Что такое EDR?

Что такое EDR?

Endpoint Detection and Response – это новая платформа, способная обнаруживать атаки на рабочие станции, сервера, любые компьютерные устройства (конечные узлы) и оперативно на них реагировать.

Как показала практика, профилактика уязвимостей не может обеспечить 100% защиту. Когда не удается предотвратить атаку, организация остается уязвимой. Хакеры пользуются этим для того, чтобы задержаться и перемещаться внутри сети организации в течение нескольких недели или даже месяцев и при желании могут в любой момент вернуться.

В большинстве случаев организация узнает о нарушении от третьих лиц, таких как правоохранительные органы или его собственные клиенты или поставщики.

Когда наконец обнаруживается нарушение, организация-жертва может потратить несколько месяцев на исправление инцидента, поскольку ей не достает информации, необходимой для того, чтобы видеть и понимать, что именно произошло, как это произошло, как все исправить.

Имеется несколько причин возникновения таких неопрятных ситуаций. Во-первых, даже в историческом плане разработчики решений по информационной безопасности ставят акцент на предотвращение, а не на обнаружение. Во-вторых, часто организациям не хватает скорости реакции, как правило атаки происходят молниеносно. В-третьих, даже если компании следят за своими данными о безопасности, им может не хватить квалификации для анализа логов и отчетов.

Модель развития решений EDR

Бывают инциденты, которые существующая защита не может обработать должным образом, поэтому организациям нужны решения, которые могут быстро обнаруживать и исследовать потенциально вредоносные и подозрительные действия.

Это - то, где EDR входит в игру. Доступность играет решающую роль в EDR, в то время как устаревшие продукты безопасности ограничены либо блокировкой, либо разрешением, продукты EDR обладают возможностью записывать активность конечных точек и хранить их для потенциальных поисков и расследований.

Это дает командам безопасности доступность, необходимую им для обнаружения инцидентов, которые в противном случае оставались бы невидимыми. Но сбор данных - это только начало. Знание того, что делать с данными - и что искать в них - это следующая задача. Это требует не только опыта в области безопасности, но и времени для проведения поисков и означает оставаться в курсе последних показателей компромисса (МОК); текущая тактика, методы и процедуры противников (ТТП); и тенденции безопасности. Вот почему кажущаяся простота концепции EDR настолько обманчива: существуют огромные различия в способах ее реализации.

Каждая реализация может сильно различаться по объему и эффективности, о чем свидетельствует приведенная ниже модель развития EDR. 


Разницу между EDR и антивирусом можно посмотреть здесь


 

 Защита данных.jpg


«Без EDR» - Без EDR организации уязвимы для любых угроз, которые удается преодолеть с помощью существующих средств защиты. Это может привести к «молчаливому провалу», не подозревая об уязвимостях сети.

«Ограниченный EDR» - Улучшает ситуацию, так как события, которые собираются, также видны в отчетах. Однако бремя анализа лежит на команде безопасности. Они все еще должен знать, что именно искать в данных, к которым они имеет доступ, требуя как времени, так и опыта безопасности.

«Smart EDR» - В отличие от ограниченного или отсутствующего EDR интеллектуальная EDR выполняет анализ и автоматически обнаруживает инциденты в реальном времени, а также дает команде безопасности гибкость в выполнении собственных пользовательских запросов.

«Управляемый EDR» - Высочайший уровень зрелости EDR, управляемое обнаружение и реагирование обеспечивает максимальный уровень защиты, поскольку он позволяет организациям активно и непрерывно искать угрозы, а не пассивно ждать обнаружения.

Управляемая реализация обеспечивает немедленное и доступное решение 24/7, предлагающее необходимые навыки, знания и опыт, найденные только среди опытных экспертов по безопасности.


02.05.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
Министерство
НацБанк
сбер
 Monamie
ЦеснаГарант