Никто не растет сам по себе. Всегда есть информационные технологии, которые влияют на развитие предприятия.
Никто не растет сам по себе. Всегда есть информационные технологии, которые влияют на развитие предприятия.
Компания Positive Technologies, лидер в области результативной кибербезопасности, представила новый продукт для выявления киберугроз на конечных точках и реагирования на них — MaxPatrol EDR. Благодаря статическому и поведенческому анализу, экспертным правилам PT Expert Security Center (экспертный центр безопасности) и гибкой настройке правил обнаружения и реагирования, система выявляет сложные и целевые атаки в динамике. Это важно, когда злоумышленники маскируют свою активность в системе под легитимную. Кроме того, MaxPatrol EDR позволяет моментально останавливать вредоносные действия как вручную, так и автоматически. Презентация продукта состоялась на Positive Security Day 2023.
Систему можно установить на персональные компьютеры сотрудников, ноутбуки, виртуальные рабочие места или серверы. Она поддерживает популярные операционные системы (Windows, Linux, macOS), в том числе российские сертифицированные ОС. За счет экспертизы PT Expert Security Center MaxPatrol EDR выявляет различные виды атак, определяет топ-50 популярных тактик и техник злоумышленников для Windows и топ-20 для Linux-систем по матрице MITRE ATT&CK. Среди них — атаки с применением актуального вредоносного ПО, в том числе Agent Tesla, RedLine, njRAT, FormBook.
По данным исследований Positive Technologies, количество сложных и целевых атак в мире непрерывно растет. В частности, во II квартале 2023 года четыре из пяти кибернападений носили целенаправленный характер. Удобной мишенью для проникновения злоумышленников в инфраструктуру компаний до сих пор остаются конечные точки: в 90% успешных атак объектами были ноутбуки, стационарные компьютеры сотрудников, серверы. Киберпреступники используют их как «шлюзы» для подключения к корпоративной сети или бизнес-системам. Все чаще в таких атаках специалисты Positive Technologies отмечают применение новых хакерских техник и вредоносных программ (шифровальщиков, вайперов , а также специально созданного ВПО, модифицированного под определенные операционные системы), которые умеют обходить традиционные средства ИБ, установленные на компьютерах: антивирусы, системы защиты конечных точек (endpoint protection platform), узловые системы обнаружения вторжений (HIDS)).
Один из инструментов для противодействия сложным атакам — системы класса EDR. Они позволяют выявить действия злоумышленников, даже если использовались легитимные встроенные компоненты ОС (PowerShell, WMI, CMD, Bash), а следы присутствия скрыты. По результатам опроса , проведенного Positive Technologies, 14% российских компаний уже пользуются EDR- или XDR-решениями, 26% планируют такой проект и выбирают между системами нескольких производителей, а 30% понимают необходимость их приобретения, но пока им не хватает финансовых средств.
Среди сложностей в использовании продуктов для защиты конечных точек, представленных на рынке, опрошенные отметили отсутствие возможности гибко настроить глубину анализа, чтобы не перегружать узлы, большое количество ложных срабатываний, слабую поддержку операционных систем, а также низкий уровень обнаружения вредоносных программ.
«По данным экспертного центра безопасности Positive Technologies, APT-группировки из разных стран применяют схожий инструментарий, однако использование различных комбинаций тактик и техник в постоянно меняющихся условиях осложняет их обнаружение. Налаживание новых торговых путей и экономических связей с другими государствами открывает двери для ранее неизвестного в нашем регионе вредоносного ПО и группировок с других континентов. Антивирусные программы и другие традиционные средства защиты конечных точек не готовы к новым угрозам и вряд ли смогут оперативно адаптироваться, — комментирует Егор Назаров, руководитель по развитию направления защиты от комплексных атак Positive Technologies. — MaxPatrol EDR позволяет компаниям любого масштаба непрерывно защищать конечные точки на различных ОС. В отличие от классических EDR-решений, которые зачастую управляются оператором и не подразумевают обратной реакции при выявлении вредоносных действий, наша система обладает широкими возможностями по своевременному реагированию на узлах, в том числе в автоматическом режиме».
MaxPatrol EDR теперь можно приобрести как самостоятельный продукт. Также он по-прежнему является частью PT XDR — комплексного решения для расширенного обнаружения угроз и реагирования на них, которое Positive Technologies выпустила в 2021 году.
Система поддерживает совместную установку с другими средствами защиты. Ее агенты могут работать автономно, то есть проводить анализ и противодействовать угрозам на конечных точках даже в изолированных сетях, без обращения к серверу. За счет автоматизации рутинных задач и процессов реагирования повышается эффективность работы центров противодействия киберугрозам, а специалисты по ИБ получают возможность экономить ресурсы и время на первичном анализе, расследовании, сборе данных и остановке атак. Освободившееся время они могут посвятить более сложным задачам, например проактивному поиску угроз, обнаружению и анализу уязвимостей и харденингу инфраструктуры.
«Уже более 20 лет мы создаем собственные технологии и фокусируемся на том, чтобы специалистам по ИБ было удобно ими пользоваться. За счет гибкой настройки модулей обнаружения и политик MaxPatrol EDR хорошо адаптируется к разным типам инфраструктур и обеспечивает идеальный баланс между нагрузкой на узлы и задачами SOC, — рассказывает Дмитрий Нагибин, руководитель департамента разработки средств защиты станций и серверов Positive Technologies. — В его основе набор проверенных технологий, которые доказали свою эффективность в других наших решениях. Например, от системы мониторинга событий ИБ MaxPatrol SIEM мы позаимствовали технологию хранения телеметрии и механизм корреляции и нормализации событий на конечных точках сети, от PT Sandbox — анализ файлов статическим и динамическим методами, от системы управления уязвимостями MaxPatrol VM — механизм сканирования окружения на уязвимые места».
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.