Edr что это


Технология EDR, как элемент ядерной триады SOC

Для начала, напомним, что такое ядерная триада. Термин этот обозначает стратегические вооружённые силы государства, оснащенные ядерным вооружением. В триаду входят три компонента: воздушный — стратегическая авиация, сухопутный — межконтинентальные баллистические ракеты, морской — атомные подводные ракетоносцы. Уважаемый Gartner провел аналогию стратегических вооруженных сил государства с центром мониторинга и оперативного реагирования на инциденты (SOC), выделяя следующие элементы триады SOCа: Security information and event management (SIEM), Network Traffic Analysis (NTA), Endpoint Detection and Response (EDR). Смотря на эту аналогию становится очевидным, что SOC может быть максимально эффективен только в том случае, если будет оснащён всеми компонентами защиты: в «воздухе», на «земле» и в «море». К сожалению, сегодня большинство организаций используют только «стратегическую авиацию» – SIEM системы. Достаточно редко «межконтинентальные баллистические ракеты» — NTA, заменяя полноценный анализ сетевого трафика лишь сбором логов со стандартных сетевых средств защиты. И уж совсем нечасто «атомные подводные ракетоносцы» — EDR. В своей сегодняшней заметке, по заветам Gartner, я хочу осветит основные причины важности включения технологии EDR, как одного из элементов современного центра мониторинга и оперативного реагирования на инциденты. В мире информационной безопасности, технология EDR — это уже гораздо больше, чем просто передовая защита рабочих станций и серверов от сложных угроз. Из года в год рабочие места остаются ключевой целью злоумышленников и самыми распространёнными точками входа в инфраструктуру организаций, что требует должного внимания и соответствующей защиты. А телеметрия является ценной информацией, необходимой для качественного расследования инцидентов, значимость доступа к которой возрастает в еще большей степени с появлением нового протокола шифрования TLS 1.3 и его активного распространения. EDR стремительно становится движущей силой повышения уровня зрелости и эффективности современных SOC. Давайте разберемся почему?

Дополнительная видимость

В первую очередь, технология EDR способна предоставить команде SOC видимость там, где большинство организаций остаются сегодня слепы, так как в большинстве своем ориентированы на контроль активностей в сети. Такие компании, в рамках функционирования центра мониторинга и оперативного реагирования на инциденты, редко или только частично подключают конечные точки в качестве источников событий в SIEM систему. Это происходит по причине высокой стоимость сбора и обработки журналов со всех конечных точек, а также из-за генерации огромного количества событий для разбора при достаточно высоком уровне ложных срабатываний, что зачастую приводит к перегрузке специалистов и неэффективному в целом использованию дорогостоящих ресурсов.

Специальный инструмент для обнаружения сложных угроз на хостах

Сложные угрозы и целенаправленные атаки с использованием неизвестного вредоносного кода, скомпрометированных учетных записей, бесфайловых методов, легитимных приложений и действий, не несущих под собой ничего подозрительного, требуют многоуровневого подхода к обнаружению с использованием передовых технологий. В зависимости от того или иного вендора, EDR обычно может включать, различные технологии обнаружения, работающие в автоматическом, полуавтоматическом режиме, и встроенные инструменты, требующие постановки задач вручную, с привлечением высококвалифицированных кадров. Например, это может быть: антивирус, движок поведенческого анализа, песочница, поиск индикаторов компрометации (IoC), работа с индикаторами атак IoA, сопоставление с техниками MITRE ATT&CK, а также автоматическое взаимодействие с Threat Intelligence и ручные запросы в глобальную базу данных об угрозах, ретроспективный анализ, возможность проактивного поиска угроз (Threat Hunting). EDR – это дополнительный инструмент для SOC аналитика с интуитивно понятным интерфейсом для возможности охоты на угрозы в режиме реального времени, который позволяет составлять сложные запросы на поиск подозрительных активностей, вредоносных действий с учетом особенностей защищаемой инфраструктуры. Все вышеперечисленное позволяет организациям обнаруживать сложные угрозы, нацеленные на обход традиционных средств защиты на хостах, таких как обычные антивирусы, NGAV или решения класса EPP (Endpoint protection platform). Последние сегодня очень тесно взаимодействуют с EDR-решениями и большинство производителей данного класса продуктов предоставляют функциональность EPP и EDR в рамках единого агента, не перегружая машины и в то же время обеспечивая комплексный подход к защите конечных точек от сложных угроз, начиная от автоматической блокировки более простых угроз, заканчивая детектированием и реагированием на более сложные инциденты. Передовые механизмы обнаружения, используемые в EDR, позволяют командам быстро идентифицировать угрозу и оперативно реагировать, предотвращая возможный ущерб для бизнеса.

Дополнительный контекст

Данные с EDR о событиях на хостах являются значимым дополнением к информации, генерируемой другими элементами безопасности и бизнес-приложениями защищаемой инфраструктуры, которые сопоставляются SIEM системой в центре мониторинга и оперативного реагирования на инциденты. EDR обеспечивает быстрый доступ к уже обогащённым дополнительным контекстом данным c инфраструктуры конечных точек, что позволяет, с одной стороны, быстро идентифицировать ложные срабатывания, с другой, использовать эти данные, как драгоценный уже предобработанный материал при расследовании сложносоставных атак, то есть EDR предоставляет релевантные логи для корреляции с событиями от иных источников, тем самым повышает качество глобальных расследований в SOC.

Дополнительная автоматизация

Для организаций, не имеющих EDR, обнаружение сложных угроз на инфраструктуре конечных точек, куда входит: сбор, хранение и анализ данных, а также проведения различных действий на этапах расследования и реагирования на комплексные инциденты, представляется достаточно трудозатратным занятием без применения средств автоматизации. Сегодня многие аналитики тратят уйму времени на рутинные операции, которые необходимы и важны, но могут быть автоматизированы. Автоматизация этих рутинных ручных задач позволит организациям не только сэкономит дорогостоящее рабочее время аналитика, но и снизить их нагрузку и позволит им сосредоточиться на анализе и реагировании на действительно сложные инциденты. EDR обеспечивают полностью автоматизированный рабочий процесс управления инцидентами, от обнаружения угроз, до анализа и реагирования. Это позволяет SOC команде выполнять более эффективно ежедневные задачи, не тратя времени на ручную работу, тем самым снижая затраты на анализ ненужных журналов.

Быстрый доступ к данным и их наглядное представление информации

Для получения данных, необходимых для расследования, организации могут сталкиваться с некоторыми сложностями, такими как отсутствие возможности оперативного доступа к рабочим местам и серверам при распределенной инфраструктуре или невозможности получения контекстной информации с конкретных машин по причине их уничтожения или зашифровки данных злоумышленниками. Это конечно же приводит к невозможности получения необходимых данных для эффективного процесса расследования и дальнейшего реагирования на инциденты. Когда инцидент уже произошел, использование технологии EDR, включающей непрерывную и централизованную запись, позволяет исключить догадки и экономит время аналитиков. Злоумышленник зачастую уничтожает свои следы, но EDR, как уже упоминалось, записывает каждое действие атакующих. Вся цепочка событий фиксируется и надежно сохраняется для дальнейшего использования. Когда срабатывает предупреждение любого характера, EDR предоставляет удобный инструментарий, с помощью которого аналитики SOC могут быстро запрашивать информацию для проверки угроз, устранения ложных срабатываний, а также делать запросы на повторное сканирование ретроспективных данных для повышения эффективности расследования и реагирования. Все действия на хостах представляются в интерфейсе в виде дерева событий, тем самым помогая аналитикам видеть всю картину развития атаки, а также искать нужную им информацию для расследования и принятия оперативных мер по предотвращению угрозы. Централизованное хранение телеметрии, объектов и ранее сформированных вердиктов позволяет аналитикам работать с ретроспективными данными в рамках расследования угроз, в том числе и растянутых во времени атак. EDR сегодня – это источник ценных данные для современного SOC.

Централизованное реагирование

Когда инцидент обнаружен, EDR предоставляет расширенные возможности для принятия мер на разных этапах его расследования: например, карантин файла, выполнение произвольных команд на хосте удаление объекта, сетевая изоляция хостов и другие действия. EDR позволяет незамедлительно реагировать на инциденты за счет наглядного представления информации и централизованной постановки задач, что не требует выездов на место преступления для поиска улик и принятия мер по реагированию. EDR — это инструмент оптимизации трудозатрат SOC специалистов. Организации значительно уменьшают количество рутинных ручных операций, экономят время SOC аналитиков и сокращают время реагирования с часов до минут.

Вывод

EDR служат бесценным источником данных для SOC, обеспечивая мощные возможности поиска угроз и централизованного реагирования на инциденты, максимально при этом автоматизируя процессы по сбору, анализу и принятию ответных мер на обнаруженные угрозы. Использование EDR в рамках SOC позволит организациям:
  • повысить эффективность процесса обработки сложных инцидентов за счет дополнительной видимости уровня конечных точек, возможности проактивного поиска угроз и наглядного предоставления информации об обнаруженных событиях на хостах;
  • обогатить SOC предобработанными релевантными данными с рабочих мест и серверов, для сопоставления с логами, предоставляемыми другими источниками для эффективного расследования;
  • значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные со анализом данных с рабочих мест и серверов, а также реагированию на инциденты.
Теги:

habr.com

Bluetooth - это... Что такое Bluetooth?

Bluetooth или блютус (/bluːtuːθ/, переводится как синий зуб, назван в честь Харальда I Синезубого[2][3]) — производственная спецификация беспроводных персональных сетей (англ. Wireless personal area network, WPAN). Bluetooth обеспечивает обмен информацией между такими устройствами как персональные компьютеры (настольные, карманные, ноутбуки), мобильные телефоны, принтеры, цифровые фотоаппараты, мышки, клавиатуры, джойстики, наушники, гарнитуры на надёжной, бесплатной, повсеместно доступной радиочастоте для ближней связи.

Bluetooth позволяет этим устройствам сообщаться, когда они находятся в радиусе до 100 метров друг от друга (дальность сильно зависит от преград и помех), даже в разных помещениях.

Гарнитура для мобильного телефона, использующая для передачи голоса Bluetooth

Название и логотип

Слово Bluetooth — перевод на английский язык датского слова «Blåtand» («Синезубый»). Это прозвище носил король Харальд I, правивший в X веке Данией и частью Норвегии и объединивший враждовавшие датские племена в единое королевство. Подразумевается, что Bluetooth делает то же самое с протоколами связи, объединяя их в один универсальный стандарт[4][5][6]. Хотя «blå» в современных скандинавских языках означает «синий», во времена викингов оно также могло означать «чёрного цвета». Таким образом, исторически правильно было бы перевести датское Harald Blåtand скорее как Harald Blacktooth, чем как Harald Bluetooth.

Логотип Bluetooth является сочетанием двух нордических («скандинавских») рун: «хаглаз»  _() —_analog_latinskoi_H_i_«berkana»_  (Hagall) — аналог латинской H и «беркана»   (Berkanan) — латинская B. Логотип похож на более старый логотип для Beauknit Textiles, подразделения корпорации Beauknit. В нём используется слияние отраженной K и В для «Beauknit», он шире и имеет скругленные углы, но в общем он такой же.

История создания и развития

Спецификация Bluetooth была разработана группой Bluetooth Special Interest Group (Bluetooth SIG)[2][7], которая была основана в 1998 году. В неё вошли компании Ericsson, IBM, Intel, Toshiba и Nokia. Впоследствии Bluetooth SIG и IEEE достигли соглашения, на основе которого спецификация Bluetooth стала частью стандарта IEEE 802.15.1 (дата опубликования — 14 июня 2002 года). Работы по созданию Bluetooth компания Ericsson Mobile Communication начала в 1994 году. Первоначально эта технология была приспособлена под потребности системы FLYWAY в функциональном интерфейсе между путешественниками и системой.

Класс Максимальная мощность, мВт Максимальная мощность, дБм Радиус действия, м 1 2 3
100 20 100
2,5 4 10
1 0 1

Компания AIRcable выпустила Bluetooth-адаптер Host XR с радиусом действия около 30 км.

Принцип действия Bluetooth

Принцип действия основан на использовании радиоволн. Радиосвязь Bluetooth осуществляется в ISM-диапазоне (англ. Industry, Science and Medicine), который используется в различных бытовых приборах и беспроводных сетях (свободный от лицензирования диапазон 2,4-2,4835 ГГц)[8][9]. В Bluetooth применяется метод расширения спектра со скачкообразной перестройкой частоты[10] (англ. Frequency Hopping Spread Spectrum, FHSS). Метод FHSS прост в реализации, обеспечивает устойчивость к широкополосным помехам, а оборудование недорого.

Согласно алгоритму FHSS, в Bluetooth несущая частота сигнала скачкообразно меняется 1600 раз в секунду[7] (всего выделяется 79 рабочих частот шириной в 1 МГц, а в Японии, Франции и Испании полоса у́же — 23 частотных канала). Последовательность переключения между частотами для каждого соединения является псевдослучайной и известна только передатчику и приёмнику, которые каждые 625 мкс (один временной слот) синхронно перестраиваются с одной несущей частоты на другую. Таким образом, если рядом работают несколько пар приёмник-передатчик, то они не мешают друг другу. Этот алгоритм является также составной частью системы защиты конфиденциальности передаваемой информации: переход происходит по псевдослучайному алгоритму и определяется отдельно для каждого соединения. При передаче цифровых данных и аудиосигнала (64 кбит/с в обоих направлениях) используются различные схемы кодирования: аудиосигнал не повторяется (как правило), а цифровые данные в случае утери пакета информации будут переданы повторно.

Протокол Bluetooth поддерживает не только соединение «point-to-point», но и соединение «point-to-multipoint»[7].

Спецификации

Bluetooth 1.0

Устройства версий 1.0 (1998) и 1.0B имели плохую совместимость между продуктами различных производителей. В 1.0 и 1.0B была обязательной передача адреса устройства (BD_ADDR) на этапе установления связи, что делало невозможной реализацию анонимности соединения на протокольном уровне и было основным недостатком данной спецификации.

Bluetooth 1.1

В Bluetooth 1.1 было исправлено множество ошибок, найденных в 1.0B, добавлена поддержка для нешифрованных каналов, индикация уровня мощности принимаемого сигнала (RSSI).

Bluetooth 1.2

В версии 1.2 была добавлена технология адаптивной перестройки рабочей частоты (AFH), что улучшило сопротивляемость к электромагнитной интерференции (помехам) путём использования разнесённых частот в последовательности перестройки. Также увеличилась скорость передачи и добавилась технология eSCO, которая улучшала качество передачи голоса путём повторения повреждённых пакетов. В HCI добавилась поддержка трёх-проводного интерфейса UART.

Главные улучшения включают следующее:

  • Быстрое подключение и обнаружение.
  • Адаптивная перестройка частоты с расширенным спектром (AFH), которая повышает стойкость к радиопомехам.
  • Более высокие, чем в 1.1, скорости передачи данных, практически до 721 кбит/с.
  • Расширенные Синхронные Подключения (eSCO), которые улучшают качество передачи голоса в аудиопотоке, позволяя повторную передачу повреждённых пакетов, и при необходимости могут увеличить задержку аудио, чтобы оказать лучшую поддержку для параллельной передачи данных.
  • В Host Controller Interface (HCI) добавлена поддержка трёхпроводного интерфейса UART.
  • Утверждён как стандарт IEEE Standard 802.15.1-2005[11].
  • Введены режимы управления потоком данных (Flow Control) и повторной передачи (Retransmission Modes) для L2CAP.

Bluetooth 2.0 + EDR

Bluetooth версии 2.0 был выпущен 10 ноября 2004 г. Имеет обратную совместимость с предыдущими версиями 1.x. Основным нововведением стала поддержка Enhanced Data Rate (EDR) для ускорения передачи данных. Номинальная скорость EDR около 3 Мбит/с, однако на практике это позволило повысить скорость передачи данных только до 2,1 Мбит/с. Дополнительная производительность достигается с помощью различных радио технологий для передачи данных[12].

Стандартная (базовая) скорость передачи данных использует GFSK-модуляцию радиосигнала при скорости передачи в 1 Мбит/с. EDR использует сочетание модуляций GFSK и PSK с двумя вариантами, π/4-DQPSK и 8DPSK. Они имеют большие скорости передачи данных по воздуху — 2 и 3 Mбит/с соответственно[13].

Bluetooth SIG издала спецификацию как «Технология Bluetooth 2.0 + EDR», которая подразумевает, что EDR является дополнительной функцией. Кроме EDR есть и другие незначительные усовершенствования к 2.0 спецификации, и продукты могут соответствовать «Технологии Bluetooth 2.0», не поддерживая более высокую скорость передачи данных. По крайней мере одно коммерческое устройство, HTC TyTN Pocket PC, использует «Bluetooth 2.0 без EDR» в своих технических спецификациях[14].

Согласно 2.0 + EDR спецификации, EDR обеспечивает следующие преимущества:

  • Увеличение скорости передачи в 3 раза (2,1 Мбит/с) в некоторых случаях.
  • Уменьшение сложности нескольких одновременных подключений из-за дополнительной полосы пропускания.
  • Более низкое потребление энергии благодаря уменьшению нагрузки.
Bluetooth 2.1

2007 год. Добавлена технология расширенного запроса характеристик устройства (для дополнительной фильтрации списка при сопряжении), энергосберегающая технология Sniff Subrating, которая позволяет увеличить продолжительность работы устройства от одного заряда аккумулятора в 3—10 раз. Кроме того обновлённая спецификация существенно упрощает и ускоряет установление связи между двумя устройствами, позволяет производить обновление ключа шифрования без разрыва соединения, а также делает указанные соединения более защищёнными, благодаря использованию технологии Near Field Communication.

Bluetooth 2.1 + EDR

В августе 2008 года Bluetooth SIG представил версию 2.1+EDR. Новая редакция Bluetooth снижает потребление энергии в 5 раз, повышает уровень защиты данных и облегчает распознавание и соединение Bluetooth-устройств благодаря уменьшению количества шагов за которые оно выполняется.

Bluetooth 3.0 + HS

3.0+HS[13] была принята Bluetooth SIG 21 апреля 2009 года. Она поддерживает теоретическую скорость передачи данных до 24 Мбит/с. Её основной особенностью является добавление AMP (асимметричная мультипроцессорная обработка) (альтернативно MAC/PHY), дополнение к 802.11 как высокоскоростное сообщение. Две технологии были предусмотрены для AMP: 802.11 и UWB, но UWB отсутствует в спецификации[15].

Модули с поддержкой новой спецификации соединяют в себе две радиосистемы: первая обеспечивает передачу данных в 3 Мбит/с (стандартная для Bluetooth 2.0) и имеет низкое энергопотребление; вторая совместима со стандартом 802.11 и обеспечивает возможность передачи данных со скоростью до 24 Мбит/с (сравнима со скоростью сетей Wi-Fi). Выбор радиосистемы для передачи данных зависит от размера передаваемого файла. Небольшие файлы передаются по медленному каналу, а большие — по высокоскоростному. Bluetooth 3.0 использует более общий стандарт 802.11 (без суффикса), то есть не совместим с такими спецификациями Wi-Fi, как 802.11b/g или 802.11n.

Bluetooth 4.0

Bluetooth SIG утвердил спецификацию Bluetooth 4.0 30 июня 2010г. Bluetooth 4.0 включает в себя протоколы Классический Bluetooth, Высокоскоростной Bluetooth и Bluetooth с низким энергопотреблением. Высокоскоростной Bluetooth основан на Wi-Fi, а Классический Bluetooth состоит из протоколов предыдущих спецификаций Bluetooth.

Протокол Bluetooth с низким энергопотреблением предназначен, прежде всего, для миниатюрных электронных датчиков (использующихся в спортивной обуви, тренажёрах, миниатюрных сенсорах, размещаемых на теле пациентов и т. д.). Низкое энергопотребление достигается за счёт использования специального алгоритма работы. Передатчик включается только на время отправки данных, что обеспечивает возможность работы от одной батарейки типа CR2032 в течение нескольких лет[9]. Стандарт предоставляет скорость передачи данных в 1 Мбит/с при размере пакета данных 8—27 байт. В новой версии два Bluetooth-устройства смогут устанавливать соединение менее чем за 5 миллисекунд и поддерживать его на расстоянии до 100 м. Для этого используется усовершенствованная коррекция ошибок, а необходимый уровень безопасности обеспечивает 128-битное AES-шифрование.

Сенсоры температуры, давления, влажности, скорости передвижения и т. д. на базе этого стандарта могут передавать информацию на различные устройства контроля: мобильные телефоны, КПК, ПК и т. п.

Первый чип с поддержкой Bluetooth 3.0 и Bluetooth 4.0 был выпущен компанией ST-Ericsson в конце 2009 года.

Bluetooth 4.0 поддерживается в MacBook Air и Mac mini (с июля 2011 года), iMac (ноябрь 2012 года), iPhone 4S (октябрь 2011 года) и iPhone 5 (сентябрь 2012 года), iPad 3 (март 2012 года)[16][17], смартфонах LG Optimus 4X HD (февраль 2012 года), HTC One X, S, V и Samsung Galaxy S III (май 2012 года), Explay Infinity (август 2012 года), HTC One X+ (2012), HTC Desire C, Google Nexus 7 (2012), Sony VAIO SVE1511N1RSI.

Стек протоколов Bluetooth

Bluetooth имеет многоуровневую архитектуру, состоящую из основного протокола, протоколов замены кабеля, протоколов управления телефонией и заимствованных протоколов. Обязательными протоколами для всех стеков Bluetooth являются: LMP, L2CAP и SDP. Кроме того, устройства, связывающиеся с Bluetooth обычно используют протоколы HCI и RFCOMM.

LMP Link Management Protocol — используется для установления и управления радио-соединением между двумя устройствами. Реализуется контроллером Bluetooth. HCI Host/controller interface — определяет связь между стеком хоста (т.е. компьютера или мобильного устройства) с контроллером Bluetooth. AVRCP A/V Remote Control Profile — обычно используется в автомобильных навигационных системах для управления звуковым потоком через Bluetooth. L2CAP Logical Link Control and Adaptation Protocol — используется для мультиплексирования локальных соединений между двумя устройствами, использующими различные протоколы более высокого уровня. Позволяет фрагментировать и пересобирать пакеты. SDP Service Discovery Protocol — позволяет обнаруживать услуги, предоставляемые другими устройствами и определять их параметры. RFCOMM Radio Frequency Communications — протокол замены кабеля, создаёт виртуальный последовательный поток данных и эмулирует управляющие сигналы RS-232. BNEP Bluetooth Network Encapsulation Protocol — используется для передачи данных из других стеков протоколов через канал L2CAP. Применяется для передачи IP-пакетов в профиле Personal Area Networking. AVCTP Audio/Video Control Transport Protocol — используется в профиле Audio / Video Remote Control для передачи команд по каналу L2CAP. AVDTP Audio/Video Distribution Transport Protocol — используется в профиле Advanced Audio Distribution для передачи стереозвука по каналу L2CAP. TCS Telephony Control Protocol – Binary — протокол, определяющий сигналы управления вызовом для установления голосовых соединений и соединений для передачи данных между устройствами Bluetooth. Используется только в профиле Cordless Telephony.

Заимствованные протоколы включают в себя: Point-to-Point Protocol (PPP), TCP/IP, UDP, Object Exchange Protocol (OBEX), Wireless Application Environment (WAE), Wireless Application Protocol (WAP).

Профили Bluetooth

Профиль — набор функций или возможностей, доступных для определённого устройства Bluetooth. Для совместной работы Bluetooth-устройств необходимо, чтобы все они поддерживали общий профиль.

Нижеуказанные профили определены и одобрены группой разработки Bluetooth SIG:

  • Advanced Audio Distribution Profile (A2DP) — разработан для передачи двухканального стерео аудиопотока, например, музыки, к беспроводной гарнитуре или любому другому устройству. Профиль полностью поддерживает низкокомпрессированный кодек Sub_Band_Codec (SBC) и опционально поддерживает MPEG-1,2 аудио, MPEG-2,4 AAC и ATRAC, способен поддерживать кодеки, определённые производителем.[18]
  • Audio / Video Remote Control Profile (AVRCP) — разработан для управления стандартными функциями телевизоров, Hi-Fi оборудования и прочее. То есть позволяет создавать устройства с функциями дистанционного управления. Может использоваться в связке с профилями A2DP или VDPT.
  • Basic Imaging Profile (BIP) — разработан для пересылки изображений между устройствами и включает возможность изменения размера изображения и конвертирование в поддерживаемый формат принимающего устройства.
  • Basic Printing Profile (BPP) — позволяет пересылать текст, e-mails, vCard и другие элементы на принтер. Профиль не требует от принтера специфических драйверов, что выгодно отличает его от HCRP.
  • Common ISDN Access Profile (CIP) — для доступа устройств к ISDN.
  • Cordless Telephony Profile (CTP) — профиль беспроводной телефонии.
  • Device ID Profile (DIP) — позволяет идентифицировать класс устройства, производителя, версию продукта.
  • Dial-up Networking Profile (DUN) — протокол предоставляет стандартный доступ к Интернету или другому телефонному сервису через Bluetooth. Базируется на SPP, включает в себя команды PPP и AT, определённые в спецификации ETSI 07.07.
  • Fax Profile (FAX) — предоставляет интерфейс между мобильным или стационарным телефоном и ПК на котором установлено программное обеспечение для факсов. Поддерживает набор AT-команд в стиле ITU T.31 и/или ITU T.32. Голосовой звонок или передача данных профилем не поддерживается.
  • File Transfer Profile (FTP_profile) — обеспечивает доступ к файловой системе устройства. Включает стандартный набор команд FTP, позволяющий получать список директорий, изменения директорий, получать, передавать и удалять файлы. В качестве транспорта используется OBEX, базируется на GOEP.
  • General Audio / Video Distribution Profile (GAVDP) — база для A2DP и VDP.
  • Generic Access Profile (GAP) — база для всех остальных профилей.
  • Generic Object Exchange Profile (GOEP) — база для других профилей передачи данных, базируется на OBEX.
  • Hard Copy Cable Replacement Profile (HCRP) — предоставляет простую альтернативу кабельного соединения между устройством и принтером. Минус профиля в том, что для принтера необходимы специфичные драйвера, что делает профиль неуниверсальным.
  • Hands-Free Profile (HFP) — используется для соединения беспроводной гарнитуры и телефона, передаёт монозвук в одном канале.
  • Human Interface Device Profile (HID) — обеспечивает поддержку устройств с HID (Human Interface Device), таких как мышки, джойстики, клавиатуры и проч. Использует медленный канал, работает на пониженной мощности.
  • Headset Profile (HSP) — используется для соединения беспроводной гарнитуры (Headset) и телефона. Поддерживает минимальный набор AT-команд спецификации GSM 07.07 для обеспечения возможности совершать звонки, отвечать на звонки, завершать звонок, настраивать громкость. Через профиль Headset, при наличии Bluetooth 1.2 и выше, можно выводить на гарнитуру всё звуковое сопровождение работы телефона. Например, прослушивать на гарнитуре все сигналы подтверждения операций, mp3-музыку из плеера, мелодии звонка, звуковой ряд видеороликов. Гарнитуры, поддерживающие такой профиль имеют возможность передачи стереозвука, в отличие от моделей, которые поддерживают только профиль Hands-Free.
  • Intercom Profile (ICP) — обеспечивает голосовые звонки между Bluetooth-совместимыми устройствами.
  • LAN Access Profile (LAP) — обеспечивает доступ Bluetooth-устройствам к вычислительным сетям LAN, WAN или Интернет посредством другого Bluetooth-устройства, которое имеет физическое подключение к этим сетям. Bluetooth-устройство использует PPP поверх RFCOMM для установки соединения. LAP также допускает создание ad-hoc Bluetooth-сетей.
  • Object Push Profile (OPP) — базовый профиль для пересылки «объектов», таких как изображения, виртуальные визитные карточки и др. Передачу данных инициирует отправляющее устройство (клиент), а не приёмное (сервер).
  • Personal Area Networking Profile (PAN) — позволяет использовать протокол Bluetooth Network Encapsulation в качестве транспорта через Bluetooth-соединение.
  • Phone Book Access Profile (PBAP) — позволяет обмениваться записями телефонных книг между устройствами.
  • Serial Port Profile (SPP) — базируется на спецификации ETSI TS07.10 и использует протокол RFCOMM. Профиль эмулирует последовательный порт, предоставляя возможность замены стандартного RS-232 беспроводным соединением. Является базовым для профилей DUN, FAX, HSP и AVRCP.
  • Service Discovery Application Profile (SDAP) — используется для предоставления информации о профилях, которые использует устройство-сервер.
  • SIM Access Profile (SAP, SIM) — позволяет получить доступ к SIM-карте телефона, что позволяет использовать одну SIM-карту для нескольких устройств.
  • Synchronisation Profile (SYNCH) — позволяет синхронизировать персональные данные (PIM). Профиль заимствован из спецификации инфракрасной связи и адаптирован группой Bluetooth SIG.
  • Video Distribution Profile (VDP) — позволяет передавать потоковое видео. Поддерживает H.263, стандарты MPEG-4 Visual Simple Profile, H.263 profiles 3, profile 8 поддерживаются опционально и не содержатся в спецификации.
  • Wireless Application Protocol Bearer (WAPB) — протокол для организации P-to-P (Point-to-Point) соединения через Bluetooth.

Безопасность

В июне 2006 года Авишай Вул[19] и Янив Шакед опубликовали статью[20], содержащую подробное описание атаки на bluetooth-устройства. Материал содержал описание как активной, так и пассивной атаки, позволяющей заполучить PIN код устройства и в дальнейшем осуществить соединение с данным устройством. Пассивная атака позволяет соответствующе экипированному злоумышленнику «подслушать» (sniffing) процесс инициализации соединения и в дальнейшем использовать полученные в результате прослушки и анализа данные для установления соединения (spoofing). Естественно, для проведения данной атаки злоумышленнику нужно находиться в непосредственной близости и непосредственно в момент установления связи. Это не всегда возможно. Поэтому родилась идея активной атаки. Была обнаружена возможность отправки особого сообщения в определённый момент, позволяющего начать процесс инициализации с устройством злоумышленника. Обе процедуры взлома достаточно сложны и включают несколько этапов, основной из которых — сбор пакетов данных и их анализ. Сами атаки основаны на уязвимостях в механизме аутентификации и создания ключа-шифра между двумя устройствами. И поэтому перед изложением механизма атак рассмотрим механизм инициализации bluetooth-соединения.

Инициализация bluetooth-соединения

Инициализацией, касательно bluetooth, принято называть процесс установки связи. Её можно разделить на три этапа:

  • Генерация ключа Kinit
  • Генерация ключа связи (он носит название link key и обозначается, как Kab)
  • Аутентификация

Первые два пункта входят в так называемую процедуру паринга.

Паринг (PAIRING), или сопряжение — процесс связи двух (или более) устройств с целью создания единой секретной величины Kinit, которую они будут в дальнейшем использовать при общении. В некоторых переводах официальных документов по bluetooth можно также встретить термин «подгонка пары».

Перед началом процедуры сопряжения на обеих сторонах необходимо ввести PIN-код. Обычная ситуация: два человека хотят связать свои телефоны и заранее договариваются о PIN-коде.

Для простоты будем рассматривать ситуацию с двумя устройствами. Принципиально это не повлияет на механизмы установления связи и последующие атаки. Далее соединяющиеся устройства будут обозначаться A и B, более того, одно из устройств при сопряжении становится главным (Master), а второе — ведомым (Slave). Будем считать устройство A главным, а B — ведомым. Создание ключа Kinit начинается сразу после того, как были введены PIN-коды.

Kinit формируется по алгоритму E22, который оперирует следующими величинами:

  • BD_ADDR — уникальный MAC-адрес BT-устройства. Длина 48 бит (аналог MAC-адреса, устанавливается производителем и уникален для каждого сетевого устройства)
  • PIN-код и его длина
  • IN_RAND. Случайная 128-битная величина

На выходе E22 алгоритма получаем 128-битное слово, именуемое Kinit. Число IN_RAND отсылается устройством A в чистом виде. В случае, если PIN неизменяем для этого устройства, то при формировании Kinit используется BD_ADDR, полученное от другого устройства. В случае если у обоих устройств изменяемые PIN-коды, будет использован BD_ADDR(B) — адрес slave-устройства. Первый шаг сопряжения пройден. За ним следует создание Kab. После его формирования Kinit исключается из использования.

Для создания ключа связи Kab устройства обмениваются 128-битными словами LK_RAND(A) и LK_RAND(B), генерируемыми случайным образом. Далее следует побитовый XOR с ключом инициализации Kinit. И снова обмен полученным значением. Затем следует вычисление ключа по алгоритму E21.

Для этого необходимы величины:

  • BD_ADDR
  • 128-битный LK_RAND (каждое устройство хранит своё и полученное от другого устройства значения)

На данном этапе pairing заканчивается и начинается последний этап инициализации bluetooth — Mutual authentication или взаимная аутентификация. Основана она на схеме «запрос-ответ». Одно из устройств становится верификатором, генерирует случайную величину AU_RAND(A) и засылает его соседнему устройству (в plain text), называемому предъявителем (claimant — в оригинальной документации). Как только предъявитель получает это «слово», начинается вычисление величины SRES по алгоритму E1, и она отправляется верификатору. Соседнее устройство производит аналогичные вычисления и проверяет ответ предъявителя. Если SRES совпали, то, значит, всё хорошо, и теперь устройства меняются ролями, таким образом процесс повторяется заново.

E1-алгоритм оперирует такими величинами:

  • Случайно созданное AU_RAND
  • link key Kab
  • Свой собственный BD_ADDR

Уязвимости и атаки

Базовая pairing атака (атака на сопряжение)

Проанализируем данные, обмен которыми идёт на протяжении процесса сопряжения:

№ От К Данные Длина (бит) Прочая информация
1 A B IN_RAND 128 plaintext
2 A B LK_RAND(A) 128 XORed with Kinit
3 B A LK_RAND(B) 128 XORed with Kinit
4 A B AU_RAND(A) 128 plaintext
5 B A SRES 32 plaintext
6 B A AU_RAND(B) 128 plaintext
7 A B SRES 32 plaintext

Представим ситуацию: злоумышленнику удалось прослушать эфир и во время процедуры сопряжения, он перехватил и сохранил все сообщения. Далее найти PIN можно, используя перебор.

Прежде всего необходимо составить сам алгоритм перебора. Мы располагаем перехваченными величинами IN_RAND (он нешифрованный) и BD_ADDR (напомним, что адреса устройств видны в эфире) и запускаем алгоритм E22. Ему передаем вышеперечисленные данные и наш предполагаемый PIN. В результате мы получим предполагаемое значение Kinit. Выглядит оно примерно так:

Kinit = E22[IN_RAND, BD_ADDR(B), PIN'] где PIN' — предполагаемый нами PIN-код

Далее, сообщения 2 и 3 подвергаются XOR с только что полученным Kinit. Следовательно, следующим шагом мы получим LK_RAND(A) и LK_RAND(B) в чистом виде. Теперь мы можем высчитать предполагаемое значение Kab, для чего проделываем следующую операцию:

LK_K(A) = E21[BD_ADDR(A), LK_RAND(A)] где LK_K(A|B) — это промежуточные величины

LK_K(B) = E21[BD_ADDR(B), LK_RAND(B)]

Kab = LK_K(A) XOR LK_K(B)

Проверим PIN. Возьмем полученный Kab и перехваченный AU_RAND(A) и вычислим SRES(A).

После сравниваем полученный результат с SRES(A)', хранящийся в сообщении номер 5:

SRES(A) = E1[AU_RAND(A), Kab, BD_ADDR(B)]

Если SRES(A) == SRES(A)' — PIN успешно угадан. В противном случае повторяем последовательность действий заново с новой величиной PIN'.

Первым, кто заметил эту уязвимость, был англичанин Олли Вайтхауз (Ollie Whitehouse) в апреле 2004 года. Он первым предложил перехватить сообщения во время сопряжения и попытаться вычислить PIN методом перебора, используя полученную информацию. Тем не менее, метод имеет один существенный недостаток: атаку возможно провести только в случае, если удалось подслушать все аутентификационные данные. Другими словами, если злоумышленник находился вне эфира во время начала сопряжения или же упустил какую-то величину, то он не имеет возможности продолжить атаку.

Re-pairing атака (атака на пересопряжение)

Вулу и Шакеду удалось найти решение трудностей, связанных с атакой Вайтхауза. Был разработан второй тип атаки. Если процесс сопряжения уже начат и данные упущены, мы не сможем закончить атаку. Но был найден выход. Нужно заставить устройства заново инициировать процесс сопряжения (отсюда и название). Данная атака позволяет в любой момент начать вышеописанную pairing атаку.

Рассмотрим следующую ситуацию. Допустим, что устройства уже успели связаться, сохранили ключ Kab и приступили к Mutual authentication. От нас требуется заставить устройства заново начать pairing. Всего было предложено три метода атаки на пересопряжение, причём все из них зависимы от качества реализации bluetooth-ядра конкретного устройства. Ниже приведены методы в порядке убывания эффективности:

  • За pairing следует фаза аутентификации. Master-устройство отсылает AU_RAND и ждёт в ответ SRES. В стандарте декларирована возможность потери ключа связи. В таком случае slave посылает «LMP_not_accepted», сообщая master об утере ключа. Поэтому основная цель злоумышленника — отследить момент отправки AU_RAND master-устройством и в ответ внедрить пакет содержащий LMP_not_accepted. Реакцией master будет реинициализация процесса pairing. Причём это приведёт к аннулированию ключа связи на обоих устройствах.
  • Если успеть отправить IN_RAND slave-устройству непосредственно перед отправкой master-устройством величины AU_RAND, то slave будет уверен, что на стороне master утерян ключ связи. Это опять же приведёт к процессу реинициализации сопряжения, но уже инициатором будет slave.
  • Злоумышленник ожидает отправки master-устройством AU_RAND и отправляет в ответ случайно сгенерированный SRES. Попытка аутентификации провалена. Далее следует череда повторных попыток аутентификации(количество зависит от особенностей реализации устройств). При условии, что злоумышленник продолжает вводить master-устройство в заблуждение, вскоре (по счётчику неудачных попыток) устройствами будет принято решение о реинициализации сопряжения.[21]

Использовав любой из этих методов, злоумышленник может приступить к базовой атаке на сопряжение. Таким образом, имея в арсенале эти две атаки, злоумышленник может беспрепятственно похитить PIN-код. Далее имея PIN-код он сможет установить соединение с любым из этих устройств. И стоит учесть, что в большинстве устройств безопасность на уровне служб, доступных через bluetooth, не обеспечивается на должном уровне. Большинство разработчиков делает ставку именно на безопасность установления сопряжения. Поэтому последствия действий злоумышленника могут быть различными: от кражи записной книжки телефона до установления исходящего вызова с телефона жертвы и использования его как прослушивающего устройства.

Эти методы описывают, как принудить устройства «забыть» link key, что само по себе ведёт к повторному pairing’у, а значит, злоумышленник может подслушать весь процесс с самого начала, перехватить все важные сообщения и подобрать PIN.

Оценка времени подбора PIN-кода

В протоколе Bluetooth активно используются алгоритмы E22, E21, E1, основанные на шифре SAFER+. Брюс Шнайер подтвердил, что уязвимость относится к критическим. Подбор PIN на практике прекрасно работает. Ниже приведены результаты полученные на Pentium IV HT на 3 ГГц:

Длина (знаков) Время (сек)
4 0,063
5 0,75
6 7,609

Конкретные реализации вышеописанных атак могут работать с различной скоростью. Способов оптимизации множество: особые настройки компилятора, различные реализации циклов, условий и арифметических операций. Авишай Вул и Янив Шакед нашли способ сократить время перебора PIN-кода в разы.

Увеличение длины PIN-кода не является панацеей. Только сопряжение устройств в безопасном месте может частично защитить от описанных атак. Пример — bluetooth-гарнитура или автомобильный handsfree. Инициализация связи (при включении) с данными устройствами может происходить многократно в течение дня, и не всегда у пользователя есть возможность находиться при этом в защищённом месте.

Применение

Радиус работы устройств BT2 не превышает 15 метров, для BT1 до 100 м (класс А). Эти числа декларируются стандартом для прямой видимости, в реальности не стоит ожидать работу на расстоянии более 10—20 м. Такого дальнодействия недостаточно для эффективного применения атак на практике. Поэтому, ещё до детальной проработки алгоритмов атаки, на Defcon-2004 публике была представлена антенна-винтовка BlueSniper, разработанная Джонном Херингтоном (John Herington). Устройство подключается к портативному устройству — ноутбуку/КПК и имеет достаточную направленность и мощность (эффективная работа до 1,5 км).

См. также

  • IEEE 802.15.4
  • Стек Bluetooth
  • Блюджекинг
  • UWB
  • Blueman

Примечания

  1. ↑ Bluetooth traveler. www.hoovers.com. Проверено 2010-06-04/lang=en.
  2. ↑ 1 2 About the Bluetooth SIG  (англ.). Bluetooth SIG.(недоступная ссылка — история) Проверено 20 марта 2008. (недоступная ссылка — история)
  3. ↑ Jim Kardach. How Bluetooth got its name  (англ.). United Business Media (3 мая 2008). Архивировано из первоисточника 24 августа 2011. Проверено 20 марта 2008.
  4. ↑ Monson, Heidi Bluetooth Technology and Implications. SysOpt.com (14 декабря 1999). Архивировано из первоисточника 24 августа 2011. Проверено 17 февраля 2009.
  5. ↑ About the Bluetooth SIG. Bluetooth SIG.(недоступная ссылка — история) Проверено 1 февраля 2008.(недоступная ссылка — история)
  6. ↑ Kardach, Jim How Bluetooth got its name (3 мая 2008). Архивировано из первоисточника 24 августа 2011. Проверено 24 февраля 2009.
  7. ↑ 1 2 3 Вишневский и др. Широкополосные беспроводные сети передачи данных. — М.: Техносфера, 2005. — 592 с. — ISBN 5-94836-049-0
  8. ↑ Soltanian A., Van Dyck R.E. Performance of the Bluetooth system in fading dispersive channelsand interference // IEEE Global Telecommunications Conference, 2001 (GLOBECOM '01). — С. 3499—3503.
  9. ↑ 1 2 BLUETOOTH SIG Introduces BLUETOOTH Low Energy Wireless Technology, the Next Generation BLUETOOTH Wireless Technology  (англ.). Официальный сайт.(недоступная ссылка — история) Проверено 16 января 2010.(недоступная ссылка — история)
  10. ↑ Бителева А. Технологии мультимедийного доступа. Журнал «Теле-Спутник» 8(82) (август 2002). Архивировано из первоисточника 24 августа 2011. Проверено 15 января 2010.
  11. ↑ IEEE Std 802.15.1-2005 — IEEE Standard for Information technology — Telecommunications and information exchange between systems — Local and metropolitan area networks — Specific requirements Part 15.1: Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications for Wireless Personal Area Networks (WPANs)
  12. ↑ Guy Kewney High speed Bluetooth comes a step closer: enhanced data rate approved. Newswireless.net (16 ноября 2004). Архивировано из первоисточника 24 августа 2011. Проверено 4 февраля 2008.
  13. ↑ 1 2 Specification Documents. Bluetooth SIG.(недоступная ссылка — история) Проверено 4 февраля 2008. (недоступная ссылка — история)
  14. ↑ HTC TyTN Specification (PDF). HTC. Проверено 4 февраля 2008.
  15. ↑ David Meyer. Bluetooth 3.0 released without ultrawideband. zdnet.co.uk (22 апреля 2009). Архивировано из первоисточника 24 августа 2011. Проверено 22 апреля 2009.
  16. ↑ Технические характеристики iPad третьего поколения. Apple. Архивировано из первоисточника 23 июня 2012. Проверено ???.
  17. ↑ Наконец-то: по-настоящему волшебный iPad.  ??? (???). Архивировано из первоисточника 23 июня 2012. Проверено ???.
  18. ↑ http://www.bluetooth.com/SiteCollectionDocuments/A2DP_SPEC_V12.pdf
  19. ↑ Prof. Avishai Wool
  20. ↑ Yaniv Shaked, Avishai Wool (2005-05-02). «Cracking the Bluetooth PIN» (School of Electrical Engineering Systems, Tel Aviv University). Проверено 2010-06-04.
  21. ↑ Все эти атаки требуют отправки нужных сообщений в нужный момент времени. Стандартные устройства, доступные в продаже, почти со 100 % вероятностью не подойдут для этих целей.

dic.academic.ru

Bluetooth 2.0 + EDR

Bluetooth — протокол беспроводной связи. Можно сказать, что Bluetooth — технология беспроводной связи, способ беспроводной связи. Все эти определения дают представление о том, что же такое Bluetooth. Протокол Bluetooth был разработан и продолжает развиваться группой SIG (Special Interest Group), основанной в сентябре 1998 года и включающей в себя более 8000 компаний — членов группы, учавствующих в разработках. Само название Bluetooth происходит от имени датского короля Гаральда Блатанда (Harald Blatand), жившего в 10 веке, чье имя по-английски звучит Harold Bluetooth. Блатанд способствовал объединению враждующих в то время фракций Норвегии, Швеции, Дании — так и технология Bluetooth разработанна, чтобы объединять устройства разных рынков: ранка телефонов, автомоибилей и пр.

Bluetooth 2.0 — обновленная спецификация беспроводного протокола связи Bluetooth. EDR (Enhanced Data Rate) — дословно «усовершенствованная передача данных». Новые возможности второй версии Bluetooth:

  • Максимально возможная скорость передачи данных увеличилась в 3 раза (до 3 Mbps*), а в некоторых случаях до 10 раз — это дает возможность передавать больше данных за то же время;
  • Уменьшилось энергопотребление, значит, Bluetooth-устройство второй версии будет работать дольше от одного заряда;
  • Версия 2.0 обратносовместима, то есть устройства с поддержкой прежних версий Bluetooth будут работать с новыми, а новые с прежними (конечно, новые возможности будут доступны только новым устройствам — устройства с поддержкой Bluetooth 2.0);
  • За счет расширения полосы пропускания упрощен сценарий мультисвязи, значит, упростилось одновременное подключение нескольких устройств;
  • Улучшена BER (Bit Error Rate) — коррекция ошибок при передаче данных, значит, увеличилась помехоустойчивость;
  • Добавился Bluetooth-профиль A2DP* (Advanced Audio Distribution Profile) — расширенный профиль аудиораспределения — попросту, стало возможно воспроизводить стерео-звучание через Bluetooth;
Теперь, заметив обозначение Bluetooth 2.0 + EDR, вы сможете представить те возможности, которые предлагает вторая версия протокола.

28 марта 2007 года группой SIG была анонсированна Bluetooth 2.1, которая позволяет передавать данные со скоростью до 480 Мбит/сек. Процедура подключения устройств упрощена: 1) включаете гарнитуру; 2) в телефоне выбираете «Добавить новое устройство»; 3) Связь устройств происходит автоматически. Понижено энергопотребление. Улучшена защищенность. Добавленна технология NFC (Near Field Communication) — позволяет присоединять два устройства одновременно.

© 7 июня 2007 Михаил Алфёров. Используя материалы нашего сайта, пожалуйста, не забудьте сослаться на aproject.narod.ru.

aproject.narod.ru

Где и когда использовать решения Endpoint Detection and Response?

«Антивирус умер», «одного антивируса недостаточно», «современные ОС в достаточной степени защищены» - все эти лозунги мы слышим на протяжении многих лет. Кибератаки становятся всё более изощрёнными, а разнообразие и количество средств защиты растет с каждым годом.

На Западе класс решений Endpoint Detection and Response находит практическое применение уже довольно давно, тогда как на российском рынке, это пока что лишь предмет обсуждения, нежели реально используемый инструмент.

Так что же такое EDR? Где его использовать? Как выбрать подходящее решение?

Статья Алексея Калинникова, менеджер по развитию направления информационной безопасности COMPAREX

Технология

Gartner определяет Endpoint Threat Detection and Response как инструмент для детектирования и расследования подозрительных активностей (и их следов) на конечных точках. Таким образом, этот класс решений может быть отнесен к продуктам семейства Advanced Threat Protection.

Архитектурно схема работы решения выглядит следующим образом: агент на конечной точке отслеживает события на уровне системы и сети, и либо отправляет информацию о них на сервер или облако для дальнейшего анализа, либо локально проводит анализ, позволяя оперативно отреагировать на обнаруженные угрозы. Технологии машинного обучения и поведенческого анализа, а также интеграция c потоками Threat Intelligence, позволяют выявлять неизвестные угрозы и предоставлять расширенные инструменты для расследования инцидентов и построения отчётов.

Среди функций, которыми обладаю практически все EDR:

● Обнаружение и предотвращение скрытых процессов, которые являются более сложными, чем простая сигнатура или шаблон, и легко обходят классический антивирус

● Полный обзор конечной точки, включая приложения, процессы и коммуникации для обнаружения вредоносной активности и упрощения реагирования на инциденты безопасности

● Автоматизация оповещений, а также защитных мер, таких как отключение определенных процессов в том случае, когда атака обнаружена

● Информация для расследования инцидентов, потому что, когда атакующий находится внутри сети, необходима как можно более полная информация о его действиях для понимания следующего шага и минимизации последствий.

Интеграция

Обычно решения EDR выступают как самостоятельный продукт, либо как часть платформы Anti-APT, интегрируясь с песочницами и обеспечивая более высокий уровень детектирования подозрительной активности и возможность активного реагирования на инциденты.

Сегодня уже невозможно представить инфраструктуру крупной компании без SIEM-системы. SIEM являются ядром Security Operation Center и одним из основных рабочих инструментов офицера безопасности. EDR могут существенно обогатить информацией SIEM-систему, предоставляя дополнительные возможности для мониторинга и проведения расследований.

Как повлияет агент EDR на производительность системы?

Что касается нагрузки на рабочую станцию, решения EDR без проблем работают совместно с продуктами класса Endpoint Protection, не оказывая существенного влияния на производительность системы. Гибкость настройки позволяет управлять параметрами агента, адаптируя решение под разные среды.

Нужен ли EDR, если уже используется сетевая песочница?

EDR работает на уровне рабочей станции, позволяя отследить процессы, приложения и поведение файлов на более глубоком уровне, а также опционально принять меры для предотвращения вредоносной активности. Во многие решения уже встроены механизмы, которые позволяют эффективно противодействовать шифровальщикам, поэтому оптимальным будет использование связки EDR+песочница.

Насколько эффективны подобные решения?

Естественно, одной установки программного обеспечения недостаточно. Важно, как EDR впишется в вашу модель реагирования на инциденты. Подходы к реагированию могут отличаться в зависимости от индустрии компании, зрелости системы информационной безопасности, и других факторов. Оркестрация технологий при реагировании на инциденты ИБ может существенно повысить эффективность управления инцидентами, снизить риски и возможные потери.

Заключение

Рынок EDR бурно растёт, и это вполне объяснимо. Тема кибербезопасности уже давно вышла на государственный уровень, и последние громкие инциденты говорят о том, что заражение очень часто происходит именно через конечные точки.

Однако, не стоит забывать о том, что наиболее уязвимым звеном по-прежнему остаются не технические средства, а люди. К примеру, недавнее расследование деятельности преступной группы MoneyTaker, проведенное компанией Group-IB, свидетельствует о том, что злоумышленники получили доступ к корпоративной сети банка через личный компьютер системного администратора. Поэтому, тренинги по безопасности и повышению осведомленности сотрудников, а также симуляции фишинговых атак, являются неотъемлемой частью процесса обеспечения безопасности в крупных организациях. 

Только грамотно выстроенная многоуровневая система защиты может эффективно противостоять новым сложным угрозам, и решения EDR могут стать одним ключевых элементов этой системы.

www.comparex.ru

Обзор рынка Endpoint Detection and Response (EDR)

Для многих организаций все актуальнее становится вопрос пересмотра стратегии защиты конечных точек, традиционных средств уже становится недостаточно для противодействия современным киберугрозам. В обзоре мы расскажем о решениях нового поколения по передовой защите конечных точек от сложных угроз — Endpoint Detection and Response (EDR): почему появился новый рынок, какие тенденции на нем присутствуют, какие преимущества и особенности есть у решений от Check Point, Сisco, Cyberbit, FireEye, «Лаборатории Касперского», Microsoft, Palo Alto и Symantec.

Введение

Все более острой проблемой для многих организаций из различных сфер деятельности становится вероятность столкновения с целенаправленными атаками, которые все чаще применяют сочетание распространенных угроз, уязвимостей нулевого дня, уникальных схем без использования вредоносного программного обеспечения, бесфайловых методов и пр. Использование решений, построенных на базе превентивных технологий, а также систем, нацеленных точечно на обнаружение сложных вредоносных активностей только в сетевом трафике, не может быть достаточным для защиты предприятия от сложносоставных целенаправленных атак. Конечные точки, включая рабочие станции, ноутбуки, серверы и смартфоны, также являются критически важными объектами контроля, так как они остаются для злоумышленников в большинстве случаев достаточно простыми и популярными точками проникновения, что повышает значимость контроля за ними.

Платформы защиты конечных точек (Endpoint Protection Platform — EPP), которые обычно присутствуют на инфраструктуре у большинства организаций, отлично защищают от массовых, известных, а также и ряда неизвестных угроз, но в большинстве случаев, построенных на базе уже ранее встречающихся вредоносных программ.

Со временем техники нападения киберпреступников претерпели значительные изменения. Злоумышленники стали более агрессивны в своих атакующих подходах и более совершенны в организации всех этапов процесса. А потому большое количество компаний, несмотря на использование решений по защите конечных точек (EPP), все же подвергаются компрометации. Это означает, что сегодня организациям уже необходимы дополнительные инструменты, которые помогут им эффективно обнаруживать новейшие, более сложные угрозы, с которыми уже не в состоянии справиться традиционные средства защиты, изначально не разрабатываемые против подобного рода угроз. Эти средства защиты хотя и выявляют инциденты на конечных точках, но обычно не способны определить, что поступающие предупреждения могут быть составными частями более опасной и сложной схемы, которая может повлечь за собой значимый для организации ущерб.

Современная защита конечных точек нуждается в адаптации к современному ландшафту сложных угроз и должна включать функциональность по обнаружению комплексных атак, направленных на конечные точки, и быть способной оперативно реагировать на найденные инциденты (Endpoint Detection and Response — EDR).

Ожидаемым результатом от внедрения EDR-решения по противодействию сложным угрозам будет организация передовой защиты конечных устройств, что приведет к заметному уменьшению поверхности комплексных целевых атак и тем самым к сокращению общего числа киберугроз.

В обзоре мы расскажем о технологии EDR, о взаимодействии EDR с решениями класса EPP, а также о рынке решений данного класса в целом.

Современные угрозы, направленные на конечные точки

Все чаще и чаще появляются новости об очередном громком инциденте. Компаниям приходится признавать факт направленной на них кибератаки и подсчитывать прямые и косвенные убытки.

Очевидно, что опубликованная информация об успешно проведенных атаках, направленных на различные государственные и коммерческие организации, — это всего лишь маленькая часть от их реального количества. С уверенностью можно утверждать, что количество киберинцидентов и уровень последствий от них гораздо выше, чем представляется нам в средствах массовой информации.

Например, собранные цифры в ходе глобального исследования рисков информационной безопасности для бизнеса Kaspersky Lab Global Corporate IT Security Risks Survey подтверждают, что успешные кибератаки действительно обходятся дорого компаниям.  Для каждой из рассматриваемых категорий затрат были рассчитаны средние потери, которые понесли организации в России, столкнувшиеся с ИБ-инцидентами. А сумма всех категорий позволила оценить среднюю величину общего ущерба, нанесенного успешной атакой, которая составила более 16 миллионов рублей.

Рисунок 1. Средние затраты компаний, столкнувшихся с ИБ-инцидентами, Kaspersky Lab Global Corporate IT Security Risks Survey, 2017

По данным исследования компании PWC, опубликованным в отчете «Глобальные тенденции информационной безопасности на 2018 год», руководители организаций, использующих системы автоматизации, признали растущую опасность киберугроз и значимость потенциальных негативных последствий от кибератак. В качестве основного возможного результата кибератаки 40% участников опроса в мире и 37% по России назвали нарушение операционной деятельности, 39% — утечку конфиденциальных данных (48% — в России), 32% — причинение вреда качеству продукции (27% — в России).

В наши дни на рынке отмечается новая тенденция современных направленных атак, где злоумышленники в качестве своих жертв выбирают уже не только крупные организации, но и цели поменьше и все чаще используют небольшие организации в цепочке атаки на крупные компании. Злоумышленники становятся более аккуратными к затратам на подготовку атак и стремятся как можно сильнее минимизировать расходы, вследствие чего стоимость организации эффективной целенаправленной атаки значительно снижается, и, соответственно, возрастает и общее количество атак в мире.

Это подтверждает и статистика. По данным международного опроса, проведенного аналитическим агентством B2B International по заказу «Лаборатории Касперского», доля целенаправленных атак в 2017 году выросла на 10% по сравнению с 2016 годом и составила 23%.  Это означает, что почти четверть компаний стали жертвами этих атак и почти две трети респондентов (63%) считают, что угрозы, с которыми они столкнулись в 2017 году, стали на порядок сложнее. А 53% компаний считают, что защита их организаций рано или поздно будет взломана. В результате большинство организаций понимают, что невозможно избежать брешей в системах ИБ и вероятность столкновения с целенаправленной атакой с каждым днем возрастает.

В комплексных атаках, направленных на конкретные организации, применяются: мультивекторный подход к проникновению, поиск уязвимых мест в инфраструктуре, тщательное изучение существующих средств защиты с целью их обхода, использование специально разработанного или модифицированного вредоносного кода, применение социальной инженерии, шифрования и последующей обфускации для исключения вероятности обнаружения.

По данным отчета о современном ландшафте угроз SANS 2017 Threat Landscape Survey: Users on the Front Line:

  • 74% респондентов назвали одним из распространенных способов проникновения вредоносных объектов в организацию зараженные ссылки в теле электронных писем или исполняемые вредоносные файлы, распространяющиеся в виде вложений;
  • 48% респондентов выделили активацию вредоносов с зараженных веб-сайтов или самостоятельную загрузку вредоносных файлов при посещении веб-страниц;
  • 30% указали на уязвимости приложений на конечных точках пользователя и др.

Рисунок 2. Vectors Threats Use to Enter Organizations, SANS 2017 Threat Landscape Survey: Users on the Front Line

По данным этого же отчета, 81% опрошенных компаний считают, что средства по защите конечных точек становятся наиболее востребованными инструментами.

Наблюдая за эволюцией угроз от массовых к направленным, мы видим потребность в добавлении к автоматическому блокированию более простых угроз, продвинутое обнаружение направленных сложных угроз и в целом перестроения рынка и смене фокуса от защиты отдельных рабочих мест к обеспечению безопасности целого предприятия с привлечением не только специалистов ИТ-департамента, но и специалистов по информационной безопасности и аналитиков для дальнейшего расследования инцидентов, оперативного реагирования и поиска новейших угроз.

Рассмотрим более подробно ключевые тенденции развития угроз, затрагивающие конечные точки сети.

Рост бесфайловых (fileless) атак

Бесфайловые атаки — это атаки, которые не размещают никаких файлов на жестком диске. Отследить такого рода активности на порядок сложнее. Злоумышленники могут использовать эксплойты, макросы, скрипты и легитимные инструменты. Можно выделить несколько видов бесфайловых атак:

  • размещение в оперативной памяти;
  • сохранение в реестре Windows;
  • использование доверенного программного обеспечения: инструментов Windows, различных приложений и т.п. для получения учетных данных целевых систем для вредоносных целей;
  • атаки с использованием скриптов.

С каждым годом вероятность столкновения с направленными атаками на конечных точках для организаций увеличивается. Вместо установки вредоносных исполняемых файлов, которые антивирусные движки могут без проблем оперативно находить и блокировать, злоумышленники используют различные комбинации с применением бесфайловых методов, заражая конечные точки и не оставляя при этом артефактов, которые можно было бы обнаружить в ста процентах случаев антивирусом.

Опрос CISOs Investigate: Endpoint Security by Security Current, в котором были включены отзывы руководителей по информационной безопасности, которые уже используют решения по продвинутой защите конечных точек или только планируют, а также ответы проанкетированных производителей этих решений показали, что противодействие бесфайловым атакам на конечных точках является одним из главных атрибутов информационной безопасности, на который стоит обратить особое внимание.

Рисунок 3. Top 10 Endpoint security attributes, CISOs Investigate: Endpoint Security by Security Current, 2017

По данным опрошенных организаций, 29% нападений, с которыми они столкнулись в течение 2017 года, были бесфайловыми, что на 9% больше, чем годом ранее. New Ponemon Institute прогнозируют, что эта пропорция продолжит расти, и в 2018 году бесфайловые атаки составят 35% от общего количества всех прогнозируемых атак.

Рисунок 4. График роста бесфайловых атак, New Ponemon Institute, 2017

Потребность в дополнительной защите конечных точек

Большое количество успешных бесфайловых атак еще больше подрывает доверие организаций к их существующим защитным средствам. Согласно отчету аналитического агентства Forrester по заказу Google за 2017 год Rethink Enterprise Endpoint Security In The Cloud Computing Era, более половины мировых предприятий (53%) столкнулись в течение года по меньшей мере с одним фактом компрометации или нарушением на стороне конечных устройств, несмотря на использование технологий защиты. Стоит отметить, что более трех четвертей обнародованных случаев на инфраструктуре, связанных с компрометацией, касались бесфайловых методов. Проведенное глобальное исследование также показало, что предприятия начали активно рассматривать продвинутые инструменты по обнаружению и аналитике сложных угроз на конечных точках. 48% компаний считают приоритетным для себя повысить эффективность обнаружения сложных угроз на конечных точках, а 42% планируют улучшить аналитику. В результате всё больше организаций начинают задумываться о дополнительных инвестициях в новые продвинутые технологии по защите конечных точек, в решения класса EDR.

Рисунок 5. Данные по приоритетным направлениям защиты конечных точек, Rethink Enterprise Endpoint Security In The Cloud Computing Era, Forrester, 2017

Рост стоимости и сложности защиты конечных точек  

Контроль всех конечных точек, взаимодействующих с ресурсами компании, становится все более сложным процессом, поскольку их количество и разнообразие растет с огромной скоростью. Почти три из четырех респондентов (73%) исследования New Ponemon Institute отметили, что для их организации стало более сложным и трудоемким процессом контролировать конечные точки, и при этом только треть респондентов указали, что они обладают достаточным количеством собственных ресурсов для мониторинга и управления рабочими станциями и серверами и еще меньше для расследования инцидентов и оперативного реагирования.

Согласно информации, предоставленной в отчете «Новые угрозы — новые подходы: готовность к риску для защиты от сложных атак» от «Лаборатории Касперского» за 2017 год, становится очевидным недостаток квалифицированных специалистов по реагированию на инциденты и отсутствие у многих компаний собственных экспертов, что вынуждает прибегать к сторонней помощи для ликвидации последствий атак. 40% российских респондентов сообщили, что кибератака заставила их обратиться к услугам сторонних консультантов, способных разобраться с угрозой. В сегменте крупного бизнеса 48% компаний отметили, что им требуется больше ИБ-специалистов в противовес ИТ-специалистам общего профиля.

Компании, планирующие использовать функциональность по обнаружению сложных угроз на конечных точках, сталкиваются с тем фактом, что значительная часть из них не обладает необходимыми знаниями и ресурсами для полномасштабного развертывания EDR-решения или его надлежащего использования.

Переход от простого администрирования ИТ-отделом решений EPP к необходимости привлечения соответствующих ресурсов ИТ-безопасности при использовании EDR-решений приводит к потребности в инженерах по безопасности и аналитиках угроз с достаточным уровнем знаний и опыта, чтобы обеспечить максимальную пользу от внедрения EDR.

Это могут быть внутренние обученные сотрудники или привлеченные эксперты в рамках различных сервисов, понимающие, как извлечь выгоду из платформы EDR и организовать эффективный процесс реагирования на инциденты.

По данным отчета Cisco по информационной безопасности за 2017 год, в России организации начинают предпочитать внешние услуги, например, 35% крупных корпораций пользуются внешними услугами по реагированию на инциденты, а 39% сервисами по аналитике угроз.

Рисунок 6. Процент крупных корпораций, использующих внешние услуги, Cisco Systems, 2017

Рост ущерба от атак на конечные точки

Исходя из цифр, которые предоставляет нам New Ponemon Institute, в среднем за 2017 год компании потеряли из-за успешных атак, в которых злоумышленники обошли существующие системы безопасности конечных точек, в общей сложности более 5 миллионов долларов (средняя стоимость 301 доллар США на одного сотрудника), что является значительной цифрой и говорит о том, что современные компании нуждаются в пересмотре своей стратегии защиты конечных точек.

Рисунок 7. Стоимость атак на конечные точки сети, New Ponemon Institute, 2017

Мировой рынок EDR-решений

Несмотря на популярность традиционных средств защиты конечных точек, многие организации тем не менее рассматривают и добавляют новые технологические возможности поверх своих EPP-решений, чтобы повысить качество обнаружения сложных угроз и ускорить процесс реагирования на них, уменьшая тем самым вероятность возникновения успешных атак и разрушительного влияния на бизнес.

Как мы видим, в обеспечении безопасности конечных точек на рынке присутствуют две разные категории средств: предотвращение/блокирование угроз (EPP) и расширенное обнаружение и реагирование (EDR). Объединяющим элементом этих решений, в большинстве случаев, выступает антивирусный движок, который для систем класса EPP работает в режиме блокировки, а для EDR служит одним из движков, ориентированным на обнаружение сложных угроз в комплексе с другими детектирующими механизмами, такими как: IoC-сканирование, Yara-правила, песочница (поддерживают не все производители в рамках своих EDR-решений), доступ к Threat Intelligence и пр.

Отдельно стоит отметить, что в решениях класса EPP включена еще функциональность по контролю приложений и устройств, веб-контролю, оценке уязвимостей, патч-менеджменту, URL-фильтрации, шифрованию, межсетевому экранированию и пр.

Рисунок 8. The Endpoint Security Continuum, ESG: Redefining Next-generation Endpoint Security Solutions

Как мы видим, каждая из систем EPP и EDR сочетает в себе то, что отсутствует (или частично присутствует) в другой системе и что безусловно приводит к необходимости и важности взаимодействия этих решений. У EPP и EDR есть общая цель по противодействию угрозам, для достижения которой эти продукты используют различные подходы и функциональные возможности. Синергия использования этих решений ведет к общему более глобальному подходу защиты конечных точек.

В момент появления полнофункциональных самостоятельных систем класса EDR рынок решений по защите конечных точек был разделен на поставщиков, которые обеспечивают автоматическое предотвращение, и на тех, которые обеспечивают продвинутое обнаружение и реагирование. Хотя стоит отметить, что у пары-тройки вендоров на тот момент в портфеле уже присутствовали оба класса решений — и EPP, и EDR, но позиционировались они как совсем отдельные продукты.

Со временем произошли изменения, и большинство поставщиков начали объединять свои подходы в обеспечении как продвинутого обнаружения, так и предотвращения. Рынок решений данного класса активно развивается и формируется. Некоторые из поставщиков решений класса EPP выпустили собственные новые продукты класса EDR для получения полной картины по защите конечных устройств, другие просто доработали решения для предоставления возможности взаимодействия со сторонними поставщиками, как EPP, так и EDR-решений соответственно. Тенденция объединения решений EPP и EDR хороша для потребителей этих технологий и, вероятнее всего, продолжит развиваться в этом направлении, что должно привести к более глубокому взаимодействию этих решений. Например, к использованию единого агента на конечных точках, если это еще не реализовано в рамках одного производителя двух технологий, так и к более прозрачному взаимодействию по передаче вердиктов из EDR в EPP-решения и пр.

Рынок все еще находится на стадии формирования. По прогнозу аналитического агентства Gartner, принимая во внимание растущую потребность в быстром и эффективном обнаружении и оперативном реагировании на передовые угрозы на конечных точках, рынок EDR-решений будет стремительно расти. В настоящее время агенты EDR-решений установлены примерно на 40 миллионах конечных точек (менее чем у 6% от общей базы конечных устройств). По оценкам Gartner, совокупные расходы организаций на решения EDR будут расти и к 2020 году составят около 1,5 млрд долларов США. Это при совокупном среднегодовом темпе роста в 45.3%, что заметно быстрее, чем прогноз совокупного среднегодового темпа роста в 2.6% для рынка решений EPP, а также чем в 7.0% для общего рынка решений по ИБ.

Рисунок 9. EDR Market vs EPP Market, Gartner, CS Communications Infrastructure Team, Credit Suisse Research

Аналитические агентства, вслед за формирующимися тенденциями рынка, перестраиваются в сторону формирования единых отчетов по защите конечных устройств (EPP+EDR), и уже почти каждый либо упоминает про EDR-функциональность, либо уже добавил в свои сравнительные анализы как полноценный критерий оценки.

Ведущие аналитические агентства в своих отчетах упоминают следующих производителей по защите конечных точек с включенной EDR-функциональностью. Рассмотрим кратко основные из них.

Gartner

Аналитическое агентство Gartner в ноябре 2017 года выпустило отдельный обзор рынка по EDR: Market Guide for Endpoint Detection and Response Solutions, где детально описаны направления EDR-рынка, деление, тренды и прочее.

В разделе Representative Vendors EDR-обзора Gartner для возможности представления масштаба рынка перечисляет следующих представителей этого рынка решений в алфавитном порядке: Carbon Black, Check Point Software Technologies, Cisco, CounterTack, CrowdStrike, Cyberbit, Cybereason, Cynet, CyTech Services, Digital Guardian, Endgame, enSilo, ESET, Fidelis Cybersecurity, FireEye, G Data Software, IBM, Kaspersky Lab, Malwarebytes, McAfee, Microsoft, OpenText (Guidance), RSA Security, Secdo, SentinelOne, Sophos, Symantec, Tanium, Trend Micro, WatchGuard, Ziften.

Также стоит отметить, что в этом обзоре Gartner начинает упоминать о важности взаимодействия решений классов EDR и EPP и, соответственно, об адаптивной стратегии: Prevent (предотвращение), Detect (обнаружение), Respond (реагирование), Predict (прогнозирование).

Рисунок 10. EDR Functionality, Gartner Market Guide for Endpoint Detection and Response Solutions, 2017

В январе 2018 год Gartner опубликовывает обновленную редакцию своего Магического квадранта Endpoint Protection Platforms по поставщикам решений по защите конечных устройств, где представляет полностью скорректированное определение решений класса EPP. Теперь под решениями класса EPP он понимает решения, предназначенные для контроля и блокирования угроз на конечных точках, а также продвинутого обнаружения сложных угроз и обеспечения оперативного реагирования на инциденты. Это означает, что магический квадрант Endpoint Protection Platforms за 2018 год включает решения класса EPP с включенной функциональностью EDR.

Gartner выделяет следующих производителей, находящихся в квадранте лидеров, и те компании, которые остались на один шаг от лидерства: Symantec, Sophos, Trend Micro, Kaspersky Lab, CrowdStrike.

Рисунок 11. Gartner Magic Quadrant for Endpoint Protection Platforms, 2018

В апреле 2018 года Gartner выпустил еще один отчет касательно платформ защиты конечных точек — Critical Capabilities for Endpoint Protection Platforms, где была проведена оценка по пятибалльной шкале каждого выделенного функционального критерия. В оценке принял участие 21 производитель. Важно отметить, что Gartner в отчете относит две из девяти критически необходимых возможностей решений к EDR-технологии — это EDR Core Functionality (базовая функциональность EDR) и EDR Advanced Response (продвинутое реагирование EDR). Со всеми критериями оценки и представленными аналитическим агентством результатами в табличной форме вы можете ознакомиться в самостоятельном порядке.

Forrester

Международное аналитическое агентство Forrester в своем отчете The Forrester Wave™: Endpoint Security Suites за 2 квартал 2018 года частично учитывает функциональность решений класса EDR, а именно в оценке присутствует следующая функциональность с учетом также функциональности систем класса EPP: automated prevention, detection, remediation, full endpoint visibility, automation, orchestration.

Лидерами по отчету Forrester являются: Bitdefender, Check Point, CrowdStrike, ESET, Sophos, Symantec, Trend Micro. К сильным игрокам на рынке Forrester причисляет следующие компании: Carbon Black, Cisco, Cylance, Kaspersky Lab, Malwarebytes, McAfee, Microsoft.

Рисунок 12. The Forrester Wave™: Endpoint Security Suites, Q2 2018

IDC

Международная исследовательская и консалтинговая компания IDC в своем отчете Endpoint Specialized Threat Analysis and Protection (STAP) Vendor Assessment отмечает следующих лидеров: Carbon Black, Cisco Systems, CrowdStrike, Cylance, McAfee, Symantec, Trend Micro.

Рисунок 13. IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017

 

The Radicati Group

Некоторые аналитические агентства, например The Radicati Group, сравнивают комплексные подходы к противодействию сложным угрозам, включая как сеть, так и конечные устройства, и в своем отчете Advanced Persistent Threat (APT) Protection — Market Quadrant 2018 оценивают поставщиков комплексных Anti-APT решений в соответствии со списком основных функций и возможностей, с которым вы всегда можете ознакомиться детально, изучив отчет. Отдельно выделяется критерий сравнения по предоставлению решением EDR-функциональности или возможность взаимодействия со сторонними продуктами класса EDR. Особое внимание уделяется возможностям систем EDR по передаче собранной информации с конечных устройств в централизованную базу данных для дополнительного анализа и объединения этой информации с данными, полученными от других средств обнаружения угроз, например, на сети для получения полной картины развития возникающих угроз на всей инфраструктуре.

The Radicati Group отмечает на рынке решений по защите от APT угроз (Advanced Persistent Threat Protection) следующие компании: Barracuda Networks, Cisco, FireEye, Forcepoint, Fortinet, Kaspersky Lab, McAfee, Microsoft, Palo Alto Networks, Sophos, Symantec, Webroot.

Рисунок 14. Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018

Функциональность решений класса EDR

В этом разделе остановимся более подробно на функциональных возможностях решений Endpoint Detection and Response (EDR).

Современные решения класса EDR позволяют:

  • обеспечивать мониторинг конечных точек в режиме реального времени и представлять наглядную визуализацию активностей всех рабочих станций и серверов в корпоративной инфраструктуре из единой консоли;
  • эффективно обнаруживать и приоритизировать инциденты информационной безопасности по мере их возникновения на конечных точках;
  • записывать и хранить информацию по активностям на конечных точках для последующего расследования комплексных инцидентов;
  • предоставлять необходимую информацию специалистам ИБ для оперативного расследования инцидентов;
  • реагировать на инциденты, обеспечивая их сдерживание, а также помогают в восстановлении рабочих станций в исходное до инцидента состояние;
  • поддерживать возможность взаимодействия с решениями класса EPP.

Рисунок 15. Основные функциональные блоки решений класса EDR

Рассмотрим далее более подробно каждый из блоков.

Наглядность

Решение EDR позволяет проводить наблюдение за всеми действиями конечных точек, например, установка нового программного обеспечения, скачивание файлов, повышение уровня привилегий учетных записей, а также изменения в запущенных процессах, в сетевой активности, в поведении пользователей и др.

Детальный мониторинг всех процессов, запущенных на рабочих станциях и серверах, а также их взаимодействие, например, с исполняемыми файлами и корпоративными приложениями, позволяет организациям получать наглядную картину всего происходящего. А именно отслеживать подозрительное поведение, фиксировать несанкционированный доступ и иные злонамеренные действия. В случае инцидента можно проверить эти данные и понять, на каких пользователей была направлена атака, какие системы могли быть скомпрометированы и какая информация могла пострадать.

Решение EDR отслеживает запуск программ и позволяет определять местоположение вредоносных объектов в корпоративной сети, а также предоставлять информацию о выполняемых ими действиях.

Когда файл попадает на конечную точку, EDR продолжает наблюдать, анализировать и записывать всю активность файла, независимо от его расположения. Если в какой-то момент в будущем будут обнаружены следы атаки, решение может предоставить всю записанную историю поведения используемого в атаке вредоноса: откуда появился, где был, что делал и прочее. Эта информация поможет увидеть всю цепочку процесса и оперативно принять меры по реагированию.

Обнаружение

Крайне важно обнаружить развивающуюся атаку как можно быстрее, до того, как она нанесет серьезный ущерб организации. Решения EDR позволяют обнаружить сложносоставные атаки на их ранних стадиях, используя комбинацию различных механизмов поиска и методов анализа неизвестных угроз, в том числе построенных на базе машинного обучения и поведенческого анализа.  

Методы обнаружения:

EDR осуществляет поиск индикаторов компрометации на конечных точках и их проверку путем периодического или постоянного сканирования всех конечных точек по списку известных артефактов (например, хэши файлов, IP-адреса, имена доменов, значения реестра и пр.). Загрузка в EDR индикаторов компрометации, полученных из внутренних или внешних баз данных об угрозах или других источников, например, через рассылку от ФинЦЕРТ, позволяет организациям оперативно обнаруживать и реагировать на угрозы, а также задавать автоматические правила их предотвращения.

Функциональность антивируса по проверке файлов на предмет наличия вредоносной составляющей с помощью сигнатурного, эвристического методов анализа.

  • Обнаружение аномального поведения

Нетипичные изменения в поведении или базовой конфигурации могут указывать на угрозу. Регистрация таких событий помогает идентифицировать угрозы и предоставлять, например, информацию о том, когда произошел инцидент и какие изменения или последствия произошли в результате вредоносных действий, вызванных обнаруженной направленной атакой и пр.

Некоторые производители в рамках своих EDR-решений поддерживают функциональность песочницы или взаимодействуют с отдельными решениями данного класса. Подозрительные файлы, требующие дополнительного анализа, могут быть автоматически загружены в специально выделенную среду для их безопасного исполнения и вынесения соответствующего вердикта на основании поведения файла. В случае подтверждения факта вредоносности файла песочницей файл сразу может быть заблокирован на всех рабочих станциях в сети.

В зависимости от конкретного производителя решения ЕDR могут взаимодействовать с собственной Threat Intelegence (TI) и/или сторонними сервисами по предоставлению доступа к TI, позволяя получать данные об угрозах, доверенных объектах и паттернах поведения. Подобное взаимодействие с TI позволяет более оперативно реагировать на глобальные угрозы.

Например, использование YARA-правил для сканирования объектов, механизма проверки валидности подписанных сертификатов и пр.

Поиск информации о действиях вредоносных объектов в прошлом, о том, какие системы, машины, файлы подвергались воздействию зловредного кода и прочее – эти данные значительно облегчают процесс комплексного расследования инцидентов.

EDR позволяет сопоставлять различные данные и события с разных конечных точек в единый инцидент для дальнейшего расследования и реагирования, используя для проведения корреляции получаемую телеметрию в режиме реального времени, исторические данные и вердикты от механизмов обнаружения.

Расследование

Быстрый доступ ко всем данным с конечных точек и к информации об активностях позволяет аналитикам выполнять комплексное расследование и глубокий анализ источников угроз.

EDR может собирать разнообразные данные, например,

Метаданные с конечных точек

  • IP, MAC, DNS-имена
  • Подключенные USB-устройства

Сетевые данные

  • Таблицы DNS и ARP
  • Открытые порты и связанные процессы
  • Сетевые подключения
  • Просматриваемые URL-адреса

Данные процессов

  • Потоки и метаданные запущенных процессов
  • Службы Windows
  • События операционной системы

События доступа к реестру и доступа к диску

Другие данные

  • События загрузки DLL
  • Активные драйверы устройств и загруженные модули ядра
  • Расширение браузера и история
  • История команд CMD и PowerShell

EDR консолидирует данные о событиях, последовательность которых привела к обнаружению действующей атаки на конечных точках. Визуализация всей хронологии событий позволяет оперативно расследовать инциденты.

EDR предоставляет подробные сведения о каждой обнаруженной угрозе, например,

  • как угроза проникла в инфраструктуру организации;
  • список затронутых рабочих станций и серверов;
  • информация об изменениях в затронутых атакой конечных точках;
  • запускаемые приложения;
  • созданные в ходе атаки файлы;
  • загруженные файлы и пр.

EDR предоставляет возможность приоритизировать инциденты, в зависимости от критичности событий, путем анализа полученных данных и их корреляции, что позволяет специалистам сосредоточиться в первую очередь на самых релевантных сложным атакам инцидентах и оперативно реагировать на обнаруженные угрозы.

Реагирование

Широкий набор инструментов позволяет специалистам по информационной безопасности просматривать события, оценивать масштаб нарушений и определять все затронутые конечные точки. Решения EDR позволяют обеспечивать сдерживание сложносоставных инцидентов, устраняя угрозы на отдельных конечных точках, и их последствий без воздействия на работу пользователей.

В случае обнаружения вредоносной активности информация об инциденте оперативно передается администратору. Используя централизованную консоль управления, специалист может принять следующие ответные меры:

  • остановка работающих вредоносных процессов;
  • карантин файлов;
  • изолирование зараженных рабочих станций;
  • проведение необходимых удаленных действий с файлами и реестром;
  • блокировка подключений конечных точек к злонамеренным доменам, URL- и IP-адресам;
  • сбор криминалистических артефактов (образ оперативной памяти, образ жесткого диска);
  • восстановление рабочих мест в предынфекционное состояние.

Предотвращение

Наличие решений класса EPP, построенных на базе превентивных технологий, ориентированных на обнаружение и автоматическую блокировку известных угроз, очевидно вредоносных объектов, а также части неизвестных угроз, помогают устранить необходимость анализа большого количества инцидентов, которые не имеют отношения к сложным атакам, тем самым повышая эффективность EDR-платформ, направленных на обнаружение сложных угроз. Решения EDR, в свою очередь, могут отправлять вердикты в EPP-решения и тем самым обеспечить действительно комплексный подход к противодействию передовым угрозам.

Интеграция

Решения по обнаружению сложных угроз на конечных точках и реагирования на них, кроме взаимодействия с решениями класса EPP, должны быть способны встраиваться в более широкую инфраструктуру информационной безопасности организаций. Поддержка возможности взаимодействия с существующими средствами ИБ, например, с системами по обнаружению сложных угроз на сети, с песочницей в случае отсутствия встроенной в решение EDR, с инструментами по расследованию и пр. Немаловажно, чтобы решение поддерживало открытый API для интеграции с SIEM/SOC для обогащения этих систем информацией и предоставления дополнительных возможностей для мониторинга и проведения расследований. EDR-решения помогают SIEM, выступая источником логов и событий, предоставляя при этом уже проанализированную и нужную информацию для проведения корреляции с информацией, получаемой от иных источников.

Экспертиза

Разумеется, важно иметь инструменты, необходимые для надлежащего обнаружения и реагирования, однако и этого в наше время становится недостаточно для противостояния современным угрозам, во главе которых стоят люди, руководящие всем процессом подготовки и проведения самых сложносоставных направленных атак. Организации, использующие EDR-решения, также нуждаются в выделенных квалифицированных кадрах. Чтобы постоянно оставаться в курсе нынешнего ландшафта угроз, применять знания для поиска угроз внутри сети и понимать, как эффективно использовать специализированные наборы инструментов, нужна глубокая экспертиза в этой области, как внутренняя, так и внешняя.

Некоторые компании при использовании инструментов по обнаружению и реагированию на передовые угрозы на конечных точках предпочтут задействовать в полном объеме свои собственные ресурсы и только в случае острой необходимости частично привлекать внешних специалистов и использовать сторонние сервисы. В этом случае усиление экспертизы внутри организации может строиться на прохождении различных обучающих программ по повышению квалификации специалистов ИБ, а также путем доступа к информационному порталу угроз, получению потоков данных об угрозах и различных аналитических отчетов, которые обычно предоставляют производители решений по противодействию передовым угрозам.

Для перегруженных или недостаточно укомплектованных специалистами компаний будет привлекательным использовать в большей степени сторонние профессиональные услуги, такие как: сервисы реагирования на инциденты, активный поиск угроз, анализ вредоносных программ, использованных в рамках атаки, сервис по цифровой криминалистике, устранение последствий и иные необходимые экспертные сервисы.

Соответствие

Решения данного класса призваны помочь организациям в соблюдении требований внутренних служб ИБ, внешних регулирующих органов и действующего законодательства в сфере ИБ.

В частности, решения должны быть нацеленными на соответствие требованиям N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и указа Президента РФ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Тем самым помогать в обнаружении компьютерных атак, в агрегации и анализе информации, установлении причин возникновения инцидентов, реагировании на них, а также ликвидации последствий.

Роль EDR становится еще важнее для тех компаний, которые должны соответствовать требованиям стандартов банковской отрасли, PCI DSS, нормативным требованиям GDPR и др. благодаря включенной функциональности по постоянному мониторингу и записи инцидентов.

Для организаций, у которых остро стоит вопрос необходимости соответствия строгим политикам конфиденциальности по обработке критичных данных, на рынке присутствуют EDR-решения, которые могут предоставлять вариант полностью изолированного режима работы решения, без передачи данных за пределы контролируемого периметра организации.

Краткий обзор EDR-решений, представленных на российском рынке

На западном рынке класс решений EDR уже давно нашел практическое применение, тогда как на российском рынке внедренные решения данного класса встречаются редко и пока являются скорее лишь предметом обсуждения, нежели реально используемым инструментом.

В данный обзор мы включили производителей EDR-решений, которые были оценены аналитическими агентствами на достаточно высоком уровне в своих сравнительных анализах и которые представлены на российском рынке.

Check Point SandBlast Agent

Решение SandBlast Agent от компании Check Point Software Technologies объединяет в себе комплекс продвинутых технологий превентивной защиты (EPP), реагирования, расследования, лечения (EDR) и проактивного (ретроспективного) поиска угроз на конечных станциях (Threat Hunting).

SandBlast Agent является частью единого модульного агентского решения Check Point Endpoint Security, включающего также функции традиционных средств защиты, таких как проверка состояния станции (Compliance), контроль приложений, сетевой активности и защита данных на жестком диске и съемных носителях.

Однако, модули SandBlast Agent может применяться и самостоятельно для защиты от новых угроз, полностью заменяя традиционные антивирусные продукты  или дополняя их (интеграция с Kaspersky, Trend Micro, Symantec, и др.)

Рисунок 16. Дерево процессов в отчете Forensics от SandBlast Agent

Один агент SandBlast Agent решает все основные задачи EPP+EDR, эффективно сокращая количество возможных инцидентов, время их решения и потенциальный ущерб:

Предотвращение проникновения (даже если станция находится вне контролируемого периметра или не возможна инспекция SSL как при TLS 1.3)

  • Проактивная конвертация скачиваемых пользователем документов в браузере в безопасный формат (Threat Extraction). Пользователь мгновенно получает 100% безопасную версию документов (в PDF или исходном формате), пока они проверяются в «песочнице».
  • Перехват в браузере и динамический анализ в реальном времени в облачной или локальной «песочнице» всех скачиваемых файлов (Threat Emulation), используя  машинное обучение, техники Anti-Evasion и технологию CPU-Level Detection.
  • Эвристический анализ содержимого посещаемых пользователем веб-страниц и блокировка новых фишинговых сайтов (ZeroPhishing).

Перехват и блокировка атаки, когда она уже началась

  • Раннее обнаружение новых шифровальщиков с помощью приманок и по поведению непосредственно на конечной станции, блокировка вредоносных процессов и автоматическое восстановление зашифрованных файлов, включая подключенные сетевые папки (Anti-Ransomware). Агент анализирует файловые операции, не позволяет внести изменения в MBR или удалить теневые копии. Модуль Anti-Ransomware работает автономно, не требует «песочницы» и постоянного доступа к репутационным сервисам, .
  • Блокировка эксплойтов (Anti-Exploit) для приложений, наиболее часто используемых для первоначального взлома: Microsoft Office, Adobe Reader, Flash, браузеры. Если новый эксплоит использует одну из известных техник эксплуатации уязвимости, то встроенная в защищаемый процесс DLL-ловушка терминирует процесс и атака будет остановлена в самом начале.
  • Все новые файлы, доставленные на станцию по сети или со съемных носителей, автоматически проверяются в «песочнице» (Threat Emulation). Полученный  вердикт позволяет отправить вредоносные файлы в карантин и начать процесс лечения и расследования.
  • Anti-Bot проверяет сетевую активность станции (включая DNS, HTTP/S запросы) и автоматически блокирует попытки подключиться к известным серверам злоумышленников (C&C).
  • В 2018 году Check Point планирует добавить в SandBlast Agent дополнительный модуль защиты Behavioral Guard, который будет обнаруживать и блокировать новые версии ранее известных семейств вредоносов по поведению на основе машинного обучения.

Автоматическое восстановление рабочей станции и расследование инцидента

  • Модуль Forensics автоматически логирует все изменения на рабочей станции (запуск процессов, файловые операции, ключи реестра, сетевая активность), что позволяет в момент срабатывания любой технологии защиты автоматически коррелировать события, определить между ними взаимосвязь, изолировать, откатить выполненные вредоносом изменения и построить детальный отчет для расследования инцидента.
  • Интерактивный отчет Forensics генерируется для каждого инцидента в виде веб-сайта. Он  визуализирует не только дерево запущенных процессов,  параметры запуска и выполненные ими операции, но и такие неявные связи как инъекция кода, автозагрузка через AutoRun или планировщик Windows, раскрывается история команд Shell, PowerShell и запуска различных скриптов.

Импорт сторонних индикаторов (IoC) и Threat Hunting

  • SandBlast Agent позволяет использовать данные сторонних сервисов Threat Intelligence (например, FinCERT и ГосСОПКА) для поиска скомпрометированных станций различным индикторам, например, по хешам, IP, DNS-именам и URL.
  • «Песочница» SandBlast анализирует файлы с рабочих станций, защищенных агентом, и позволяет импортировать сторонние IoC на языке YARA.
  • В случае обнаружения IoC на любой из станций автоматически запускается функционал модуля Forensics, описанный выше.   

Подробнее с решением Check Point Sandblast Agentможно ознакомиться здесь или в статьях Технология Check Point SandBlast Zero-Day Protection для предотвращения ранее неизвестных и целевых атак и Защита от вирусов-шифровальщиков при помощи Check Point SandBlast Agent.

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection (AMP) for Endpoints — самостоятельный компонент по обеспечению безопасности конечных устройств нового поколения, предоставляющий усовершенствованную защиту от сложных угроз и являющийся частью распределенной и многокомпонентной системы защиты от вредоносной активности Cisco Advanced Malware Protection, которая включает в себя компоненты для NGFW, NGIPS, почтовых шлюзов, прокси-решений, облачных сред и т. д. Решение обеспечивает непрерывный анализ и расширенную аналитику, а также поддерживает возможность отследить процессы по активностям файлов в прошлом, что позволяет понять объем заражения, выявить исходную причину и произвести восстановление. Такие инструменты, как ретроспективный анализ, взаимосвязь элементов траектории атаки, поиск нарушений с помощью поведенческого анализа, помогают специалистам по безопасности определить масштабы атак и эффективно устранять все угрозы прежде, чем будет нанесен серьезный ущерб.

Рисунок 17. Интерфейс решения Cisco Advanced Malware Protection

Cisco выделяет следующие ключевые функциональные возможности своего решения Cisco AMP:

Предотвращение, обнаружение, реагирование

Решение Cisco AMP обеспечивает полную защиту конечных устройств, от блокирования вредоносных программ в точках входа до обнаружения, изолирования и устранения угроз повышенной сложности в случае обхода первой линии защиты и проникновения вредоноса в систему. Для обнаружения вредоносной активности используется более 10 различных движков — от сигнатур или песочницы до машинного обучения и индикаторов компрометации, от сопоставления потоков устройств и детектирования бесфайловых угроз до обнаружения угроз, использующих легальные возможности ПК (например, PowerShell), и анализа уязвимостей на компьютере, используемых вредоносным кодом.

Углубленный мониторинг и запись

Решение Cisco AMP для конечных устройств предоставляет возможность углубленного мониторинга активностей на уровне исполняемых файлов на всех конечных устройствах, что позволяет быстро обнаруживать сложные вредоносные программы, оценивать масштаб вторжения и незамедлительно принимать меры по устранению. При обнаружении вредоносных действий Cisco AMP отображает сохраненную историю поведения вредоноса: его источник, местонахождение и действия.

Аналитика угроз и технология песочницы

Cisco AMP использует облачную (публичное облако Cisco или частное облако на территории заказчика) аналитику больших объемов данных, постоянно оценивая новые и исторические данные, собираемые в целях выявления скрытых атак. А также использует безопасную среду для выполнения, анализа и тестирования поведения вредоносной программы, помогая обнаруживать ранее неизвестные угрозы, угрозы нулевого дня. Расширенные функции песочницы реализуют автоматизированный статический и динамический анализ файлов, используя более 700 индикаторов поведения, что позволяет выявлять скрытые угрозы

Широкий охват конечных устройств

Cisco AMP защищает конечные точки под управлением Windows, macOS, Android, Linux и iOS. Cisco AMP выполняет часть операций по анализу в публичном или частном облаке, а не на самих конечных устройствах, тем самым не снижая производительность устройств.

Интегрированный центр управления

Cisco AMP автоматически сопоставляет данные о событиях в системе безопасности из разных источников, например, события о вторжении или данные о вредоносах, чтобы помочь командам по обеспечению безопасности связать события с более крупными, скоординированными атаками. Cisco Unity позволяет собирать, анализировать, коррелировать события безопасности от компонентов Cisco AMP for Endpoints, Cisco AMP for NGFW, Cisco AMP for NGIPS, Cisco AMP for Email Security, Cisco AMP for Web Security и пр. Еще один компонент Cisco Visibility позволяет коррелировать данные об угрозах, полученные от Cisco AMP for Endpoints с событиями безопасности от других средств защиты, развернутых в корпоративной сети, а также обогащать их данными из внешних источников Threat Intelligence компании Cisco или из иных источников (например, VirusTotal). Для интеграции с решениями сторонних производителей (например, SIEM) Cisco AMP4E обладает развитым API.

Подробнее с решением Cisco Advanced Malware Protection можно ознакомиться здесь.

Cyberbit EDR

Cyberbit EDR — система обнаружения и реагирования для конечных устройств, которая обнаруживает и предотвращает появление неизвестных угроз, в том числе программ-вымогателей, за считанные секунды, а также предоставляет расширенные возможности для проведения экспертизы и обнаружения различных угроз. Благодаря машинному обучению, анализу вредоносных программ, поведенческой аналитике и больших массивов данных по событиям на ИТ-сети Cyberbit EDR может быстро находить угрозы, с которыми не справляются традиционные системы ИБ, и автоматизировать процесс обнаружения угроз, экономя при этом рабочее время аналитиков.

Рисунок 18. Интерфейс решения Cyberbit EDR

Cyberbit выделяет следующие функциональные преимущества в отношении своего решения Cyberbit EDR:

Обнаружение неизвестных целевых атак в реальном времени

Платформа Cyberbit EDR использует алгоритмы машинного обучения, которые обеспечивают возможность обнаружения целевых атак, которые не удается определить с помощью традиционных средств ИБ. Автоматизируя в значительной степени процесс обнаружения следов атак, недокументированных вложений, что помогает ИБ-аналитикам экономить время на расследование.

Анализ угроз

Анализ угроз с помощью инструментов анализа Big Data и экспертизы обеспечивает быстрый доступ к предварительно обработанным детализированным данным для более эффективного контроля и быстрого обнаружения.

Быстрое реагирование, профилактика и борьба с программами-вымогателями

Cyberbit EDR позволяет аналитикам легко и быстро реагировать на несанкционированные действия конкретного конечного устройства или целой сети. Платформа автоматически обнаруживает и блокирует программы-вымогатели, предотвращает шифрование и обеспечивает резервное копирование важных данных, прежде чем будет нанесен ущерб.Тем самым позволяет сократить время, отводимое на процесс ручного анализа, за счет просмотра всего сюжета инцидента, осуществляемого с целью выявления его первопричины и принятия ответных действий и предупредительных мер.

Повышение эффективности работы команды

Cyberbit EDR определяет приоритет угроз, отфильтровывает ложные срабатывания и визуализирует результаты автоматизированного поиска угроз, для возможности эффективного реагирования на наиболее актуальные угрозы, с минимальным отвлечением специалистов.

Открытая и настраиваемая платформа

Cyberbit предоставляет расширенный API для настройки пользовательских интерфейсов, дополнительных функций, и импорта/экспорта данных в продукты сторонних разработчиков.

Подробнее с решением Cyberbit EDR можно ознакомиться здесь.

FireEye Endpoint Security

FireEye Endpoint Security — защита рабочих станций от современных киберугроз. Обеспечивает сотрудников информационной безопасности надежным инструментом для обнаружения, анализа и расследования инцидентов в кратчайшие сроки по сравнению с традиционными подходами. Решение позволяет быстро и точно принимать меры относительно событий на конечных станциях, а также позволяет объединить активности, которые производятся на уровне сети и на уровне рабочих мест, что позволяет сократить временные затраты на восстановление в связи с инцидентом информационной безопасности.

Рисунок 19. Интерфейс решения FireEye Endpoint Security

Основные функциональные возможности, которые FireEye выделяет в своем решении FireEye Endpoint Security:

Мониторинг и подтверждение угроз

  • подтверждение угроз, обнаруженных сетевыми устройствами путем корреляции их с событиями на рабочих станциях;
  • мониторинг всех хостов на предмет угроз, обнаруженных в периметре или идентифицированных другими платформами безопасности;
  • запрос необходимых данных с конечной станции вплоть до полного образа диска (RAW) конечной станции;
  • обеспечение непрерывной защиты информации за пределами корпоративной сети, даже при отсутствии доступа к интернету.

Блокирование угроз

  • блокирование взломанных рабочих станций для немедленного прерывания атаки;
  • блокирование угроз, как с известной сигнатурой (AV), так и неизвестных по техникам эксплойта (ExploitGuard);
  • обеспечение доступа к системе для расследования инцидента безопасности с возможностью гарантировать нормальную работу рабочей станции с доверенными IP-адресами.

Интеграция с другими платформами FireEye

FireEye Endpoint Security использует индикаторы компрометации (IOC), полученные с других платформ FireEye (Email Security, Network Security, File Content Security, Malware Analysis), для оперативного обнаружения атак на конечных станциях. В процессе постоянного мониторинга всех рабочих станций, решение FireEye Endpoint Security позволяет коррелировать уведомления с сетевых устройств с событиями на рабочих местах.

Подробнее с решением FireEye Endpoint Security можно ознакомиться здесь.

Обзор решения FireEye Endpoint Security на нашем сайте.

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response (Kaspersky EDR) от «Лаборатории Касперского» — решение по обнаружению и реагированию на передовые киберугрозы на конечных точках. Решение предназначено для проведения глубокого анализа состояния рабочих станций и серверов. Направлено на поиск признаков возникновения инцидентов, дальнейшего их централизованного расследования и применения оперативных мер по сдерживанию распространения сложных угроз. Kaspersky EDR помогает выявить сложные угрозы, максимально быстро восстановить работоспособность затронутых рабочих станций и серверов, что позволяет сократить стоимость ликвидации инцидента и убытки от простоя.

Kaspersky EDR может поставляться как отдельный продукт, так и в рамках расширения функциональных возможностей решения Kaspersky Security для бизнеса (Kaspersky Endpoint Security). Тем самым обеспечивается полный цикл защиты конечных точек, начиная от автоматического блокирования менее комплексных угроз до обнаружения и реагирования на продвинутые угрозы, без необходимости установки дополнительных агентов. Также может работать совместно с сертифицированным ФСТЭК России и ФСБ России специализированным решением по противодействию передовым угрозам и целенаправленным атакам на сети Kaspersky Anti Targeted Attack, предоставляя заказчикам единую специализированную платформу по противодействию целенаправленным атакам и передовым угрозам. Поддерживает многоуровневый контроль возможных точек проникновения в инфраструктуру включая не только сеть, почту, веб-ресурсы, но и конечные точки. Kaspersky Anti Targeted Attack и Kaspersky EDR построены на единой технологической платформе, на одной инсталляционной базе и управляются из унифицированного интерфейса. Используется единая база вердиктов и механизмов обнаружения, единый центр анализа целенаправленных атак с возможностью корреляции событий и ретроспективного анализа, что позволяет существенно сократить время на поиск и устранение сложносоставных угроз.

Рисунок 20. Интерфейс решения Kaspersky Endpoint Detection and Response

«Лаборатория Касперского» выделяет следующие функциональные возможности и преимущества своего решения Kaspersky Endpoint Detection and Response:

Передовые возможности обнаружения на основе машинного обучения

Подсистема машинного обучения и анализатор целенаправленных атак (Targeted Attack Analyzer) в Kaspersky EDR позволяют выявлять отклонения в поведении рабочих станций и процессов от исходного значения нормального поведения. А также позволяет соотносить вердикты от разных технологий анализа (антивирусный движок, IoC-сканирование, передовая песочница, Yara-правила, поиск угроз (Threat Hunting), Threat Intelligence и др.) с ретроспективными данными и телеметрией, поступающей в режиме реального времени.  Тем самым формируется многоуровневый подход к анализу угроз и выявлению потенциальных вторжений или уже развивающихся целенаправленных атак.

Сбор данных и контроль

Kaspersky EDR помогает специалистам ИБ собирать и анализировать огромные объемы информации, так или иначе связанной с безопасностью рабочих станций и серверов, не снижая производительности работы пользователей конечных устройств. Полученные с помощью решения сведения об инцидентах безопасности позволяют быстро принимать необходимые меры по реагированию.

Адаптивное реагирование

Kaspersky EDR поддерживает ряд автоматизированных ответных мер: сдерживание инцидентов, прерывание процессов, карантин и восстановление из карантина, удаление вредоносных объектов, восстановление работоспособности и пр. Оперативные меры по реагированию на инциденты уменьшают их негативное влияние на бизнес-процессы, сокращают время простоев и пр.

Активный поиск угроз

Kaspersky EDR в режиме реального времени ищет признаки инцидентов по централизованной базе угроз и индикаторы компрометации (IoC) на каждом рабочем устройстве сети. За счет автоматизации ключевых задач по выявлению угроз и реагированию на них упрощает расследование и управление инцидентами. Вместо пассивного ожидания уведомлений специалисты могут самостоятельно искать и блокировать угрозы, проверяя конечные устройства на аномалии и нарушения безопасности. А также могут воспользоваться круглосуточным сервисом от «Лаборатории Касперского» по мониторингу и реагированию на инциденты Kaspersky Managed Protection и доступом к порталу глобальной базы аналитических данных об угрозах Kaspersky Threat Intelligence Portal.

Поддержка полностью локального исполнения решения для изолированных сетей, соблюдение требований

Kaspersky EDR включает локально размещаемую передовую песочницу, которая позволяет автоматически извлекать объекты с рабочих мест для глубокого анализа, работая параллельно с другими продвинутыми механизмами обнаружения. При необходимости строгого соответствия ИБ-требованиям в вопросе обработки критичных данных, «Лаборатория Касперского» может поставлять полностью изолированное решение без потери качества обнаружения, предоставляя локальную базу угроз, все преимущества облачной Threat Intelligence, без передачи данных за пределы корпоративного контура.

Также Kaspersky EDR позволяет вести постоянный мониторинг и запись инцидентов, что в совокупности позволяет соблюдать строгие требования, выставляемые внешними и внутренними регуляторами, а также в частности быть нацеленным на соответствие №187-ФЗ и ГосСОПКА.

Подробнее с решением Kaspersky Endpoint Detection and Response можно ознакомиться здесь или в обзоре Kaspersky Threat Management and Defense (KTMD). Часть 1 — Основные возможности и Часть 2 — Сценарии использования.

Microsoft Advanced Threat Protection в Защитнике Windows

Advanced Threat Protection (ATP) в Защитнике Windows обеспечивает профилактическую защиту от угроз, позволяет обнаруживать атаки и выявлять угрозы, в том числе эксплойты нулевого дня, используя современные возможности анализа поведения и машинного обучения.  А также предоставляет функциональность по расследованию и реагированию. Advanced Threat Protection (ATP) в Защитнике Windows глубоко интегрирован в операционную систему Windows 10 и не требует агента. Датчики поведения конечных точек, встроенные в Windows 10, собирают и обрабатывают поведенческие сигналы из операционной системы (например, процессы, реестр, файлы и сетевые подключения) и передают эти данные в изолированный облачный экземпляр ATP в Защитнике Windows.

Рисунок 21. Интерфейс решения Advanced Threat Protection в Защитнике Windows

Microsoft выделяет следующие функциональные возможности и преимущества своего решения Advanced Threat Protection (ATP) в Защитнике Windows:

Определение расширенных атак

Поддержка возможности поиска атак, которые преодолели традиционные средства защиты (обнаружение после взлома). Использование больших данных, машинного обучения и уникальной оптики Microsoft по всей экосистеме Windows позволяет преобразовывать поведенческие сигналы в аналитические данные для выявления угроз и дальнейших оповещений с предложениями рекомендуемых действий по реагированию.

Расследования и устранение последствий

Возможность в визуальном режиме изучать следы вторжения на конечных точках и оценки масштаба взлома, а также оперативно выполнять поиск и анализ исторических данных с клиентских устройств (до 6 месяцев). Полученные дополнительные сведения с любого компьютера при расследовании способствуют более оперативному реагированию на угрозы и предотвращению повторного заражения.

Встроенная база данных аналитики угроз

Система анализа угроз, созданная специалистами Microsoft совместно с предоставленной аналитикой угроз партнерами, позволяет ATP в Защитнике Windows определять используемые злоумышленниками средства, приемы и процедуры и формировать оповещения, как только в собранных данных датчиков будут появляться какие-то сомнительные признаки.

Взаимодействие

ATP в Защитнике Windows работает с существующими технологиями защиты Windows на конечных точках, таких как антивирусная программа Защитник Windows, AppLocker и Device Guard в Защитнике Windows. Поддерживается также одновременная работа со сторонними решениями безопасности и продуктами защиты от вредоносных программ.

Подробнее с решением Advanced Threat Protection (ATP) в Защитнике Windows можно ознакомиться здесь.

Palo Alto Networks Traps

Palo Alto Networks Traps — это решение, способное предотвращать атаки с использованием эксплойтов, вредоносных исполняемых файлов еще до выполнения каких-либо злонамеренных действий на рабочих станциях и серверах.

При попытке атаки агенты Traps на рабочих станциях сразу же блокируют злонамеренные операции, завершают процесс и информируют о предотвращении угрозы. Далее Traps собирает подробные аналитические данные, включающие название вредоносного процесса, состояние памяти во время блокировки и другую информацию и предоставляет отчеты.

Рисунок 22. Интерфейс решения Palo Alto Networks Endpoint Security Manager (консоль управления агентами Traps)

Palo Alto Networks выделяет следующие функциональные преимущества в отношении своего решения Traps:

Защита от вредоносных исполняемых файлов Traps позволяет не только защититься от эксплойтов, скрытых в файлах данных или запускаемых по сети, но и использует комплексный подход для предотвращения запуска вредоносных исполняемых файлов. Механизм Traps для защиты от вредоносных программ сочетает ограничения на базе политик, анализ файлов в песочнице WildFire™ и защитные модули, которые позволяют избежать запуска вредоносных исполняемых файлов, например криптолокеров. Одновременное использование всех методов значительно повышает уровень защиты от вредоносных программ.

Анализ и предотвращение запуска исполняемых файлов с помощью WildFire

Интеграция с WildFire позволяет задавать детализированные параметры запуска и одновременно использовать динамические политики безопасности с автоматическим анализом неизвестных исполняемых файлов. Если на рабочей станции появился новый исполняемый файл, Traps может незамедлительно отправить хеш-код файла в WildFire для идентификации. Если WildFire сообщит о том, что файл является вредоносным, Traps предотвратит его запуск и не позволит этому файлу нанести какой-либо ущерб. Поскольку загружать файлы в WildFire может как Traps, так и межсетевые экраны нового поколения, происходит эффективный обмен данными об угрозах.

Также благодаря интеграции с облаком песочниц WildFire клиентам доступна обширная экосистема по анализу угроз, участники которой ежедневно загружают в нее более миллиона образцов и обмениваются информацией о новых угрозах нулевого дня со всем миром. За счет автоматической загрузки и анализа неизвестных исполняемых файлов возможно анализировать каждый новый исполняемый файл на рабочей станции.

Модули защиты от вредоносных программ

Если вредоносный файл все-таки запустился, его действия все равно можно заблокировать при помощи модуля защиты от вредоносных программ. В отличие от модулей предотвращения эксплойтов, защитные модули выполняют поиск стандартных алгоритмов, используемых многими типами программ-злоумышленников. Например, они предотвращают внедрение вредоносного кода в доверенные приложения.

Сбор аналитических данныхОбширную информацию можно получить при помощи агента Traps. Агент постоянно записывает подробные сведения по каждому запускаемому процессу. Кроме того, агент выдает предупреждения при обнаружении попыток остановить работу Traps, удалить программу или иным образом вмешаться в ее функционирование. После предотвращения атаки с рабочей станции можно собрать дополнительную информацию, например, сделать снимок памяти и зафиксировать действия, предпринятые вредоносным кодом. Сделав снимок, Traps выполняет вторичный анализ содержания инцидента и ищет в памяти возможные следы злонамеренных действий.

Защита любых приложений от эксплойтов

 За счет того, что решение Traps отслеживает техники работы эксплойтов, а не сигнатуры отдельных экземпляров кода, оно может позволить пользователям обеспечить безопасность сотен специализированных приложений.

Простота управления и минимальные затраты ресурсов

Агент может оставаться полностью незаметным для конечных пользователей, не снижая производительности и не затрагивая работу программ.

Важно, что решение Traps не требует постоянно его обновлять, т. к. выполняет обнаружение именно техник эксплуатации уязвимостей, а новые техники атак обнаруживают 1-2 раза в год.

Дополнительно отметим, что компания Palo Alto Networks недавно приобрела израильскую компанию Secdo и планирует использовать их решение по выявлению угроз и реагированию на киберинциденты на конечных точках для усиления своего решения Traps и также для усиления позиции на рынке.

Подробнее с решением Traps можно ознакомиться здесь.

Symantec Advanced Threat Protection

Symantec Advanced Threat Protection (ATP: Endpoint) — решение по защите от сложных и целенаправленных угроз на уровне конечных точек, обеспечивающее полный цикл безопасности от предотвращения простых угроз до обнаружения и реагирования на более сложные:

  • Блокировка угроз на различных этапах атаки с минимальным числом ложных срабатываний
  • Выявление аномалий и расследование подозрительных событий
  • Оперативное отражение комплексных атак и последствий от них на всех конечных точках

ATP: Endpoint использует функции EDR, встроенные в продукт Symantec Endpoint Protection (SEP), без необходимости установки дополнительных агентов. Для обнаружения сложных комплексных атак в ATP: Endpoint применяются передовые технологии машинного обучения и поведенческого анализа, минимизирующие число ложных срабатываний и открывающие доступ к ресурсам глобальной сети анализа угроз GIN (Global Intelligence Network). Функциональность SEP Deception, позволяющая имитировать фейковую активность на хостах с целью приманки и обнаружения целевых атак, доступна в рамках лицензии на решение SEP.

ATP: Endpoint — это часть платформы Advanced Threat Protection (ATP), которая дает возможность сопоставлять данные от других модулей по мониторингу сети и электронной почты (ATP: Endpoint, ATP: Network и ATP: Email) и автоматически устанавливать взаимосвязи между событиями для выявления сложносоставных угроз.

Все компоненты решения ATP имеют также возможность отправки подозрительных файлов на анализ в облачную (Symantec CYNIC) или внутреннюю (Symantec Blue Coat) песочницу (Network Sandbox), что позволяет получать оперативную информацию по zero-minute атакам, а также синхронизировать поток данных по неизвестным угрозам между решениями безопасности внутри компании.

ATP: Endpoint позволяет аналитикам не только быстро находить и изолировать зараженные конечные точки, но и исследовать угрозы с использованием локальных ресурсов или облачной изолированной среды. Непрерывная запись всех действий на конечных точках позволяет точно знать, что на них происходит, и запрашивать информацию в режиме реального времени. Решение позволяет очень быстро удалить вредоносные программы и связанные с ними артефакты с зараженных конечных точек.

Рисунок 23. Интерфейс решения Symantec Advanced Threat Protection (ATP: Endpoint)

Symantec выделяет следующие функциональные преимущества в отношении своего решения Symantec Advanced Threat Protection (ATP: Endpoint):

Аналитика угроз

Объединяет глобальные телеметрические данные, полученные из источников аналитических данных о кибербезопасности, с локальными данными клиента на уровне конечных точек, сетей и электронной почты, что позволяет успешно обнаруживать атаки, которые невозможно выявить стандартными методами. Технология сопоставления данных Synapse объединяет аналитическую информацию из различных контрольных точек для выявления зараженных систем, требующих незамедлительного устранения угроз.

Обеспечивает быстрый поиск любых артефактов атак, при необходимости подозрительные файлы могут быть извлечены из любой конечной точки для дальнейшей проверки.

Расследование подозрительных событий

Symantec EDR ведет постоянный анализ подозрительных действий, чтобы не упустить угрозы, которые все же смогли обойти предыдущие линии обороны. Сочетая возможности глобальной сети анализа угроз со знанием локальной конфигурации конечных точек, Symantec EDR предоставляет подробные сведения о каждой просочившейся угрозе. Symantec EDR автоматически отслеживает появление индикаторов компрометации (IoC) и предупреждает специалистов по безопасности, что на организацию предпринята целенаправленная атака. Кроме того, аналитики имеют возможность искать конкретные артефакты, проверять все конечные точки на наличие определенных IoC, включая графическую иллюстрацию взаимосвязей таких индикаторов между собой.

Визуализация и быстрое исправление

Централизованное представление всей необходимой информации об атаке без необходимости выполнять поиск вручную. Поддержка быстрого устранения составных компонентов атаки, включая задействованные файлы, электронные адреса, IP-адреса веб-сайтов, содержащих вредоносный код. Поддерживается возможность вести черные списки и помещать конечные точки в карантин. После обнаружения вредоносного кода Symantec EDR быстро удаляет все компоненты атаки или блокирует их исполнение на всех конечных точках. Поддерживается возможность изолирования зараженных конечных точек, а также настройка запрета на внутренние и/или внешние коммуникации.

Подробнее с решением Symantec Advanced Threat Protection (ATP: Endpoint) можно ознакомиться здесь.

Выводы

Рабочие станции и серверы в наше время продолжают оставаться самыми популярными точками проникновения в инфраструктуру злоумышленниками при организации ими направленных атак. Популярных систем класса Endpoint Protection Platform (EPP), которые создавались во времена совершенного другого ландшафта угроз и были направлены в основном на предотвращение массовых атак, уже становится недостаточно. Эти решения не ориентированы на противодействие сложным и комплексным угрозам на конечных точках, что свидетельствует о необходимости дополнительных инвестиций в специализированные продукты класса Endpoint Detection and Response (EDR) для расширенного обнаружения на базе передовых технологий и последующего реагирования на найденные сложные угрозы. Только совместное использование этих двух технологий и баланса между собственной экспертизой и использованием сторонних сервисов позволит организациям добиться действительно высоких показателей защиты своих конечных устройств и тем самым повысить безопасность компании в целом в эпоху быстро растущего числа и сложности передовых угроз и целенаправленных атак.

www.anti-malware.ru

Что такое Bluetooth

Покупая мобильный телефон или смартфон, хочется, чтобы и начинка, и программное обеспечение у аппарата для его цены были самые лучшие. Наличием Bluetooth нынче никого не удивишь, а вот версии у него бывают разные. А чем эти версии отличаются кроме цифрового обозначения? Так ли важно, чтобы версия была самая последняя?

Интересным словом Bluetooth называют протокол для обмена информацией на небольших расстояниях. Зона покрытия у него по сравнению с Wi-Fi довольно скромная (максимум 100 метров, и то в лучшем случае, если у вас последняя версия), да и скорость передачи данных невысока. Но эти минусы компенсируются низким энергопотреблением и высокой скоростью соединения (т. н. спаривания) телефонов.

Bluetooth – весьма старая технология на IT-рынке; первая версия (1.0) появилась на свет в далеком 1998 году. На данный момент она считается морально устаревшей, и ни в одном устройстве, имеющемся в продаже, не используется.

Версии Bluetooth

Следующая версия протокола – 1.2 – ныне тоже считается устаревшей, однако она верой и правдой служила пользователям телефонов гораздо дольше. Ее и сейчас можно встретить в некоторых дешевых мобильных устройствах китайского производства. Максимальная скорость передачи данных Bluetooth 1.2 составляет 721 Кбит/сек. Телефоны спариваются гораздо быстрее, находиться в сети можно анонимно. Данная версия протокола позволяет передавать не только музыку и картинки, но и другие виды файлов, а также сервисные данные.

 Появление технологии EDR, или Enhanced Data Rate, стало следующим шагом в развитии Bluetooth, причем довольно большим. Скорость передачи данных в теории возросла до 3 Мбит/сек, хотя на практике выше 2 Мбит/сек она обычно не поднималась. Эту технологию поддерживают две версии блютуз – 2.0, выпущенная в 2004 году, и 2.1, появившаяся на свет в 2007-м. Они практически полностью идентичны, отличаются лишь технологиями энергосбережения.

С Bluetooth 2.1 совместимы практически все имеющиеся в продаже мобильные телефоны, навигаторы, гарнитуры и др. устройства. Энергопотребление по сравнению с предыдущими версиями протокола упало почти в 10 раз, что сделало возможным массовое производство компактных гарнитур.

 Блютуз версии 3.0 появился в 2009 году, и с его появлением стала возможной передача информации с гораздо большей скоростью, чем раньше (технология HS, или High Speed). Совместимые с Bluetooth 3.0 + HS устройства оснащаются 2.1 + EDR (до 3 Мбит/сек), а также вторым модулем, который работает аналогично вайфаю и обеспечивает скорость до 24 Мбит/сек. Несмотря на похожий принцип работы, совместимости непосредственно с Wi-Fi нет.

 Технология HS при всех своих достоинствах имела один серьезный недостаток – высокое энергопотребления. Однако уже в 2010 году, когда появилась Bluetooth 4.0, он был исправлен. Чип этой версии присутствует во всех топовых смартфонах и планшетах, а также в большинстве ультрабуков. Передавать данные можно на расстоянии до 100 метров со скоростью до 30 Мбит/сек.

Стоит, однако, отметить, что не все возможности данного стандарта Bluetooth являются обязательными. Так, возможность длительной автономной работы (функция Bluetooth Low Energy) поддерживается только самыми новыми устройствами.

Большинство периферийных устройств, таких как гарнитуры, навигаторы и пр., поддерживает Bluetooth 2.1 + EDR, так что если ваш аппарат поддерживает ту же версию, все будет в порядке. Хотя некоторые устройства могут поддерживать другие версии протокола. Так, отладочные часы Texas Instruments MetaWatch, отображающие на дисплее разнообразную информацию о смартфоне, поддерживают Bluetooth 4.0. Чтобы все работало, ваш аппарат должен поддерживать ту же версию.

Если для вас важна высокоскоростная передача информации, тогда вам нужен Bluetooth версии 3.0 или 4.0 на обоих аппаратах. Хотя высокой скорости передачи данных можно добиться и за счет технологии NFC (функция S Beam в новых Samsung’овских смартфонах). Да и Wi-Fi Direct во многих случаях использовать целесообразнее, ведь эта функция поддерживается многими устройствами на базе ОС Android 4.0, а скорость передачи по сравнению с Bluetooth намного выше.

Bluetooth профили

С версиями Bluetooth разобрались; у каждой свои особенности – не спутаешь. И также не стоит путать версии блютуза с профилями. Профилем называют определенную активность, которая возможна на различных версиях протокола.

Профиль A2DP предусматривает возможность передачи файлов и стереозвука, которая доступна в версии Bluetooth 1.2 и выше. Однако каждый конкретный аппарат может располагать своим набором профилей, так что какие-то действия, даже учитывая свежую версию блютуза, могут оказаться недоступными. Так, смартфоны на базе ОС Windows не поддерживают обмен информацией посредством Bluetooth, и пользователю придется прибегнуть к некоторым хитростям, если он желает задействовать эту возможность протокола.

ipkey.com.ua


Смотрите также