth в приложениях IoT. Новые достижения в оригинальной технологии BLE были выпущены в Bluetooth 5.0, который называется Bluetooth 5.

Bluetooth BR/EDR vs. BLE

Давайте сравним сходства и различия только между Bluetooth BR / EDR и BLE. Хорошее место для начала —  физический уровень (PHY) протоколов. PHY содержит схему, используемую для модуляции и демодуляции аналоговых сигналов и преобразования их в цифровые символы. Различия на физическом уровне — это один из факторов, который делает каждый протокол ориентированным на конкретные приложения. Четыре области PHY, где BR / EDR и BLE различаются, — это схема канала, энергопотребление, задержка и пропускная способность.

Схема канала

И Bluetooth BR / EDR, и BLE обмениваются данными в диапазоне ISM 2,4 ГГц, но различаются по количеству каналов, в которых они делят диапазон частот. Bluetooth BR / EDR делит полосу на 79 каналов, разнесенных на 1 МГц. BLE использует более простой передатчик и приемник, поэтому он разделяет полосу на 40 каналов, разнесенных на 2 МГц.

Одна вещь, с которой должны работать Bluetooth BR / EDR и BLE, независимо от количества используемых каналов, это помехи. Диапазон ISM 2,4 ГГц полон передатчиков, использующих все преимущества нелицензионного диапазона. Чтобы минимизировать помехи, как Bluetooth BR / EDR, так и BLE используют скачкообразную перестройку частоты, когда радиостанция работает на одном канале в течение короткого периода времени, прежде чем перейти на другой канал для продолжения связи.

BLE также добавляет еще один элемент в свою схему канала. BLE резервирует три канала для передатчика BLE, чтобы «заявить», что он доступен для подключения. Частота этих трех рекламных каналов была стратегически выбрана таким образом, чтобы они не мешали трем наиболее часто используемым каналам Wi-Fi, также работающим в диапазоне ISM 2,4 ГГц. После установления соединения радиостанции продолжат свою связь на одном из 37 других каналов. На рисунке ниже изображена схема канала для BLE и показано, где три рекламных канала расположены в полосе частот.

Схема канала BLE

Мощность

Минимизация потребления энергии является ключевым отличием между Bluetooth BR / EDR и BLE, о чем свидетельствует тот факт, что BLE имеет «низкое энергопотребление» в своем названии! Bluetooth BR / EDR использует максимальную выходную мощность 100 мВт для передачи данных примерно до 10-100 м. Это было хорошо в те дни, когда большинство устройств можно было часто заряжать. Однако, поскольку спрос на продукты, которые могут работать от батареи в течение нескольких месяцев или лет без подзарядки, увеличивается, такой уровень выходной мощности будет слишком большим, поскольку это приведет к быстрому разряду батареи.

BLE предлагает идеальное решение. Он уменьшает энергию, включая передатчик и приемник только тогда, когда они необходимы для отправки или получения данных, с максимальной выходной мощностью всего 10 мВт для передачи в одном и том же диапазоне. BLE также отправляет данные короткими пакетами. Когда пакеты не отправляются, радиоприемник бездействует, потребляя мало энергии. Этот процесс помогает BLE соответствовать своему названию.

Задержка

Еще одно преимущество BLE делает его лучше, чем Bluetooth BR / EDR — задержка. Переход Bluetooth BR / EDR в активное состояние (готовность передавать данные) занимает около 100 мс. Существует дополнительная задержка в 100 мс с момента получения данных на передатчике до момента их получения на приемнике. В некоторых случаях это может привести к довольно заметной задержке. Это также приводит к увеличению энергопотребления, поскольку дополнительное время, необходимое для отправки данных, приводит к увеличению потребления энергии от батареи.

BLE предлагает гораздо меньшую задержку. BLE будет готов отправлять данные уже через 3 мс. Кроме того, задержка с момента получения данных на передатчике до момента их доступности на приемнике составляет всего 6 мс. Это позволяет отправлять данные гораздо быстрее и экономит электроэнергию.

Пропускная способность

В этот момент вам может быть интересно, почему кто-то выбрал бы Bluetooth BR / EDR вместо BLE. Хорошо, где BLE отстает от Bluetooth BR / EDR в пропускной способности. И Bluetooth BR / EDR, и BLE используют GFSK, поэтому теоретически максимальный предел пропускной способности составляет 1 Мбит / с. Однако такие факторы, как издержки протокола, ограничения радиосвязи и искусственные программные ограничения, ограничивают фактическую пропускную способность.

На практике Bluetooth BR может достигать пропускной способности до 0,7 Мбит / с, в то время как Bluetooth EDR может достигать пропускной способности 2,1 Мбит / с. Этой пропускной способности достаточно для приложений, таких как потоковое аудио. Поскольку BLE отправляет данные короткими пакетами для экономии энергии, его пропускная способность сталкивается с дополнительными ограничениями. Максимальная пропускная способность может достигать только 0,27 Мбит / с. Хотя этой пропускной способности недостаточно для потоковой передачи звука, более чем достаточно для отправки данных датчика, которые не нужно постоянно передавать.

Из этих четырех разделов становится ясно, что различия на физическом уровне для каждого из этих протоколов вызывают много различий в рабочих параметрах. В таблице ниже приведены основные параметры между Bluetooth BR / EDR и BLE.

Bluetooth BR / EDR и Bluetooth BLE

BLE 5.0

Bluetooth 5 использует оригинальную технологию BLE с низким энергопотреблением, но включает некоторые новые улучшения. Одним из самых больших улучшений является нововведения на физическом уровне, которые можно выбрать для улучшения максимальной дальности или пропускной способности. Bluetooth 5 также добавляет улучшения, которые улучшают публикацию объявлений в сети.

Первый физический слой (PHY), который предлагает Bluetooth 5, называется LE 1M. Это тот же PHY используется для BLE в спецификации Bluetooth 4.2, поэтому большинство его параметров будут соответствовать параметрам, показанным в таблице 1. LE 1M является единственным физическим слоем, который является обязательным в Bluetooth 5. Другие два PHY являются дополнительными.

Bluetooth 5 интегрирует закодированный физический уровень как один из дополнительных физических слоев, который может расширить диапазон связи. Кодированный PHY достигает большей дальности, вводя избыточность для получения некоторого выигрыша в обработке вместо увеличения мощности передатчика.

Bluetooth 5 вводит дополнительные избыточные биты, которые используются для определения правильного значения бита. Кодированный физический слой существует в двух вариантах: S = 2 и S = 8. S = 2 отправляет два символа на бит, что уменьшает пропускную способность в два раза, но теоретически удваивает диапазон. S = 8 отправляет восемь символов на бит. Хотя это снижает пропускную способность до 125 кбит / с, но примерно в четыре раза увеличивает диапазон. На практике фактический диапазон будет немного ниже теоретических значений, но этот метод все же помогает достичь гораздо большего диапазона.

Радиус действия маловажен для большинства конечных приложений, поэтому Bluetooth 5 обязательно включил что-то для приложений, где пропускная способность важнее дальности. Существует опция двойной скорости передачи данных под названием LE 2M, которая увеличивает скорость передачи необработанных данных до 2 Мбит / с. Это позволяет передавать данные с максимальной фактической пропускной способностью 1,4 Мбит / с. Это означает, что данные могут передаваться даже быстрее, чем Bluetooth BR, но с меньшим энергопотреблением.

Таблица 2 сравнивает три физических уровня, доступные в Bluetooth 5, чтобы показать, как они отличаются с точки зрения скорости передачи данных и диапазона.

Сравнение физических слоев Bluetooth 5

Bluetooth 5 предлагает множество улучшений в публикации данных. Он по-прежнему использует ту же схему каналов, что и BLE, но включает опции для рассылки данных на всех 40 каналах вместо трех. В Bluetooth 5 небольшие пакеты данных могут передаваться по трем каналам, используемым в BLE. Однако теперь они могут указывать на большие публикуемые пакеты (до 255 октетов), которые можно отправлять по дополнительным 37 каналам. Это также помогает уменьшить объем контента на трех основных каналах. Bluetooth 5 также включает улучшения для цепочки пакетов, периодической публикации данных и меньшего минимального интервала между передачей сообщений.

Приложения

Различия в PHY являются ключом к определению того, какой протокол лучше всего подходит для каждого приложения. В последних нескольких разделах мы рассмотрели много технических деталей, которые можно применять для лучшего понимания идеального использования каждого протокола.

Давайте начнем с Bluetooth BR / EDR. Он снижает скорость задержки и мощность пакета для более высокой пропускной способности, поэтому он лучше всего подходит для приложений, где пропускная способность является критически важной спецификацией. Это делает его идеальным протоколом для приложений, таких как потоковая передача видео / звука или отправка больших объемов данных. Распространенными приложениями являются беспроводные гарнитуры (рисунок ниже) и приложения типа точка-точка.

Беспроводные наушники лучший пример использования протокола Bluetooth BR / EDR

BLE лучше всего подходит для приложений, которым необходимо отправлять только небольшие объемы данных, в результате чего устройство может проснуться, передать необходимые данные и затем вернуться в спящий режим. Низкое энергопотребление BLE делает его обязательным для устройств, которые питаются от небольшой батареи. Приложение, которое хорошо подходит для BLE, — это пульсометр. Монитор сердечного ритма не должен часто отправлять данные, но он должен работать в течение длительного периода времени от батареи. Поскольку область IoT продолжает развиваться, мы, вероятно, увидим много новых приложений BLE.

Важно отметить, что когда вы выбираете устройство Bluetooth с поддержкой для своего приложения, вы должны быть уверены, что выбрали интегральную схему (ИС), которая поддерживает протокол, который вы планируете использовать. Вы не можете купить ИС наугад и предположить, что она поддерживает как Bluetooth BR / EDR, так и BLE. Как упоминалось ранее, Bluetooth BR / EDR и BLE используют разные физические уровни, поэтому вам необходимо убедиться, что выбранная интегральная схема поддерживает физический уровень для протокола, который вы планируете использовать, или она поддерживает оба PHY, если вы считаете, что оба могут быть полезны для вашего приложение.

Bluetooth 5, который обещает значительные улучшения, уже начал появляться в популярных технологиях. Многие популярные смартфоны уже предлагают поддержку Bluetooth 5. Как и в случае с большинством беспроводных протоколов, Bluetooth 5 интегрировался в большую часть электроники. Тем не менее, становится очевидным, что настало время Bluetooth 5.

Если вы хотите быть готовым к использованию Bluetooth 5, необходим микроконтроллер, совместимый с Bluetooth 5, для соответствия основным требованиям. Одним из примеров является Maxim MAX32666GWPBT, который имеет два ядра Arm Cortex-M4 и отдельное оборудование, предназначенное для работы стека Bluetooth (рисунок ниже). Это оставляет два ядра полностью бесплатными для вашего приложения. Другим вариантом является маломощный микроконтроллер Arm Cortex-M4 MAX32665 с блоком с плавающей запятой (FPU) и Bluetooth 5. Этот микроконтроллер имеет функции управления питанием, такие как импульсный источник питания с одним индуктором и несколькими выходами (SIMO), и динамическое масштабирование напряжения для минимизации энергопотребления и, следовательно, хорошо подходит для систем с батарейным питанием.

Микроконтроллер MAX32666GWPBT предназначен для приложений Bluetooth 5

Итоги

Как и в любом хорошем уроке, лучший способ проверить свои знания — это викторина. Испытайте себя, вернитесь к приложениям, перечисленным в начале этой статьи, и посмотрите, сможете ли вы определить, какой протокол Bluetooth используется каждым из них. Если вы не помните, ответы ниже …

Bluetooth BR / EDR хорош для приложений, где критична максимальная пропускная способность. Он может потреблять значительное количество энергии, поэтому он не подходит для приложений, в которых требуется длительное время автономной работы. Он также имеет большую задержку и занимает больше времени для настройки соединения для начала отправки данных. Следовательно, он не предназначен для приложений, которые передают и получают нечастые короткие сообщения. Вы можете найти его используемым для подключения телефона к автомобильной стереосистеме для воспроизведения музыки или отправки файлов между компьютерами или планшетами. Оба приложения требуют высокой пропускной способности и могут позволить себе «потреблять некоторую мощность».

BLE используется тогда, когда критически важно низкое энергопотребление и высокая пропускная способность не требуется. Он может отправлять данные очень быстро и имеет малую задержку. Вы найдете его в приложениях, которые должны работать в течение длительного времени на аккумуляторе или в тех, которым не требуется часто отправлять данные. BLE используется в системах домашней безопасности, таких как интеллектуальные дверные замки и в фитнес-трекерах.

Хотя все эти технологии и называются Bluetooth, они действительно предлагают различные преимущества в мире беспроводной электроники. Чтобы определить, какой протокол лучше всего подходит для ваших приложений, обязательно посмотрите на различия в PHY, перечисленные в таблице 1, чтобы увидеть, где каждый протокол превосходит. Кроме того, следите за тем, как Bluetooth 5 изменит отрасль в ближайшие несколько лет благодаря более высокой пропускной способности, большему диапазону и расширенным возможностям публикации сообщений.

Где и когда использовать решения Endpoint Detection and Response?

«Антивирус умер», «одного антивируса недостаточно», «современные ОС в достаточной степени защищены» — все эти лозунги мы слышим на протяжении многих лет. Кибератаки становятся всё более изощрёнными, а разнообразие и количество средств защиты растет с каждым годом.

На Западе класс решений Endpoint Detection and Response находит практическое применение уже довольно давно, тогда как на российском рынке, это пока что лишь предмет обсуждения, нежели реально используемый инструмент.

Так что же такое EDR? Где его использовать? Как выбрать подходящее решение?

Статья Алексея Калинникова, менеджер по развитию направления информационной безопасности COMPAREX

Технология

Gartner определяет Endpoint Threat Detection and Response как инструмент для детектирования и расследования подозрительных активностей (и их следов) на конечных точках. Таким образом, этот класс решений может быть отнесен к продуктам семейства Advanced Threat Protection.

Архитектурно схема работы решения выглядит следующим образом: агент на конечной точке отслеживает события на уровне системы и сети, и либо отправляет информацию о них на сервер или облако для дальнейшего анализа, либо локально проводит анализ, позволяя оперативно отреагировать на обнаруженные угрозы. Технологии машинного обучения и поведенческого анализа, а также интеграция c потоками Threat Intelligence, позволяют выявлять неизвестные угрозы и предоставлять расширенные инструменты для расследования инцидентов и построения отчётов.

Среди функций, которыми обладаю практически все EDR:

● Обнаружение и предотвращение скрытых процессов, которые являются более сложными, чем простая сигнатура или шаблон, и легко обходят классический антивирус


● Полный обзор конечной точки, включая приложения, процессы и коммуникации для обнаружения вредоносной активности и упрощения реагирования на инциденты безопасности


● Автоматизация оповещений, а также защитных мер, таких как отключение определенных процессов в том случае, когда атака обнаружена


● Информация для расследования инцидентов, потому что, когда атакующий находится внутри сети, необходима как можно более полная информация о его действиях для понимания следующего шага и минимизации последствий.

Интеграция


Обычно решения EDR выступают как самостоятельный продукт, либо как часть платформы Anti-APT, интегрируясь с песочницами и обеспечивая более высокий уровень детектирования подозрительной активности и возможность активного реагирования на инциденты.

Сегодня уже невозможно представить инфраструктуру крупной компании без SIEM-системы. SIEM являются ядром Security Operation Center и одним из основных рабочих инструментов офицера безопасности. EDR могут существенно обогатить информацией SIEM-систему, предоставляя дополнительные возможности для мониторинга и проведения расследований.


Как повлияет агент EDR на производительность системы?

Что касается нагрузки на рабочую станцию, решения EDR без проблем работают совместно с продуктами класса Endpoint Protection, не оказывая существенного влияния на производительность системы. Гибкость настройки позволяет управлять параметрами агента, адаптируя решение под разные среды.

Нужен ли EDR, если уже используется сетевая песочница?

EDR работает на уровне рабочей станции, позволяя отследить процессы, приложения и поведение файлов на более глубоком уровне, а также опционально принять меры для предотвращения вредоносной активности. Во многие решения уже встроены механизмы, которые позволяют эффективно противодействовать шифровальщикам, поэтому оптимальным будет использование связки EDR+песочница.

Насколько эффективны подобные решения?

Естественно, одной установки программного обеспечения недостаточно. Важно, как EDR впишется в вашу модель реагирования на инциденты. Подходы к реагированию могут отличаться в зависимости от индустрии компании, зрелости системы информационной безопасности, и других факторов. Оркестрация технологий при реагировании на инциденты ИБ может существенно повысить эффективность управления инцидентами, снизить риски и возможные потери.


Заключение


Рынок EDR бурно растёт, и это вполне объяснимо. Тема кибербезопасности уже давно вышла на государственный уровень, и последние громкие инциденты говорят о том, что заражение очень часто происходит именно через конечные точки.

Однако, не стоит забывать о том, что наиболее уязвимым звеном по-прежнему остаются не технические средства, а люди. К примеру, недавнее расследование деятельности преступной группы MoneyTaker, проведенное компанией Group-IB, свидетельствует о том, что злоумышленники получили доступ к корпоративной сети банка через личный компьютер системного администратора. Поэтому, тренинги по безопасности и повышению осведомленности сотрудников, а также симуляции фишинговых атак, являются неотъемлемой частью процесса обеспечения безопасности в крупных организациях. 

Только грамотно выстроенная многоуровневая система защиты может эффективно противостоять новым сложным угрозам, и решения EDR могут стать одним ключевых элементов этой системы.

Bluetooth v 2.0/EDR – хорошо доделанное старое / Сети и коммуникации

Стандарт нового тысячелетия

C момента своего появления и до последних лет стандарт Bluetooth опережал своё время. Создатель Bluetooth, компания Ericsson, начала свои исследования в области беспроводных интерфейсов для мобильных телефонов ещё в начале девяностых годов прошлого века. В 1998 году Ericsson, совместно с компаниями IBM, Intel, Nokia и Toshiba, выпустил первую спецификацию стандарта Bluetooth 1.0. В первую очередь новый стандарт был призван заменить интерфейсные кабели сотовых телефонов.

Интересно, что в те годы далеко не все пользователи сотовых телефонов понимали, зачем вообще нужен интерфейсный кабель. Было всего два класса устройств, к которым мог быть подключен сотовый телефон. Прежде всего, существовали гарнитуры «hands-free» и системы громкой связи, для которых требовалась двунаправленная передача монофонического аудио среднего качества на расстояние в несколько метров.

Кроме того, существовали персональные компьютеры, с которыми телефон взаимодействовал как электронный органайзер или как внешний модем. Здесь новый стандарт должен был предоставить беспроводную замену последовательному порту (RS-232).

При таких задачах от стандарта Bluetooth не требовались ни скорость передачи данных, ни большая сетевая функциональность, ни большой радиус действия. Предназначенный для мобильных устройств, стандарт должен был обеспечивать низкое энергопотребление, а кроме того, чтобы успешно конкурировать с кабельными соединениями, он должен был быть очень дешёвым в реализации.

Создателей Bluetooth часто обвиняют в слишком медленном выводе их творения на рынок цифровых устройств. Действительно странно, что официально опубликованная в 1998 году спецификация Bluetooth получила широкое распространение только в начале третьего тысячелетия. Однако причины такой задержки следует искать не в медлительности разработчиков стандарта, а в отставании самого рынка. В те годы для Bluetooth просто не было достаточного количества задач.

Тем не менее, основатели стандарта довольно быстро оценили потенциал своего творения. Уже в 1999 году они продемонстрировали своё желание продолжать его совершенствование. Так появилась группа Bluetooth SIG (Special Interest Group). Наряду с пятью основателями в группу вошло довольно много компаний, среди которых были Palm, Microsoft, Motorola, Handspring, Qualcomm и Lucent.

Идея Bluetooth довольно быстро трансформировалась. Новый интерфейс уже не рассматривали как тривиальную замену кабелей сотовых телефонов. Он начал превращаться в универсальный беспроводной интерфейс для персональных сетей, в которые могли входить практически любые устройства. Периодически у стандарта отыскивались недостатки, мешающие воплотить новую концепцию, что служило поводом для выпуска новых версий спецификации с относительно небольшими изменениями и дополнениями. Так появились версии 1.1 и 1.2, которые и в наши дни не имеют конкурентов среди радиоинтерфейсов для персональных сетей.

Почему «2.0/EDR»?

Начавшееся в 2001 и 2002 годах широкое распространение устройств с поддержкой Bluetooth показало, что этот, лучший в своей области стандарт, всё же недостаточно хорош. Что ж, фактически, разработчики Bluetooth 1.x работали опираясь не столько на практические данные, сколько на прогнозы далёкого (по меркам цифровой индустрии) будущего, и предусмотреть всё они просто не могли.


Bluetooth v 2.0/EDR

В 2002 году Bluetooth был стандартизован в IEEE (Institute of Electrical and Electronics Engineers), как стандарт 802.15.1. В том же году представители Ericsson обнародовали планы новой версии стандарта — 2.0. Было отмечено, что новую спецификацию стоит ждать лишь в конце 2004 года, когда рынок до неё дорастёт.

В ноябре 2004 года Bluetooth SIG выпустила спецификацию Bluetooth 2.0+EDR (Enhanced Data Rate). На этот раз практически не было задержки с появлением устройств, поддерживающих новый стандарт. Компании Broadcom, CSR, и RF Micro Devices произвели тестирование прототипов 2.0+EDR и практически сразу же начали серийный выпуск чипов. Однако быстрого вытеснения версий 1.х с рынка не началось.

Первым устройством с поддержкой Bluetooth 2.0+EDR стал не телефон, как можно было предположить, а ноутбук от компании Apple. Bluetooth SIG ожидает повсеместного перехода мобильных телефонов на поддержку нового стандарта не ранее следующего года. При этом, производителей телефонов ожидает значительно больше трудностей, чем было при переходе с версии 1.1 на 1.2.

Появляется закономерный вопрос, относительно того, зачем вообще делали новый стандарт, если он особо никому не нужен, а его предшественник по прежнему вне конкуренции всё из-за тех же дешевизны и бережливости к энергии. На основании чего разработчики надеются на близкий рост популярности версии 2.0?

Таких оснований целых два: выросшие требования к скорости и удобству персональных сетей и желание разработчиков стандарта использовать его не только в персональных сетях.

Пользователи персональных сетей хотят быстро пересылать большие файлы с видео, аудио и фото-контентом, они хотят беспроблемно использовать беспроводную связь с различными устройствами одновременно, они хотят слушать стереофоническое аудио высокого качества через беспроводные наушники и количество подобных задач постоянно растёт. Один из самых пугающих примеров — современные принтеры, способные обогнать Bluetooth-устройства, с которых данные отправляются на печать. Постоянный рост количества Bluetooth-устройств не может не вызывать увеличения размера персональных сетей, где все устройства могут работать одновременно, мешая друг другу. Bluetooth 1.х не готов обслужить потребности таких сетей, что особенно печально в связи с приближением конкурирующего стандарта связи — UWB. Если Bluetooth SIG хочет и дальше представлять стандарт, опережающий своё время, то ей нужно что-то получше, чем 1.х.

Кроме того, не стоит забывать, что стандарт Bluetooth 1.х уже сейчас широко применяется не только для персональных сетей, но и для ряда других задач, среди которых многопользовательские локальные сети и сенсорные приложения. В этих областях стандарту Bluetooth 1.х всё труднее конкурировать с другими стандартами беспроводной связи, такими как Wi-Fi и Zigbee.

В таких условиях Bluetooth SIG могла либо подарить будущий рынок конкурентам, либо создать принципиально новый стандарт с отдельным упором на повышение скорости.

Новое в Bluetooth 2.0/EDR

Вкратце рассмотрим те нововведения, которые позволяют разработчикам рассчитывать на рост популярности нового стандарта:

Enhanced Data Rate (EDR)

Тема скорости передачи данных создаёт немало трудностей разработчикам Bluetooth. С одной стороны есть множество задач, которым при любых обстоятельствах хватит скорости 721 Кбит/с, которую предоставляют версии 1.х, а с другой — есть мультимедийные задачи, которые требуют передачи всё больших объёмов данных.


Bluetooth v 2.0/EDR
Точка доступа Bluetooth / LAN, совмещенная с принтсервером.

Скорость в 2,1 Мбит/с предоставляемая новой версией Bluetooth, всё ещё заметно не дотягивает даже до самых медленных беспроводных сетей, но для типичных мультимедийных задач её почти достаточно.

После обещанных в 2002 году 12 Мбит/с цифра 2,1 выглядит более чем скромно. Однако нужно учитывать, что разработчики Bluetooth SIG были сильно ограничены требованиями к энергопотреблению и стоимости, которые были и остаются наиболее приоритетными для данного стандарта.

В Bluetooth 1.х используется одна из наиболее примитивных схем модуляции — GFSK (Gaussian Frequency Shift Keying), простота которой была весьма привлекательна для разработчиков в 1998 году, когда даже скорость в 721 Кбит/с казалась избыточной. В Bluetooth 2.0/EDR используется несколько альтернативных схем модуляции, благодаря которым скорость передачи данных возрастает почти втрое. При этом, GFSK продолжает поддерживаться из соображений совместимости.

Отсутствие «прыгающих» частотных каналов.

В Bluetooth версий 1.х связь может осуществляться по одному из 79 частотных каналов. Чтобы избежать помех от других устройств, работающих в том же частотном диапазоне, каналы меняются 1600 раз в секунду. Это достаточно простое решение, а кроме того, в 1998 году такой протокол мог рассматриваться как неплохая аппаратная защита связи от злоумышленников. К неприятным чертам такого механизма относятся более медленная связь и трудности в дальнейшем совершенствовании стандарта.

В версии Bluetooth 2.0 для защиты от помех используется более современный механизм, что позволяет полнее использовать возможности стандарта.

Поддержка Multi-cast

В персональных сетях часто возникает необходимость передать одни и те же данные нескольким устройствам в одно и то же время. Bluetooth 1.х предусматривал многократную передачу этих данных по очереди, для каждого устройства. В один момент в отдельной Bluetooth-сети могло присутствовать только одно передающее и одно принимающее устройство. Это очень затрудняло работу в реальном времени с такими задачами, как совместное прослушивание одного и того же аудио на нескольких Bluetooth-наушниках, или как компьютерные игры с несколькими участниками, синхронизирующимися по Bluetooth. Кроме того, это просто замедляет работу, так как каждый раз надо заново устанавливать связь с очередным устройством, что занимает заметное время.

В Bluetooth 2.0 предусмотрена возможность одновременной отправки нескольким устройствам одних и тех же данных. Эта возможность называется «Multi-cast», она стала возможна благодаря устранению механизма быстрых смен частотных каналов.

Система QoS (quality of service)

При использовании интерфейса Bluetooth для связи с несколькими устройствами одновременно часто возникают нежелательные задержки. Их можно было бы избежать, если бы потоки данных были лучше организованы.

Спецификация Bluetooth 2.0 предусматривает специальный механизм QoS (quality of service), который обеспечивает взаимодействие устройств с минимальным количеством задержек. Устройства, поддерживающие QoS, коммуницируют между собой с целью согласовать свои потребности в немедленной передаче данных и возможности безболезненно справиться с задержкой связи. Таким образом, без повышения реальной скорости передачи данных, удаётся устранить эффект притормаживания, который так раздражает пользователей.

Распределённый контроль доступа к среде

Модель сети в ранних версиях Bluetooth очень проста. Сеть имеет одно главное и от одного до семи подчинённых устройств. Данные могут передаваться только между главным («master») и подчинённым («slave») устройствами. При этом, главное устройство контролирует доступ устройств к среде передачи данных. Если главное устройство по какой-то причине покинет сеть, то остальная сеть не сможет функционировать.

В Bluetooth 2.0 появился новый протокол, который предусматривает распределённый контроль за доступом к среде передачи данных, что избавляет сеть от зависимости от единственного устройства. Как только главное устройство покидает сеть, его функции передаются другому устройству.

Кроме того, в Bluetooth 2.0 максимальный размер сети увеличен с 8 до 256 устройств. В версиях 1.х для увеличения сети предусматривался довольно неудобный механизм объединения простых Bluetooth-сетей («piconet») в одну большую сеть («scatternet»). При этом, одно и то же устройство являлось главным в одной простой сети и подчинённым в другой. В версии 2.0 всё значительно проще — от одного до 255 подчинённых устройств соединяются с одним главным.

Усиленное энергосбережение

Возросшая скорость передачи данных в Bluetooth 2.0 привела к росту потребляемой устройствами мощности. Однако, потребляемая мощность выросла не так сильно, как скорость, поэтому общий расход энергии на передачу одного и того же объёма данных заметно сократился. Для большинства задач имеет место более чем двукратный выигрыш в сбережении энергии.


Bluetooth v 2.0/EDR

Более умная организация работы с данными также повлияла на энергопотребление в сторону его сокращения. Так, например, использование одновременной передачи данных нескольким устройствам заметно экономнее, чем передача этих данных каждому устройству отдельно.

Обратная совместимость с предыдущими версиями

Спецификация Bluetooth версии 2.0 предусматривает полную совместимость со всеми предыдущими версиями. Устройство, поддерживающее новый стандарт, способно обмениваться данными с устройствами всех версий, даже если они объединены в одну сеть. При этом, с новыми устройствами будет идти обмен данными на повышенной скорости 2,1 Мбит/с, а со старыми — на прежних 721 Кбит/с.

Будущее Bluetooth

Новую версию спецификации Bluetooth нельзя назвать окончательной. Прошли те годы, когда этот стандарт мог подолгу не развиваться, оставаясь выше текущих требований рынка. Теперь ему нужны регулярные обновления, чтобы соответствовать времени.

Bluetooth SIG планирует начать выпускать обновлённые спецификации ежегодно и обещает представить очередную версию уже в конце 2005 года. Разумеется, не каждая новая версия будет содержать столько новшеств, как версия 2.0/EDR.

Интересно, что скорость передачи данных больше не заявляется разработчиками стандарта в качестве ближайшей точки приложения их усилий. Значительно больше внимания в их планах уделено совершенствованию возможностей Bluetooth в области более совершенного использования имеющейся скорости, так, например, в 2005 году планируется доработать систему QoS, совершенствовать которую можно практически бесконечно, а в 2006 ожидается доработка системы Multi-Cast.

Вполне закономерно, что конкурирующие стандарты, как теснящие Bluetooth в новых для него областях, так и ожидающийся в типичной для него области персональных сетей, заставляют разработчиков продолжать совершенствовать наиболее сильную сторону стандарта — низкое потребление энергии. SIG намерена уже в 2005 году представить решения, ведущие к беспрецедентному снижению энергопотребления.

Кроме того, новые области применения Bluetooth, которых становится всё больше, предъявляют более жёсткие требования к безопасности данных, причём, их трудно даже сформулировать, не зная, куда именно новый стандарт будет распространяться. Пока направлению безопасности будет уделяться внимание в каждой новой версии спецификации стандарта.

Bluetooth и все-все-все

Очевидно, что новые возможности позволят Bluetooth 2.0 в самое ближайшее время вступить в активную конкурентную борьбу с некоторыми из существующих стандартов беспроводной связи. Ожидается также и появление новых стандартов, способных составить Bluetooth серьёзную конкуренцию.

Рассмотрим расстановку сил между Bluetooth и его основными соперниками:

Bluetooth vs. UWB

Новый стандарт беспроводной связи, называемый Wireless USB, предназначен практически для тех же задач, что и Bluetooth, то есть — для персональных сетей. Основная слабость нового стандарта заключается в том, что он ещё не готов, но его выпуск планируется на относительно недалёкое будущее, и уж тогда ничто не помешает разгореться соперничеству между называемый Bluetooth и Wireless USB, в котором на стороне первого будут низкие цена и энергопотребление, а на стороне второго — скорость передачи данных, при идеальных условиях связи достигающая 480 Мбит/с (как у USB 2.0). Множество уже существующих совместимых устройств вряд ли выручит Bluetooth в намечающейся борьбе, так как фактически, Wireless USB будет отличаться от сверхпривычного USB 2.0 только отсутствием кабеля и адаптация нового стандарта пройдёт быстро и безболезненно.

Быстрая победа одного из стандартов в ближайшее время совершенно нереальна. Пока существуют устройства, которым не принципиальна скорость, но важно низкое энергопотребление или наоборот, оба стандарта будут необходимы. В то же время, не следует ожидать быстрого деления мира устройств для персональных сетей на два несовместимых лагеря, так как довольно распространены устройства, одинаково заинтересованные и в скорости и в энергоэкономичности.

Вполне вероятна гонка, в которой разработчики Bluetooth будут наращивать скорость, а разработчики Wireless USB — снижать энергопотребление. Оба стандарта чисто технически имеют много общего, поэтому помимо победы одного из них можно рассматривать и вариант создания на их основе нового стандарта связи.

В любом случае, окончательное решение вопроса — дело не самых ближайших лет.

Bluetooth vs. Wi-Fi

Теоретически, стандарты Bluetooth и Wi-Fi предназначены для принципиально разных задач, но развитие мобильной связи и локальных сетей навстречу друг другу вызвало появление областей, где эти стандарты успешно конкурируют.

Прежде всего, это небольшие сети мобильных устройств, предназначенные, например, для игровых и мультимедийных задач. Скорость связи и расстояние, на котором эта связь возможна, являются в таких сетях второстепенными по отношению к экономному расходованию заряда батареи.

Фактически, увеличение скорости, имеющее место в последней версии Bluetooth, позволяет ему полностью вытеснить Wi-Fi из области мобильных сетей, где он только начал появляться. В тех же областях, где Wi-Fi останется конкурентоспособным, его будет выручать прежде всего не скорость, а специфическая «заточенность» под сложные сетевые задачи, и, особенно под интернет.

Скорее всего, смартфоны и игровые консоли будущего станут использовать Wi-Fi для связи с обычными немобильными сетями и с интернетом, а Bluetooth — для связи между собой. С мечтами о едином сетевом стандарте опять придётся подождать.

Bluetooth vs. Zigbee

Область сенсорных систем — это единственная область, где энергосбережение Bluetooth не просто не дотягивает до идеала, а не выдерживает даже самых минимальных требований. Речь здесь идёт не только об экономичной передаче данных, но и о более умном использовании энергии в остальное время.

Конкурирующий стандарт Zigbee, заметно отстающий от Bluetooth по скорости, позволяет сенсорным устройствам работать от одного аккумулятора по несколько лет.

В этом противоборстве стандартов ситуация простая: если Bluetooth, как обещают его разработчики, в ближайших спецификациях обгонит Zigbee по экономности, то рынок сенсорных систем можно считать захваченным, а если нет — Zigbee будет и дальше единолично занимать эту часть рынка.

Дополнительные ссылки по теме

Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Все что нужно знать о технологии Bluetooth

Чем интересен Bluetooth и как он связан с Харальдом Синизубом?

Все что нужно знать о технологии Bluetooth

Что такое Bluetooth и с чем его «едят». Основы технологии и дата создания

Все что нужно знать о технологии Bluetooth

Связь Bluetooth – это стандарт беспроводной технологии для обмена данными на кроткой дистанции, которая использует коротковолновые СВЧ радиоволны в ISM диапазоне от 2.4 до 2.485 ГГц, для обмена данными между стационарными и мобильными устройствами, и построении персональных сетей (Personal Area Network PAN).

 

Создана технология была телекоммуникационным поставщиком Ericsson в 1994 году и так серьезно вошла в повседневную жизнь, что представить себе жизнь без нее стал невозможным. В том числе и автомобильную жизнь. Изначально новая технология была задумана как беспроводная альтернатива интерфейсу RS-232 кабелей данных. При помощи Bluetooth могут подключаться различные устройства, избегая проблем с синхронизацией и без использования лишних проводов.

 

Спецификация Bluetooth была разработана группой Bluetooth Special Interest Group (Bluetooth SIG), которая на сегодняшний день имеет в членстве более чем 25.000 компаний работающих в области электросвязи, вычислительной техники, сетевого оборудования и потребительской электроники.

 

Началось восхождение Bluetooth с достижения соглашения с IEEE, на основе которого спецификация Bluetooth стала частью стандарта IEEE 802.15.1. В это время был получен ряд патентов, которые появились в процессе разработки технологии.

 

Тайна названия Bluetooth

Все что нужно знать о технологии Bluetooth

 

«Bluetooth» является не совсем правильной англизированной версией скандинавского Blåtand/Blåtann, (старонорвежский blátǫnn) являющейся прозвищем короля Харальда Синезубого, жившего в X веке. Ему удалось объединить враждовавшие датские племена в единое королевство, по преданию он также ввел Христианство. По примеру Харальда объединившего народы, Bluetooth делал тоже самое с протоколами, объединяя их в единый универсальный стандарт.

 

И еще немного по поводу названия. Слово «blå» в современных скандинавских языках означает «синий», но в то время когда жили викинги его второе значение означало и «черный цвет». Поэтому, скорее всего у Харальда, конечно же, был черный передний зуб, но никак ни синий. И в переводе датское Harald Blåtand более правильно было б интерпретировать как Harald Blacktooth, нежели Harald Bluetooth. Вот такая историческая неточность.

 

Идея названия была предложена в 1997 году Джим Кардашем, который разработал систему, позволявшую мобильным телефонам «общаться» с компьютерами. На момент разработки, Джим читал исторический роман Франса г. Бенгтссона «Корабли Викингов», повествовавшем о Викингах и о короле Харальде Синезубом. Таким образом роман и повлиял на название.

 

Логотип Bluetooth сочетает две скандинавские руны «хаглаз» и «беркана».

 

1998

Пятью кампаниями формируется Bluetooth Special Interest Group (SIG)

К концу года Bluetooth SIG принимает своего 400го члена

Имя Bluetooth получает официальный статус

1999

Выпущена спецификация Bluetooth 1.0

Bluetooth в SIG организовывает первую встречу разработчиков UnPlugFest

Технология Bluetooth награждена в качестве  «Best of Show Technology Award» на COMDEX

2000

На рынок выходит первый мобильный телефон с поддержкой Bluetooth

Появляется первая PC card

Прототип мыши для ноутбука и продемонстрированы на CeBIT 2000

Прототип USB модуля показан на выставке COMDEX

Первый чип объединивший радиочастоту, основную полосу частот, функции микропроцессора и беспроводное программное обеспечение связи Bluetooth

В продажу уходит первая гарнитура

2001

Первый принтер

Первый ноутбук

Первый hands-free автомобильный комплект

Первый hands-free с распознаванием речи

Bluetooth SIG, Inc. формируется как некоммерческая, неакционерная компания

2002

Первый комплект клавиатуры и мыши

Первый GPS приемник

Количество кондиционных Bluetooth продуктов составило 500 единиц

IEEE одобряет, что 802.15.1 стандарт соответствует беспроводной технологии Bluetooth

Первая цифровая фотокамера

 

Реализация Bluetooth

Все что нужно знать о технологии Bluetooth

Bluetooth работает на частотах от 2400 до 2483.5 МГц (включая поле допусков от 2 МГц в нижнем диапазонt и 3.5 МГц наверху). Соответственно как видно, принцип действия основан на использовании радиоволн. Радиосвязь Bluetooth осуществляется в диапазоне ISM применяющемся в различных бытовых приборах и беспроводных сетях.

 

Bluetooth использует радио технологию, которая называется скачкообразной перестройкой частоты с расширенным спектром, Frequency Hopping Spread Spectrum, FHSS. Bluetooth делит данные на пакеты и передает каждый пакет по одному из обозначенных 79 каналов (рабочих частот). Каждый канал имеет полосу пропускания 1 МГц. Связь Bluetooth 4.0 использует 2 МГц интервал, который вмещает в себя 40 каналов. Первый канал запускается на 2402 МГц и продолжается до 2480 МГц с шагом 1 МГц. Для Bluetooth применяется метод расширения спектра со скачкообразной перестройкой частоты, несущая частота сигнала скачкообразно меняется 1600 раз в секунду.

 

Последовательность переключения между частотами для каждого соединения является псевдослучайной и известна только передатчику и приёмнику, которые каждые 625 мкс (один временной слот) синхронно перестраиваются с одной несущей частоты на другую. Таким образом, если рядом работают несколько пар приёмник-передатчик, то они не мешают друг другу. Этот алгоритм является также составной частью системы защиты конфиденциальности передаваемой информации: переход происходит по псевдослучайному алгоритму и определяется отдельно для каждого соединения.

 

Версии Bluetooth

Все что нужно знать о технологии Bluetooth

Bluetooth 1.0

Устройства первой версии 1.0 имели ряд проблем. У них наблюдалась посредственная совместимость с техникой сторонних производителей. В 1.0 и 1.0B была обязательной передача адреса устройства (BD_ADDR) на этапе установления связи, что делало невозможной реализацию анонимности соединения на протокольном уровне и было основным недостатком версии.

 

Bluetooth 1.1

Первое же обновление 1.1 исправило много недочетов найденных в версии 1.0B. Добавлены: поддержка нешифрованных каналов и RSSI (Received Signal Strength Indication) индикация уровня мощности.

 

Bluetooth 1.2

У последующего обновления были улучшения: Быстрое подключение и обнаружение. Она стала стойкой к радиопомехам, благодаря использованию адаптивной перестройки частоты с расширенным спектром. Скорости передачи данных до 1 Мбит/с. Появилось Расширенные Синхронные Подключения (eSCO), улучшившее качество передачи голоса в аудиопотоке. В Host Controller Interface (HCI) добавлена поддержка трёхпроводного интерфейса UART. В качестве стандарта принят IEEE Standard 802.15.1-2005.

 

Bluetooth 2.0 + EDR

EDR обеспечивает следующие преимущества: увеличение скорости передачи в 3 раза до 2,1 Мбит/с, возможность установки нескольких подключений  в связи с дополнительной полосой пропускания. Снижение потребления энергии из-за уменьшения нагрузки.

 

Bluetooth 2.1

Добавлена технология расширенного запроса характеристик устройства, энергосберегающая технология Sniff Subrating, которая позволяет увеличить продолжительность работы устройства от одного заряда аккумулятора в 3—10 раз. Обновлённая спецификация существенно упрощает и ускоряет установление связи между двумя устройствами, позволяет производить обновление ключа шифрования без разрыва соединения

 

Bluetooth 2.1 + EDR

В августе 2008 года Bluetooth SIG представил версию 2.1+EDR. Новая редакция Bluetooth снижает потребление энергии в 5 раз, повышает уровень защиты данных и облегчает распознавание и соединение Bluetooth-устройств благодаря уменьшению количества шагов, за которые оно выполняется.

 

Bluetooth 3.0 + HS

21 апреля 2009 года  появился Bluetooth 3.0+HS. Скорость передачи данных (теоретически) возросла до 24 Мбит/с. Особенностью являлось добавление AMP (Alternate MAC/PHY), дополнение к 802.11 как высокоскоростное сообщение. Для AMP были предусмотрены две технологии: 802.11 и UWB.

 

Bluetooth 4.0

Через четыре года, 30 июня 2010, Bluetooth SIG утвердил спецификацию 4.0. Bluetooth 4.0 включал протоколы: классический Bluetooth, высокоскоростной Bluetooth и Bluetooth с низким энергопотреблением.

 

Bluetooth 4.1

SIG в конце 2013 года представила спецификацию Bluetooth 4.1. Одно из улучшений, реализованных в спецификации Bluetooth 4.1, касается совместной работы Bluetooth и мобильной связи четвёртого поколения LTE. Стандарт предусматривает защиту от взаимных помех путём автоматического координирования передачи пакетов данных.

 

Bluetooth 4.2

Bluetooth 4.2 был представлен 2 декабря 2014 года. Стандарт улучшили в его скоростных характеристиках и информационной безопасности.

 

Bluetooth 4.2 добавить возможность прямого подключения к Сети. То есть устройства с поддержкой Bluetooth 4.2 смогут не только напрямую взаимодействовать друг с другом, но и подключаться к Интернет (благодаря поддержке протокола IPv6/6LoWPAN) через соответствующие точки доступа. Ключевая идея развития стандарта заключается в том, чтобы с помощью Bluetooth можно было соединить любые устройства друг с другом.

 

В дополнение к безопасной и быстрой связи Bluetooth 4.2 также будет более энергоэффективен, всё это сдвинет тенденцию последних месяцев к подключению к сети: всё больше устройств начинают для этого использовать Bluetooth, что, кроме всего прочего, положительно сказывается на автономности работы.

 

2003

Первый MP3-плеер с технологией Bluetooth

Версия Bluetooth 1.2 принята Bluetooth SIG

Поставка продуктов Bluetooth выросло до 1 млн в неделю

Первая одобренная медицинская система Bluetooth

2004

SIG принимает версию Core Specification Version 2.0 Enhanced Data Rate (EDR)

Технология Bluetooth установлена в качестве базовой комплектации на 250 млн устройств

Поставки превзошли 3 млн. единиц в неделю

Первые стереонаушники

2005

Поставки продукции поднялись до 5 млн чипсетов в неделю

SIG приветствует своего 4,000 участника

Открыта штаб-квартира SIG  в Белвью, штат Вашингтон, региональные офисы начали работать в г. Мальме, Швеции и Гонконге

SIG запускает Profile Testing Suite (PTS)  v1.0, инструмент для тестирования и проведения типовых испытания полностью разработанный собственными силами компании

2006

Первые солнцезащитные очки

Первые часы

Первая цифровая фоторамка поддерживающая Bluetooth

Bluetooth установлен на 1 млрд устройств

Поставки Bluetooth устройств достигает 10 миллионов в неделю

Тестирование Profile Tuning Suite (PTS)  становится обязательной частью продуктов Bluetooth квалификационного отбора

SIG объявляет, что она будет интегрировать технологию сверхширокополосной связи (Ultra-Wide Band, UWB) с WiMedia Alliance

2007

Первый будильник радио

Первый телевизор

SIG приветствует  8,000 участника

Исполнительный директор Bluetooth SIG , Майкл Фолей, получает награду Telematics Leadership Award

PTS Protocol Viewer выпущен в качестве части недавно опубликованной версии 2.1.1 наряду со значительно обновленным пользовательским интерфейсом

 

Самые распространенные профили Bluetooth

Все что нужно знать о технологии Bluetooth

Чтобы использовать беспроводную технологию Bluetooth, устройства должны быть в состоянии интерпретировать определенные профили Bluetooth, которые находятся определенных областях применения и указывают общие формы поведения, чтобы Bluetooth совместимые устройства могли использовать для связи с другими устройствами Bluetooth.  

 

Профиль — набор функций или возможностей, доступных для определённого устройства Bluetooth.

 

Существует широкий спектр профилей Bluetooth, которые описывают различные типы приложений или сценариев использования устройства.

Список основных профилей одобренных Bluetooth SIG с кратким описанием и предназначением:

Advanced Audio Distribution Profile (A2DP) разработан для передачи музыки, к беспроводной гарнитуре или иным устройствам.

 

Audio / Video Remote Control Profile (AVRCP) создан для управления стандартными функциями телевизоров, высокоточного оборудования. Позволяет создавать устройства с функциями дистанционного управления.

 

Basic Imaging Profile (BIP) разработан для пересылки изображений между устройствами. С помощью этого профиля, возможно, изменять размер изображения и конвертировать его в поддерживаемый принимающим устройством формат.

 

Basic Printing Profile (BPP) с его помощью возможно пересылать текст, сообщения электронной почты, vCard на принтер. Профилю не требуется наличие драйверов.

 

Common ISDN Access Profile (CIP) используется для доступа устройств к цифровой сети с интеграцией служб, ISDN.

 

Cordless Telephony Profile (CTP) поддерживает беспроводную телефонию.

 

Device ID Profile (DIP) помогает определить класс устройства, его производителя и версию продукта.

 

Dial-up Networking Profile (DUN) протокол предоставляет стандартный доступ к Интернету или другому телефонному сервису через Bluetooth.

 

Fax Profile (FAX) предоставляет интерфейс между мобильным или стационарным телефоном, а также персональным компьютером на котором установлено программное обеспечение для работы с факсами.

 

File Transfer Profile (FTP_profile) обеспечивает доступ к файловой системе устройства.

 

General Audio / Video Distribution Profile (GAVDP) база для A2DP и VDP.

 

Generic Access Profile (GAP) база для остальных профилей.

 

Generic Object Exchange Profile (GOEP) база для других профилей передачи данных, основывается на OBEX.

 

Hard Copy Cable Replacement Profile (HCRP) замена кабельного соединения между устройством и принтером. Отрицательная сторона профиля, делающая его не универсальным- необходимость установки драйверов.

 

Hands-Free Profile (HFP) используется для соединения беспроводной гарнитуры и телефона.

 

Human Interface Device Profile (HID) обеспечивает поддержку устройств с HID в которые входят клавиатуры, мышки, джойстики и т.д. Отличительная особенность — использует медленный канал, работает на пониженной мощности.

 

Headset Profile (HSP) используется для соединения беспроводной гарнитуры и телефона.

 

Intercom Profile (ICP) обеспечивает голосовые звонки между Bluetooth совместимыми устройствами.

 

LAN Access Profile (LAP) обеспечивает доступ Bluetooth устройствам к вычислительным сетям LAN, WAN или Интернет посредством другого Bluetooth устройства, которое имеет физическое подключение к этим сетям.

 

SIM Access Profile (SAP, SIM) позволяет получить доступ к SIM-карте телефона, что делает возможным использование одной SIM-карты для нескольких устройств.

 

Synchronisation Profile (SYNCH) позволяет синхронизировать персональные данные (PIM).

 

Video Distribution Profile (VDP) позволяет передавать потоковое видео.

 

Wireless Application Protocol Bearer (WAPB) протокол для организации P-to-P (Point-to-Point) соединения через Bluetooth.

Что же такое Bluetooth, какие бывают версии и чем они отличаются, профили блутуз

Покупая мобильный телефон или смартфон, хочется, чтобы и начинка, и программное обеспечение у аппарата для его цены были самые лучшие. Наличием Bluetooth нынче никого не удивишь, а вот версии у него бывают разные. А чем эти версии отличаются кроме цифрового обозначения? Так ли важно, чтобы версия была самая последняя?

Bluetooth что это?

Интересным словом Bluetooth называют протокол для обмена информацией на небольших расстояниях. Зона покрытия у него по сравнению с Wi-Fi довольно скромная (максимум 100 метров, и то в лучшем случае, если у вас последняя версия), да и скорость передачи данных невысока. Но эти минусы компенсируются низким энергопотреблением и высокой скоростью соединения (т. н. спаривания) телефонов.

Bluetooth – весьма старая технология на IT-рынке; первая версия (1.0) появилась на свет в далеком 1998 году. На данный момент она считается морально устаревшей, и ни в одном устройстве, имеющемся в продаже, не используется.

Версии Bluetooth

bluetooth модульbluetooth модульСледующая версия протокола – 1.2 – ныне тоже считается устаревшей, однако она верой и правдой служила пользователям телефонов гораздо дольше. Ее и сейчас можно встретить в некоторых дешевых мобильных устройствах китайского производства. Максимальная скорость передачи данных Bluetooth 1.2 составляет 721 Кбит/сек. Телефоны спариваются гораздо быстрее, находиться в сети можно анонимно. Данная версия протокола позволяет передавать не только музыку и картинки, но и другие виды файлов, а также сервисные данные.

 Появление технологии EDR, или Enhanced Data Rate, стало следующим шагом в развитии Bluetooth, причем довольно большим. Скорость передачи данных в теории возросла до 3 Мбит/сек, хотя на практике выше 2 Мбит/сек она обычно не поднималась. Эту технологию поддерживают две версии блютуз – 2.0, выпущенная в 2004 году, и 2.1, появившаяся на свет в 2007-м. Они практически полностью идентичны, отличаются лишь технологиями энергосбережения.

С Bluetooth 2.1 совместимы практически все имеющиеся в продаже мобильные телефоны, навигаторы, гарнитуры и др. устройства. Энергопотребление по сравнению с предыдущими версиями протокола упало почти в 10 раз, что сделало возможным массовое производство компактных гарнитур.

 Блютуз версии 3.0 появился в 2009 году, и с его появлением стала возможной передача информации с гораздо большей скоростью, чем раньше (технология HS, или High Speed). Совместимые с Bluetooth 3.0 + HS устройства оснащаются 2.1 + EDR (до 3 Мбит/сек), а также вторым модулем, который работает аналогично вайфаю и обеспечивает скорость до 24 Мбит/сек. Несмотря на похожий принцип работы, совместимости непосредственно с Wi-Fi нет.

 Технология HS при всех своих достоинствах имела один серьезный недостаток – высокое энергопотребления. Однако уже в 2010 году, когда появилась Bluetooth 4.0, он был исправлен. Чип этой версии присутствует во всех топовых смартфонах и планшетах, а также в большинстве ультрабуков. Передавать данные можно на расстоянии до 100 метров со скоростью до 30 Мбит/сек.

Стоит, однако, отметить, что не все возможности данного стандарта Bluetooth являются обязательными. Так, возможность длительной автономной работы (функция Bluetooth Low Energy) поддерживается только самыми новыми устройствами.

Большинство периферийных устройств, таких как гарнитуры, навигаторы и пр., поддерживает Bluetooth 2.1 + EDR, так что если ваш аппарат поддерживает ту же версию, все будет в порядке. Хотя некоторые устройства могут поддерживать другие версии протокола. Так, отладочные часы Texas Instruments MetaWatch, отображающие на дисплее разнообразную информацию о смартфоне, поддерживают Bluetooth 4.0. Чтобы все работало, ваш аппарат должен поддерживать ту же версию.

Если для вас важна высокоскоростная передача информации, тогда вам нужен Bluetooth версии 3.0 или 4.0 на обоих аппаратах. Хотя высокой скорости передачи данных можно добиться и за счет технологии NFC (функция S Beam в новых Samsung’овских смартфонах). Да и Wi-Fi Direct во многих случаях использовать целесообразнее, ведь эта функция поддерживается многими устройствами на базе ОС Android 4.0, а скорость передачи по сравнению с Bluetooth намного выше.

Bluetooth профили

С версиями Bluetooth разобрались; у каждой свои особенности – не спутаешь. И также не стоит путать версии блютуза с профилями. Профилем называют определенную активность, которая возможна на различных версиях протокола.

Профиль A2DP предусматривает возможность передачи файлов и стереозвука, которая доступна в версии Bluetooth 1.2 и выше. Однако каждый конкретный аппарат может располагать своим набором профилей, так что какие-то действия, даже учитывая свежую версию блютуза, могут оказаться недоступными. Так, смартфоны на базе ОС Windows не поддерживают обмен информацией посредством Bluetooth, и пользователю придется прибегнуть к некоторым хитростям, если он желает задействовать эту возможность протокола.

Версии Bluetooth и их отличия

wi-f-.jpgТехнология Bluetooth предназначена для передачи данных на небольших (не более 100м для последних версий) расстояниях. Объясняется это принципом действия, основанном на радиосвязи в ISM-диапазоне.

Скорость работы Bluetooth ощутимо ниже, чем у Wi-Fi, но при этом она потребляет меньше энергии батареи и позволяет устройствам быстрее соединятся друг с другом. Кроме того, Bluetooth-соединения устойчивы к разного рода широкополосным помехам, а оборудование для их реализации стоит вполне недорого.

Вышла в свет в 1998г. и позволяла передавать данные на расстоянии нескольких метров. Для нее были характерны плохая совместимость между изделиями разных производителей и невозможность реализации анонимного соединения на протокольном уровне. Эта версия уже давно не используется.

В этих обновлениях введены поддержка нешифрованных каналов, отображение мощности входящего сигнала и ускорен процесс обнаружения/подключения устройств. Также была увеличена помехостойкость, увеличена скорость трансляции (721Кбит/с) и реализована сетевая анонимность. Эти версии позволяли передавать уже и речевые сообщения и стереозвук (A2DP-профиль). В настоящее время можно купить дешевый телефон китайского производителя с обновлением 1.2.

Обновление 2.0 вышло в 2004г., 2.1 – в 2007г. Разница между ними заключается в большей энергоэкономичности последней версии. Главная особенность Bluetooth 2.0 – внедрение технологии EDR, повышавшей скорость до теоретических 3Мбит/с (на практике чаще всего получалось 1,5-2Мбит/с. Сегодня можно купить недорогой смартфон, поддерживающий эту технологию.
Версия 2.1 – самое популярное обновление Bluetooth. Она совместима фактически со всеми устройствами, представленными на мобильном рынке. Причем если в смартфонах/планшетах используется Bluetooth более свежих обновлений, то в беспроводных мышах, клавиатурах, гарнитурах и т.д. нередко реализован именно стандарт 2.1+EDR. В этих обновлениях введены поддержка нешифрованных каналов, отображение мощности входящего сигнала и ускорен процесс обнаружения/подключения устройств. Также была увеличена помехостойкость, увеличена скорость трансляции (721Кбит/с) и реализована сетевая анонимность. Эти версии позволяли передавать уже и речевые сообщения и стереозвук (A2DP-профиль).

Энергопотребление в версии 2.1 снизилось почти в 10 раз, появилась дополнительная полоса пропускания, что облегчило использование нескольких подключений одновременно. Реализовано подключение нажатием одной кнопки.

Вышла в 2009г и впервые использовала высокоскоростную (HS) трансляцию данных. Скорость возросла до 24Мбит/с. Реализовано это было за счет установки двух модулей (Bluetooth3.1+EDR и модуля, функционирующего по протоколу 802.11, как и Wi-Fi). Именно второй модуль и «выдает» скачок скорости, но не дает Wi-Fi-совместимость. Файлы небольшого объема передаются при помощи модуля 2.1+EDR, объемные – по протоколу 802.11.
Недостатком такого решения стало возросшее энергопотребление.

ви-фи.jpgОбновление 4.0 вышло в 2010г. В нем был исправлен основной недостаток HS – чрезмерное потребление энергии. Спецификация 4.0 включала в себя «традиционный» модуль Bluetooth и высокоскоростную передачу (основанную на Wi-Fi). Также был добавлен Bluetooth-протокол с минимальным энергопотреблением. Они используется главным образом в электронных датчиках, мини-сенсорах (в том числе и медицинских) и т.д.
Время установления соединения снизилось до 5мс, расстояние передачи возросло до 100м. Введено AES-шифрование для защиты данных. Эта версия реализована в свежих моделях крупных производителей и установлена на флагманских смартфонах Хайскрин.
Обновление 4.1 представлено в 2013г. Главные доработки касаются совместного функционирования Bluetooth и LTE-стандарта. Пакеты данных автоматически координируются для взаимной помехозащиты.
При выборе смартфона не стоит путать версии и профили Bluetooth. Профиль – это набор функциональных возможностей, один и тот же профиль могут реализовывать разные версии. К примеру, речь и стереозвучание передаются, начиная с обновления 1.2. При этом для каждого конкретного устройства может быть доступным только определенный функциональный набор, меньший, чем заложенный в используемой версии Bluetooth. Таким образом, для успешного взаимодействия Bluetooth-устройств у них должна быть реализована поддержка одного и того же профиля (версии Bluetooth могут быть разным). 

  • Версии 4.0, 4.2 и 5.0

В 2018-2019 наибольшее распространение имеют версии Bluetooth 4.0 — 4.2 и 5.0. При этом, стандарт Bluetooth 4.2, анонсируется как версия с улучшенными параметрами, предоставляющая новые решения для «умного дома», новые профили, как IPSP. Версия же 5.0 предлагается, как новый стандарт с более высокой скоростью передачи данных, что оценят по большей части разработчики и улучшенным возможностями для беспроводных технологий

Смотрите также: Как добавлять виджет на рабочий стол

                                 Как устроен смартфон | Из чего состоит мобильный телефон

                                Что делать если завис смартфон

                                Почему царапается экран смартфона с защищённым стеклом

                                Как выполнить импорт контактов из сим-карты в память смартфона

                                Необходимые характеристики смартфонов для игр

хайскрин каталог смартфонов.jpg

Онлайн магазин мобильных телефонов Хайскрин

Каталог смартфонов Highscreen


Что такое обнаружение конечной точки и ответ? | EDR Security

Новые возможности EDR улучшают анализ угроз

Новые функции и услуги расширяют возможности решений EDR по обнаружению и расследованию угроз.

Например, сторонние службы анализа угроз, такие как McAfee Global Threat Intelligence, повышают эффективность решений безопасности конечных точек. Службы анализа угроз предоставляют организации глобальный пул информации о текущих угрозах и их характеристиках.Этот коллективный разум помогает повысить способность EDR выявлять эксплойты, особенно многоуровневые атаки и атаки нулевого дня. Многие поставщики средств защиты EDR предлагают подписку на анализ угроз как часть своего решения для защиты конечных точек.

Кроме того, новые возможности расследования в некоторых решениях EDR могут использовать ИИ и машинное обучение для автоматизации этапов следственного процесса. Эти новые возможности позволяют изучать базовое поведение организации и использовать эту информацию вместе с множеством других источников информации об угрозах для интерпретации результатов.

Другой тип сбора информации об угрозах — это проект «Тактика, методы и общие знания» (ATT & CK), который реализуется некоммерческой исследовательской группой MITER, работающей с правительством США. ATT & CK — это база знаний и платформа, построенная на изучении миллионов реальных кибератак.

ATT & CK классифицирует киберугрозы по различным факторам, таким как тактика, использованная для проникновения в ИТ-систему, тип использованных уязвимостей системы, используемые вредоносные инструменты и преступные группы, связанные с атакой.Основное внимание в работе уделяется выявлению шаблонов и характеристик, которые остаются неизменными независимо от незначительных изменений эксплойта. Такие детали, как IP-адреса, ключи реестра и номера доменов, могут часто меняться. Но методы злоумышленника — или «способ действия» — обычно остаются теми же. EDR может использовать это обычное поведение для выявления угроз, которые могли быть изменены другими способами.

Поскольку профессионалы в области ИТ-безопасности сталкиваются со все более сложными киберугрозами, а также с большим разнообразием по количеству и типам конечных точек, получающих доступ к сети, им требуется дополнительная помощь со стороны автоматизированного анализа и реагирования, которые предоставляют решения для обнаружения конечных точек и реагирования.

,

Что такое обнаружение конечной точки и ответ (EDR)?

Что такое EDR?

Обнаружение и реагирование на конечные точки (EDR) — это форма защиты конечных точек, которая использует данные, собранные с конечных устройств, чтобы понять, как ведут себя киберугрозы и как организации реагируют на киберугрозы. В то время как некоторые формы защиты конечных точек сосредоточены исключительно на блокировании угроз, обнаружение конечных точек и реагирование на них представляет собой более целостный подход. Благодаря непрерывному мониторингу конечных точек и тщательному анализу данных предприятия могут лучше понять, как та или иная угроза поражает конечную точку и механизмы, с помощью которых она распространяется по сети.Вместо немедленного устранения угроз организации могут использовать информацию, полученную с помощью EDR, для усиления защиты от будущих атак и сокращения времени ожидания для потенциального заражения.

Думайте о EDR как о регистраторе полетных данных для ваших конечных точек. Во время полета в так называемый «черный ящик» записываются десятки точек данных; например, высота, воздушная скорость и расход топлива. После авиакатастрофы следователи используют данные из черного ящика, чтобы определить, какие факторы могли способствовать авиакатастрофе.В свою очередь, эти способствующие факторы используются для предотвращения подобных сбоев в будущем. Точно так же телеметрия конечных точек, полученная во время и после кибератаки (например, запущенные процессы, установленные программы и сетевые соединения), может использоваться для предотвращения подобных атак.

Термин «обнаружение угроз для конечных точек и реагирование на них» был придуман известным автором и экспертом по кибербезопасности Антоном Чавукиным в 2013 году как способ обозначить «инструменты, в первую очередь ориентированные на обнаружение и расследование подозрительных действий (и их следов), других проблем на хостах / конечных точках». ,”

В настоящее время термин сокращен до просто «обнаружение конечной точки и ответ». Когда люди говорят о EDR, они, вероятно, имеют в виду тип защиты конечных точек, который включает возможности EDR. Просто имейте в виду, что эти два термина не одно и то же. Самописец полетных данных не может взять под контроль самолет и предотвратить катастрофу во время аварии. Точно так же одного EDR недостаточно, чтобы остановить кибератаку без интегрированного антивируса, защиты от вредоносных программ, защиты от эксплойтов и других средств снижения угроз.

Защитите свои конечные точки от опасных угроз

Защитите свой бизнес и конечные точки от киберпреступников. Запросите бесплатную пробную версию Malwarebytes Endpoint Detection and Response.

БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД

Последние новости по EDR

Как работает EDR?

Обнаружение конечной точки и ответ в целом определяется тремя типами поведения.

Управление конечными точками. Это относится к способности EDR быть развернутой на конечной точке, записывать данные конечной точки, а затем сохранять эти данные в отдельном месте для анализа сейчас или в будущем. EDR можно развернуть как отдельную программу или включить в комплексное решение для защиты конечных точек. Последний имеет дополнительное преимущество в виде объединения нескольких возможностей в один агент конечной точки и предложения единой панели, через которую администраторы могут управлять конечной точкой.

Анализ данных. EDR может интерпретировать необработанную телеметрию с конечных точек и создавать метаданные конечных точек, которые пользователи могут использовать для определения того, как произошла предыдущая атака, как будущие атаки могут снизиться, и действия, которые могут быть предприняты для предотвращения этих атак.

Охота на угрозы. EDR сканирует программы, процессы и файлы, соответствующие известным параметрам, на наличие вредоносных программ. Поиск угроз также включает возможность поиска всех открытых сетевых подключений на предмет потенциального несанкционированного доступа.

Реагирование на инцидент . Это относится к способности EDR захватывать образы конечной точки в разное время и повторно отображать или откатывать к предыдущему исправному состоянию в случае атаки. EDR также дает администраторам возможность изолировать конечные точки и предотвращать дальнейшее распространение по сети.Исправление и откат могут быть автоматическими, ручными или их комбинацией.

«Думайте о EDR как о регистраторе полетных данных для ваших конечных точек. Во время полета в так называемый «черный ящик» записываются десятки точек данных; например, высота, воздушная скорость и расход топлива. После авиакатастрофы следователи используют данные из черного ящика, чтобы определить, какие факторы могли способствовать авиакатастрофе … Аналогичным образом, телеметрия конечных точек, полученная во время и после кибератаки (например,g., запущенные процессы, установленные программы и сетевые подключения) могут быть использованы для предотвращения подобных атак ».

Чем отличается EDR от антивируса?

Прежде чем перейти к разнице между EDR и антивирусом, давайте уточним наши определения. Мы знаем, что EDR — это своего рода защита конечных точек, которая использует данные конечных точек и то, что мы узнаем из этих данных, как оплот против будущих заражений — так что же такое антивирус?

Malwarebytes Labs определяет антивирус как «устаревший термин, используемый для описания программного обеспечения безопасности, которое обнаруживает, защищает и удаляет вредоносные программы.В этом смысле термин «антивирус» несколько неверен. Да, антивирус останавливает компьютерные вирусы, но он также может остановить современные угрозы, такие как программы-вымогатели, рекламное ПО и трояны. Более современный термин «защита от вредоносных программ» пытается привести терминологию в соответствие с тем, что фактически делает технология; то есть остановить вредоносное ПО. Люди склонны использовать эти два термина как синонимы. В этой статье мы будем использовать более современный термин и называть его просто «защита от вредоносных программ».

Теперь, чтобы понять разницу между EDR и защитой от вредоносных программ, мы должны рассмотреть варианты использования.С одной стороны, у вас есть готовая антивирусная программа, разработанная для потребителей, которые хотят защитить несколько личных устройств (например, смартфон, ноутбук и планшет) в своей домашней сети.

С другой стороны, у вас есть EDR для бизнес-пользователей, защищая сотни, потенциально тысячи оконечных устройств. Устройства могут быть как рабочими, так и сотрудниками (BYOD). А сотрудники могут подключаться к сети компании из любого количества потенциально небезопасных общедоступных точек доступа Wi-Fi.

Когда дело доходит до анализа угроз, типичный потребитель хочет знать только то, что его устройства защищены.Отчетность не выходит за рамки того, сколько угроз и какие виды угроз были заблокированы за определенный период времени. Для бизнес-пользователя этого недостаточно.

Администраторам безопасности необходимо знать: «Что происходило на моих конечных точках раньше и что происходит на моих конечных точках прямо сейчас?» Защита от вредоносных программ не дает ответов на эти вопросы, но именно здесь EDR лучше.

В любой момент EDR — это окно в повседневные функции конечной точки. Когда что-то происходит за пределами нормы, администраторы получают предупреждение, им предоставляются данные и ряд опций; е.g., изолируйте конечную точку, поместите угрозу в карантин или устраните ее.

Зачем компаниям EDR?

Согласно отчету Malwarebytes Lab о состоянии вредоносного ПО за 2020 год, количество атак на предприятия выросло на 13 процентов с 2018 по 2019 год. В то же время количество атак потребителей снизилось на два процента. Киберпреступники уходят от разрозненных атак на потребителей, вместо этого сосредотачивая свои усилия не только на бизнесе, но и на образовательных учреждениях и государственных учреждениях.

Самая большая угроза на данный момент — программы-вымогатели.Обнаружение программ-вымогателей в корпоративных сетях находится на рекордно высоком уровне, в основном благодаря штаммам-вымогателям Ryuk, Phobos, GandCrab и Sodinokibi. Не говоря уже о троянах, таких как Emotet, которые несут вторичную полезную нагрузку программ-вымогателей. И дело не только в громких именах компаний из списка Fortune 500. Организации любого размера становятся мишенью киберпреступных банд, злоумышленников-одиночек, хактивистов и спонсируемых государством хакеров, которые ищут больших результатов у компаний, хранящих кеши ценных данных в своих сетях.Опять же, это ценность данных, а не размер компании. Органы местного самоуправления, школы, больницы и поставщики управляемых услуг (MSP) также могут стать жертвой утечки данных или заражения программами-вымогателями.

Рассмотрите среднюю стоимость утечки данных. В отчете IBM о взломе данных за 2019 год указана цифра в 3,92 миллиона долларов. В США эта цифра еще выше — 8,19 миллиона долларов.

Имея в виду эти отрезвляющие данные, защита конечных точек, такая как Malwarebytes Endpoint Protection and Response, имеет решающее значение для защиты ваших конечных точек, ваших сотрудников, ваших данных, клиентов, которых вы обслуживаете, и вашего бизнеса от опасного массива киберугроз и ущерба, который они могут нанести ,

,

Что такое EDR и почему это важно?

Часто конечные точки вашей организации могут стать ключевыми точками входа для кибератак. С развитием мобильности на рабочем месте и подключением сотрудников к Интернету со своих удаленных конечных точек по всему миру неудивительно, что устройства становятся все более уязвимыми. А без надлежащих мер защиты кибербезопасности злоумышленники могут легко воспользоваться любыми существующими уязвимостями.Вот почему потребность в улучшенных инструментах безопасности, превосходящих традиционные брандмауэры и антивирусные решения, стала, несомненно, высшим приоритетом для больших и малых организаций. EDR (сокращение от Endpoint Detection and Response) — это термин, который охватывает инструменты поиска, предотвращения и обнаружения угроз и стал золотым стандартом в кибербезопасности.

В этой статье я попытаюсь ускользнуть от того, что такое Endpoint Detection and Response (EDR) и почему это стало жизненно важной частью вашего бизнеса.

Киберпреступники делают все возможное, чтобы успешно атаковать конечные точки вашей компании по разным причинам. Они могут захотеть украсть ваши данные или удержать их для выкупа, переопределить ваши машины, использовать их в бот-сети и провести DDoS-атаки и многое другое.

Что означает EDR?

Термин EDR означает «Обнаружение и реагирование на конечную точку» (или «Обнаружение и ответ на угрозы конечной точки»). Он был придуман в 2013 году Антоном Чувакиным, бывшим вице-президентом и аналитиком по безопасности Gartner, а теперь — стратегом по продуктам безопасности в Google:

«После долгого мучительного процесса, который включал в себя множество бесед с поставщиками, предприятиями и другими аналитиками, я остановился на этом общем названии инструментов, в первую очередь ориентированных на обнаружение и расследование подозрительных действий (и их следов) других проблем на хостах. / endpoints: Обнаружение угроз и реагирование на конечные точки.» Антон Чувакин, блог Gartner

По сути, системы реагирования на обнаружение конечных точек (EDR) были созданы для обнаружения сложных вредоносных программ и кибератак и активного реагирования на них. Решения EDR могут распознавать подозрительные шаблоны, которые впоследствии могут быть исследованы. Как следует из их названия, эти инструменты были разработаны специально для конечных точек (а не сетей).

Почему EDR важен?

По сравнению с традиционными решениями безопасности, EDR обеспечивает улучшенную видимость ваших конечных точек и сокращает время отклика.

Кроме того, инструменты EDR обнаруживают и защищают вашу организацию от расширенных форм вредоносных программ (таких как полиморфные вредоносные программы), APT, фишинга и т. Д. Также стоит отметить, что решения EDR основаны на алгоритмах машинного обучения, предназначенных для обнаружения еще неизвестных типов вредоносных программ, который впоследствии будет принимать решения о категоризации на основе поведения.

По сути, если определенные файлы ведут себя злонамеренно (и похожи на уже известные виды вредоносных программ), им не удастся обойти решения EDR.

EDR против антивируса — в чем разница?

В прошлом традиционного антивирусного решения могло быть достаточно для защиты ваших конечных точек. Но по мере того, как вредоносное ПО превратилось в более продвинутые и повсеместные формы, стало ясно, что антивируса уже недостаточно и что механизмы предотвращения и обнаружения необходимы для того, чтобы не отставать от постоянно развивающейся угрозы.

Решения

EDR обладают несколькими уникальными функциями и преимуществами, которых нет у обычных антивирусных программ.

По сравнению с новыми системами EDR, традиционные антивирусные решения проще по своей природе и должны рассматриваться как важный компонент EDR.

Обычно антивирусные инструменты выполняют базовые задачи, такие как сканирование, обнаружение и удаление вредоносных программ.

С другой стороны, EDR на превосходит традиционный антивирус (который использует методы обнаружения угроз на основе сигнатур). Инструменты EDR намного шире по своему охвату и должны включать несколько уровней безопасности, таких как блокировка атак, исправление, блокировка эксплойтов, брандмауэр, белый / черный список, полная блокировка на основе категорий, управление правами администратора, и антивирус нового поколения.

Поэтому решения безопасности

EDR больше подходят для современного бизнеса, поскольку традиционный антивирус превратился в устаревший инструмент безопасности с точки зрения обеспечения полной безопасности.

Heimdal Official Logo

Простой антивирусной защиты уже недостаточно.

Тор Премиум предприятие

это многоуровневый подход к обнаружению конечных точек и реагированию (EDR)
на организационную защиту.

  • Антивирус нового поколения, блокирующий известные угрозы;
  • DNS-фильтр трафика, блокирующий неизвестные угрозы;
  • Автоматические исправления для вашего программного обеспечения и приложений без перебоев;
  • Защита от утечки данных, APT, программ-вымогателей и эксплойтов;

Основные характеристики и преимущества ЭДР

Функции инструментов Endpoint Detection and Response могут отличаться от поставщика к поставщику, но мы можем отметить несколько основных характеристик, которые определяют EDR и которые считаются важными.Каждый инструмент может иметь определенную степень сложности, но ниже я хотел бы указать на пять основных характеристик EDR:

№1. Интеграция с несколькими инструментами

Решения

EDR всегда имеют несколько инструментов / уровней. Они передают друг другу информацию, чтобы успешно защитить вашу организацию с разных сторон.

№2. Оповещения, отчеты и единый обзор вашей среды

Панель мониторинга, обеспечивающая доступ к состоянию защиты ваших конечных точек, должна быть обязательной функцией любого решения EDR.В то же время вы должны иметь возможность получать своевременные предупреждения и иметь возможность выявлять и отслеживать угрозы и уязвимости конечных точек.

Кроме того, создание отчетов для соответствия требованиям является важным аспектом всех инструментов EDR.

№ 3. Расширенные возможности реагирования и автоматизация

Технология EDR должна предоставить вам специализированные инструменты для оценки и реагирования на инциденты безопасности, включая предотвращение, обнаружение, анализ угроз и криминалистику.В то же время важны возможности автоматизации.

№4. Доступность по всему миру

EDR должен позволить вам не зависеть от ограничений платформы и иметь возможность управлять своей средой, где бы вы или ваши команды ни находились, в любое время по вашему выбору.

№ 5. Профилактика

Наконец по порядку, но не по важности, эффективная технология EDR должна предлагать методы предотвращения и адаптивную защиту от вредоносных программ следующего поколения на основе поведенческого анализа входящего и исходящего трафика в вашей организации, чтобы предотвратить и смягчить атаки, которые невозможно обнаружить. реактивными решениями, такими как антивирус.

Почему технология EDR Heimdal TM лучшая на рынке? Представляем E-PDR, подход нового поколения к EDR.

Мы объединили платформу защиты конечных точек (EPP) с функцией обнаружения и реагирования конечных точек (EDR) и достигли того, что мы считаем золотым стандартом в кибербезопасности: E-PDR ( Предотвращение, обнаружение и реагирование конечных точек). ).

Ниже я расскажу о многочисленных способах получения преимуществ от нашей технологии E-PDR, превосходящей другие существующие инструменты EDR.

Прежде всего, EDR Heimdal TM обеспечивает проактивную безопасность в режиме реального времени с помощью фильтрации DNS, интеллектуального поиска угроз, упреждающего поведенческого обнаружения, автоматического управления исправлениями, антивируса нового поколения и модуля для автоматического повышения прав администратора. процедуры деэскалации. Таким образом, мы предлагаем многоуровневый подход к безопасности в рамках одного легкого агента. Наши клиенты получают доступ к конечным точкам нового поколения для предотвращения угроз и для защиты от существующих и неоткрытых угроз, а также к лучшим на рынке показателям обнаружения и соответствия требованиям — все в одном пакете.

Heimdal Official Logo

Системные администраторы тратят 30% своего времени на ручное управление правами пользователей или установками.

Тор AdminPrivilege ™

это автоматическое решение для управления привилегированным доступом (PAM)
что высвобождает огромные количества времени системного администратора.

  • Автоматизировать повышение прав администратора по запросу;
  • Утвердить или отклонить эскалацию одним щелчком мыши;
  • Обеспечивает полный контрольный журнал поведения пользователя;
  • Автоматически деэскалация при заражении;

Объединив Thor Foresight Enterprise и Thor Vigilance Enterprise, вы получите упреждающие IOC и улучшенные IOA, а также уникальную возможность EDR для защиты даже от скрытых или неизвестных вредоносных программ.

Во-вторых, наша панель управления всегда предоставляет вам уведомления и предупреждения для всех активных клиентов. Он предлагает отчеты об угрозах и состоянии в режиме реального времени, которые доставляются в выбранный вами интервал. Ваши данные будут отображены и масштабированы ежедневно, еженедельно или ежемесячно, а также могут быть интегрированы в SIEM через API. Унифицированная панель управления угрозами (UTD) Heimdal TM Security хранит всю историю на протяжении всего жизненного цикла вашего клиента и помогает выполнять аудит соответствия и оценку рисков.Помимо еженедельных отчетов, экспорта данных, предупреждений по электронной почте и встроенной детализации данных, Heimdal TM UTD предлагает мощный, но простой способ управления вашей средой.

Наша платформа также позволяет вам детально определять политики для каждого из ваших компонентов. Например, вы можете уточнить черный список веб-сайтов, файлов, процессов или исправлений для каждой активной группы каталогов вашей среды Heimdal TM . Это даст вам мощную возможность индивидуальной настройки вашей ИТ-среды и создания политик в соответствии с вашими точными потребностями в группах Active Directory в вашей организации.После настройки развертывание Heimdal TM становится простым и легким и может выполняться с помощью любого инструмента развертывания MSI.

В-третьих, поскольку мы приняли во внимание развивающиеся потребности глобального предприятия, наша технология E-PDR работает в любое время и в любой точке мира, как для локальной, так и для удаленной работы.

И последнее, но не менее важное: наш многоуровневый пакет безопасности, объединенный в нашу систему E-PDR, поставляется в виде удобного и простого в развертывании агента, который будет чрезвычайно легким в ваших системах и, безусловно, станет самой большой экономией времени для ваших системных администраторов. ,

Заключение

Независимо от того, какое решение EDR вы в конечном итоге выберете, убедитесь, что его можно масштабировать вверх и вниз, и что оно соответствует потребностям вашей организации.

Если вы хотите опробовать нашу технологию EDR, зарегистрируйтесь на веб-сайте или свяжитесь с нами по адресу [email protected].

Heimdal Official Logo Heimdal Official logo

Если вам понравился этот пост, вам понравится наш информационный бюллетень.

Получайте новые статьи прямо на почту

,

Что такое обнаружение конечной точки и ответ? | EDR Security

Новые возможности EDR улучшают анализ угроз

Новые функции и услуги расширяют возможности решений EDR по обнаружению и расследованию угроз.

Например, сторонние службы анализа угроз, такие как McAfee Global Threat Intelligence, повышают эффективность решений безопасности конечных точек. Службы анализа угроз предоставляют организации глобальный пул информации о текущих угрозах и их характеристиках.Этот коллективный разум помогает повысить способность EDR выявлять эксплойты, особенно многоуровневые атаки и атаки нулевого дня. Многие поставщики средств защиты EDR предлагают подписку на анализ угроз как часть своего решения для защиты конечных точек.

Кроме того, новые возможности расследования в некоторых решениях EDR могут использовать ИИ и машинное обучение для автоматизации этапов следственного процесса. Эти новые возможности позволяют изучать базовое поведение организации и использовать эту информацию вместе с множеством других источников информации об угрозах для интерпретации результатов.

Другой тип сбора информации об угрозах — это проект «Тактика, методы и общие знания» (ATT & CK), который реализуется некоммерческой исследовательской группой MITER, работающей с правительством США. ATT & CK — это база знаний и платформа, построенная на изучении миллионов реальных кибератак.

ATT & CK классифицирует киберугрозы по различным факторам, таким как тактика, использованная для проникновения в ИТ-систему, тип использованных уязвимостей системы, используемые вредоносные инструменты и преступные группы, связанные с атакой.Основное внимание в работе уделяется выявлению шаблонов и характеристик, которые остаются неизменными независимо от незначительных изменений эксплойта. Такие детали, как IP-адреса, ключи реестра и номера доменов, могут часто меняться. Но методы злоумышленника — или «способ действия» — обычно остаются теми же. EDR может использовать это обычное поведение для выявления угроз, которые могли быть изменены другими способами.

Поскольку профессионалы в области ИТ-безопасности сталкиваются со все более сложными киберугрозами, а также с большим разнообразием по количеству и типам конечных точек, получающих доступ к сети, им требуется дополнительная помощь со стороны автоматизированного анализа и реагирования, которые предоставляют решения для обнаружения конечных точек и реагирования.

,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *