Symantec Endpoint Detection and Response (EDR) – Обнаружить и защитить!
Немного предыстории: компания Symantec представила рынку новую версию своего эффективного решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение — новые возможности Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint). Endpoint Detection and Response является не самостоятельным решением, а сервисом, который аккумулирует информацию о работе компьютера и передаёт полученные данные в ATP для дальнейшего анализа, поиска аномалий и обнаружения целенаправленных атак. С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищённости сети. EDR собирает разнообразную информацию: о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и т.д. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты. ATP:Endpoint — это виртуальное или физическое устройство, работающее внутри периметра компании, и получающее информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. ATP:Endpoint выявляет угрозы и приоритезирует инциденты путём анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы «в один клик». ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в «песочнице». В качестве «песочницы» может быть использован облачный сервис «Cynic», который входит в ATP, или локальная «песочница» Symantec Content Analysis System с опцией Malware Analysis.
Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединён вместе c ATP:Endpoint в одном устройстве. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путём совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях.
Возможности и преимущества использование сервиса Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection
В основе алгоритмов работы Symantec Advanced Threat Protection — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:
Анализ активности
EDR передаёт в ATP данные о событиях, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создаётся база данных, по которой можно проводить расследования инцидентов. При корреляции определённых событий создаётся инцидент, причём все инциденты регистрируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.
«Песочница» Sandbox
Решение ATP использует «песочницу» (Sandbox) для анализа подозрительных приложений. Когда в ATP попадает информация о хеше файла, ATP анализирует его репутацию на основе глобальной сети Global Intelligence Network (GIN). Файл, у которого репутация отсутствует, считается подозрительным. При использовании модуля ATP:Network и ATP:Email, где имеется непосредственный доступ к контенту анализируемого файла, подозрительный файл автоматически отправляется на проверку в «песочницу». При использовании модуля ATP:Endpoint для анализа файла в песочнице необходимо дать команду на загрузку файла на конечной точке и отправку его в «песочницу». В случае «детонации» файла в «песочнице» файл может быть сразу же заблокирован на всех рабочих местах в сети.
Эффективность использование глобальной сети GIN
Решение ATP активно взаимодействует с глобальной сетью GIN и они производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec.
Схема взаимодействия и работы решения Symantec Advanced Threat Protection и сервиса Endpoint Detection and Response
Оперативное обнаружение
В случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. Используя централизованную консоль управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, а команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.
Корреляция и анализ событий между различными решениями Symantec
В контур мониторинга ATP, помимо конечных точек с EDR, входят все решения Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, а также систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.
Интеграция с другими средствами защиты
В решении Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-решениями. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с решениями Symantec.
Итоги:
Компания Symantec в очередной раз подтвердила свой статус одного из лидеров на рынке в области информационной безопасности, включая эффективную защиту конечных точек. Новая версия Symantec Endpoint Protection 14, в которой обновлена функциональность Endpoint Detection and Response, с использованием единого агента, локальными и централизованными механизмами защиты, поддержкой различных платформ и интеграций с другими средствами защиты, позволяет быстро и эффективно построить комплекс по защите конечных точек.
Назарий Кунда, технический эксперт компании Oberig IT
