Что такое EDR?
Endpoint Detection and Response (Обнаружение и реагирование на угрозы конечной точки) класс решений, который помогает обнаруживать атаки на конечные устройства (рабочие станции, сервера IoT-устройства) и позволяет обеспечивать быстрый доступ к информации об атаке. Технология EDR постоянно мониторит и собирает информацию о конечных точках в режиме реального времени, а также защищает от бесфайловых и других атак.
Помимо предоставления доступа к информации, ключевая роль EDR заключается в том, чтобы помочь сотрудникам службы безопасности реагировать на атаки, помещая конечную точку в карантин, блокируя процессы или запуская сценарии автоматического реагирования на инциденты.
Решения EDR успешно дополняет решения класса EPP. Где в свою очередь решения EPP обеспечивают защиту от всех видов известных угроз и атак, а EDR позволяет вовремя реагировать, детектировать и расследовать, а также выявлять слабые стороны EPP для обеспечения эффективной безопасности. Следует отметить важную тенденцию рынка безопасности, где решения EDR обладают функционалом решений класса EPP и наоборот.
Основные характеристики инструментов EDR
Сбор данных с конечных точек в реальном времени.
Запись и хранение информации о всех совершенных действиях пользователей, активности и запускаемых программ для последующего анализа и расследования инцидентов.
Выявление и классификация подозрительной активности, и своевременное уведомление службы безопасности.
Блокировка атак (изолирование зараженных файлов, остановка подозрительных процессов, разрыв сетевых соединений).
Интеграция со сложными решениями по безопасности конечных точек (SIEM и другими средствами защиты).
Что такое EPP?
Защита конечных точек (EPP) направлена на предотвращение известных атак на основе существующих сигнатур. Брандмауэры, веб-фильтры, а также белые и черные списки приложений выявляют известные угрозы и останавливают их выполнение. Эти инструменты управляются централизованно и быстро развертываются. Однако EPP не предназначен для обнаружения неизвестных атак или атак нулевого дня, а также не обеспечивает видимости сети.Как выбрать EDR? На что обратить внимание?
Существует достаточное множество проблем безопасности конечных точек, от вредоносного ПО до кражи данных, доступа к сети и приложениям, и у каждой из них есть соответствующий элемент управления или продукт, который организации могут развернуть.
Решения EDR могут содержать множество различных технологий безопасности, поэтому составьте контрольный список того, что необходимо именно вам, и найдите поставщика, который наилучшим образом соответствует вашим требованиям.
Возможности EDR включают в себя:
Предотвращение потери данных (DLP) и защита от внутренних угроз
Управление уязвимостями
Белый список приложений и контроль
Управление идентификацией и доступом (IAM) и аутентификация
Контроль доступа к сети (NAC)
Классификация и защита данных
Управление привилегированными пользователями
VPN
Шифрование конечной точки
Шифрование Конечной Точки
Последний пункт заслуживает отдельного обсуждения. Шифрование может защитить данные от несанкционированного доступа, даже если устройство потеряно или украдено. Существует два основных типа шифрования конечных точек: полное шифрование и файловое. Оба типа шифрования могут использоваться вместе для обеспечения максимальной безопасности.
Системы EDR предлагают способ централизованного мониторинга и управления этим шифрованием. Примерно половина поставщиков EDR предлагают шифрование со своими продуктами либо как дополнительная опция продукта, либо как дополнительное решение. Некоторые следят за состоянием BitLocker — встроенного инструмента шифрования, входящего в состав Microsoft Windows. Но независимо от того, как вы его реализуете, шифрование становится обязательным для организаций всех типов и размеров.
