Решения для обеспечения безопасности конечных точек, иногда называемые просто антивирусными решениями, могут включать в себя различные базовые (традиционные) и современные (нового поколения) подходы к предотвращению угроз для конечных точек. При оценке систем безопасности важно искать решения, которые имеют полный набор методов для предотвращения широкого спектра угроз. Также важно понимать угрозы, которые вы пытаетесь предотвратить. О нюансах защиты конечных устройств мы поговорили с директором по развитию бизнеса компании iTech Group Ровшаном Акбаровым.

— Какие угрозы для конечных точек наиболее актуальны на сегодняшний день?
— Хотя ландшафт угроз постоянно развивается, я бы хотел поделиться некоторыми ключевыми опасностями для конечных точек, которые следует учитывать при оценке различных решений:

• Вредоносное ПО. При рассмотрении защиты конечной точки основной проблемой часто является вредоносное программное обеспечение. Вредоносное ПО включает в себя как известные, так и неизвестные ранее вредоносные программы. Часто решения по безопасности изо всех сил пытаются обнаружить неизвестное вредоносное ПО. Например, SophosLabs ежедневно обнаруживает около четырехсот тысяч неизвестных вредоносных программ. Решения должны уметь обнаруживать упакованные и полиморфные файлы, которые были изменены с целью, чтобы их было труднее идентифицировать.
• Потенциально нежелательные приложения (PUA): PUA — это приложения, которые технически не являются вредоносными программами, но, скорее всего, это не то, что вы хотели бы запустить на своем компьютере, например, рекламное ПО. Вопросы, связанные с обнаружением PUA, становятся все более важными с появлением программ криптомайнинга, используемых в атаках криптоджекинга.
• Программы-вымогатели: Каждый год огромное количество организаций страдает от программ-вымогателей. Двумя основными типами программ-вымогателей являются шифраторы файлов и шифраторы дисков (очистители). Наиболее распространены файловые шифраторы, которые шифруют файлы жертвы и удерживают их для выкупа. Дисковые шифраторы блокируют весь жесткий диск жертвы, а не только файлы, или полностью стирают его.
• Атаки на основе эксплойтов: Не все атаки основаны на вредоносных программах. В атаках на основе эксплойтов используются методы использования ошибок и уязвимостей программного обеспечения для получения доступа и контроля над вашим компьютером. «Заряженные» документы (как правило, файл Microsoft Office, который была создан или изменен для нанесения ущерба) и вредоносные сценарии (вредоносный код, часто скрытый в законных программах и на web-сайтах) являются распространенными инструментами, используемыми в подобных атаках. Другие примеры включают атаки из браузера (использование вредоносного ПО для заражения браузера, что позволяет злоумышленникам просматривать и управлять трафиком) и вредоносный трафик (использование web-трафика в преступных целях, таких как обращение к серверу управления и контроля).
• Технологии противника: Многие атаки на конечные точки включают несколько этапов и несколько методов. Примеры методов активного злоумышленника включают повышение привилегий (методы, используемые злоумышленниками для получения дополнительного доступа в системе), кражу учетных данных (кража имен пользователей и паролей) и скрытый код (сокрытие вредоносного кода внутри законных приложений).
  
  — И какие методы борьбы с этими опасностями существуют?
  — Я бы отметил существование как традиционных, так и современных методов. Постараюсь дать характеристики обоих подходов и объяснить разницу между ними. При том, что названия могут быть разными, существующие уже довольно давно антивирусные решения доказали свою эффективность против известных угроз. Есть множество базовых методов, на которые опирались традиционные решения для защиты конечных точек. Однако, по мере того как ландшафт угроз меняется, неизвестные угрозы, такие как никогда ранее не встречавшиеся вредоносные программы, становятся все более и более распространенными. Благодаря этому на рынок пришли новые технологии. Пользователи и организации должны искать сочетание как современных подходов, часто называемых безопасностью «следующего поколения», так и проверенных фундаментальных подходов. Некоторые их ключевые возможности включают в себя:

Базовые возможности:

• Защита от вредоносных программ/антивирусов: обнаружение известных вредоносных программ на основе сигнатур. Механизмы вредоносных программ должны иметь возможность проверять не только исполняемые файлы, но и другой код, например, вредоносный код JavaScript, обнаруженный на web-сайтах.
• Блокировка приложений: предотвращение злонамеренного поведения приложений, например, использование документа Microsoft Office, который устанавливает другое приложение и запускает его.
• Системы мониторинга поведения/системы предотвращения вторжений (HIPS): Эта основополагающая технология защищает компьютеры от неопознанных вирусов и подозрительного поведения. Она должна включать как анализ поведения перед выполнением, так и анализ поведения во время выполнения.
• Web-защита: поиск URL-адресов и блокировка известных вредоносных web-сайтов: В число заблокированных сайтов должны быть включены те, которые могут запускать JavaScript для выполнения криптомайнинга, а также сайты, которые собирают учетные данные для аутентификации пользователей и другие конфиденциальные данные.
• Web-контроль: web-фильтрация конечной точки позволяет администраторам определять, какие типы файлов пользователь может загружать из интернета.
• Предотвращение потери данных (DLP): если злоумышленник сможет остаться незамеченным, возможности DLP смогут обнаружить и предотвратить последнюю стадию некоторых атак, когда злоумышленник пытается эксфильтровать данные (вывести данные наружу). Это достигается путем мониторинга различных типов конфиденциальных данных.

Современные возможности:

• Машинное обучение: Существует несколько методов машинного обучения, включая нейронные сети с глубоким обучением, байесовский метод, кластеризацию и т.д. Независимо от методологии, механизмы обнаружения вредоносных программ с машинным обучением должны быть созданы для обнаружения как известных, так и неизвестных вредоносных программ, не полагаясь на сигнатуры. Преимущество машинного обучения заключается в том, что оно может обнаруживать вредоносные программы, которые никогда раньше не встречались, что в идеале увеличивает общую скорость обнаружения вредоносных программ. Организации должны оценивать уровень обнаружения, уровень ложных срабатываний и влияние решений на основе машинного обучения на производительность.
• Anti-exploit: Технология защиты от эксплойтов предназначена для защиты от злоумышленников путем предотвращения использования инструментов и методов, на которые они полагаются в цепочке атак. Например, такие эксплойты, как EternalBlue и DoublePulsar, использовались для запуска программ-вымогателей NotPetya и WannaCry. Технология защиты от эксплойтов останавливает относительно небольшой набор методов, используемых для распространения вредоносного ПО и проведения атак, отражая многие атаки нулевого дня, о которых раньше никто не знал.
• Специальная работа против программ-вымогателей: Некоторые решения содержат методы, специально разработанные для предотвращения злонамеренного шифрования данных программами-вымогателями. Часто специальные методы вымогателей также исправляют любые затронутые файлы. Решения для программ-вымогателей должны останавливать не только программы-вымогатели файлов, но и программы-вымогатели дисков, используемые в деструктивных атаках очистки, которые подделывают основную загрузочную запись.
• Защита от кражи учетных данных: технология, предназначенная для предотвращения кражи паролей аутентификации и хэш-информации из памяти, реестра и с жесткого диска.
• Защита процесса (повышение привилегий): защита, созданная для определения того, когда в процесс вставлен маркер привилегированной аутентификации для повышения привилегий в рамках активной атаки злоумышленника. Это должно быть эффективным независимо от того, какая уязвимость, известная или неизвестная, была использована для кражи токена аутентификации в первую очередь.
• Обнаружение конечных точек и реагирование (EDR): Решения EDR должны быть в состоянии предоставить подробную информацию при поиске трудноуловимых угроз, поддержании гигиены операций IТ-безопасности в отличном состоянии и анализе обнаруженных инцидентов. Важно, чтобы размер и набор навыков вашей команды соответствовали сложности и простоте использования рассматриваемого инструмента. Выбор решения, предоставляющего подробные сведения об угрозах и рекомендации, позволяет быстро и легко реагировать на угрозу.
• Расширенное обнаружение и реагирование (XDR): XDR выходит за рамки конечной точки и сервера, включая другие источники данных, такие как брандмауэр, электронная почта, облако и мобильные устройства. Он разработан, чтобы дать организациям целостное представление обо всей их среде с возможностью детализировать везде, где это необходимо. Вся эта информация должна быть сопоставлена в централизованном хранилище, обычно известном как «озеро данных», где пользователь может задавать критически важные для бизнеса запросы и получать ответы на них.
• Реагирование на инциденты/синхронизированная безопасность: Инструменты защиты конечных точек должны как минимум обеспечивать понимание того, что произошло, чтобы помочь избежать будущих инцидентов. В идеале они должны автоматически реагировать на инциденты без необходимости вмешательства аналитика, чтобы предотвратить распространение угроз или причинение большего ущерба. Важно, чтобы инструменты реагирования на инциденты взаимодействовали с другими инструментами безопасности конечных точек, а также с инструментами сетевой безопасности.
• Управляемое реагирование на угрозы (MTR): MTR обеспечивает круглосуточный поиск угроз, их обнаружение и реагирование на них командой экспертов в виде полностью управляемой услуги. Аналитики должны иметь возможность реагировать на потенциальные угрозы, искать индикаторы компрометации и предоставлять подробный анализ произошедших событий, где, когда, как и почему.

— Почему важно объединение нескольких методов для комплексной защиты конечных точек?

— При оценке решений для защиты конечных точек организации не должны просто искать одну основную функцию. Вместо этого необходимо искать набор работающих и надежных функций, которые охватывают как современные методы, такие как машинное обучение, так и базовые подходы, доказавшие свою эффективность. Также необходимо использование методики обнаружения и реагирования конечных точек (EDR) для расследования и реагирования на инциденты. Полагаться на одну доминирующую функцию, даже если она лучшая в своем классе, означает, что вы уязвимы для единой точки отказа. И наоборот, подход с многоуровневой защитой, при котором имеется набор нескольких надежных уровней безопасности, остановит более широкий спектр угроз. Это то, что мы часто называем «силой плюса» — сочетание базовых методов, машинного обучения, защиты от эксплойтов, защиты от программ-вымогателей, EDR и многого другого.
В рамках оценки безопасности конечной точки спросите у разных поставщиков, какие методы включены в их решение? Насколько силен каждый из их компонентов? Какие угрозы они призваны остановить? Они полагаются только на одну основную технику? Что, если это не удастся?
Решение для защиты конечных точек — это лишь часть общей стратегии безопасности. Сегодня организации должны выходить за пределы вопросов защиты конечных устройств и должны защищать всю окружающую среду. В идеале один поставщик предоставляет решения, которые работают вместе, чтобы обеспечить согласованную защиту и соблюдение политик во всей организации. Работа с одним поставщиком может обеспечить лучшую безопасность, сократить администрирование и снизить затраты.
Некоторые конкретные технологии, которые следует учитывать наряду с защитой конечных точек, включают полное шифрование диска, управление мобильными устройствами, мобильную безопасность, безопасный почтовый шлюз, защиту виртуальной среды и конечно же, синхронизированную безопасность между конечными точками и сетевыми устройствами.
Поскольку киберугрозы продолжают расти как по сложности, так и по количеству, как никогда важно иметь эффективную защиту на конечной точке. Понимание угроз, которые необходимо блокировать, и различных доступных технологий безопасности позволит вам сделать осознанный выбор средств защиты конечных точек и обеспечит вашей организации наилучшую защиту от современных атак.

— Что может предложить компания Sophos в ответ на такие требования рынка?

— Компания Sophos — это компания с многолетним опытом работы в области кибербезопасности. Она предлагает широкий спектр решений для защиты каждого компонента инфраструктуры своих заказчиков. Скажу вкратце лишь об одном из них, которое отвечает за комплексную защиту конечных точек.
Sophos Intercept X — это ведущее в отрасли решение Endpoint Security, которое уменьшает ландшафт атаки и предотвращает ее запуск. Сочетая защиту от эксплойтов, программ-вымогателей, ИИ с глубоким обучением и технологию управления, он останавливает атаки до того, как они повлияют на ваши системы. Intercept X использует комплексный, многоуровневый подход к защите конечных точек, не полагаясь на одну основную технику безопасности. Кроме того, Intercept X — единственное в отрасли решение XDR, которое синхронизирует собственную конечную точку, сервер, брандмауэр, электронную почту, облако и безопасность Office 365. Заказчик получает целостное представление о среде вашей организации с помощью богатейшего набора данных и глубокого анализа для обнаружения угроз, расследования и реагирования как для специализированных групп SOC, так и для IТ-администраторов.

Не вдаваясь глубоко в технические подробности, приведу лишь некоторые яркие возможности продукта:

• Останавливает неизвестные ранее угрозы с помощью искусственного интеллекта с глубоким обучением.
• Блокирует программы-вымогатели и возвращает уязвимые файлы в безопасное состояние.
• Предотвращает использование методов эксплойта, реализуемых по всей цепочке атак.
• Уменьшает поверхность атаки с помощью приложения, устройства и веб-контроля.
• Выполняет поиск угроз и гигиену безопасности IТ-операций с помощью XDR.
• Простота развертывания, настройки и обслуживания даже в удаленных рабочих средах.
• По желанию заказчика компания Sophos берет на себя обеспечение безопасности 24/7/365 в виде полностью управляемой услуги.

— А какую роль в вопросах внедрения решений Sophos заказчиками в Азербайджане играет компания iTech Group?

— Компания iTech Group работает на рынке страны уже более 20 лет, заслужив высокое доверие со стороны большого количества заказчиков. Один из основных постулатов нашей компании — это отношение к заказчикам не как к покупателям, а как к партнерам, совместно с которыми мы решаем задачи и активно участвуем в реализации каждого этапа проекта.
iTech Group является партнером компании Sophos уже не первый год, ежегодно наращивая уровень экспертизы и собственные компетенции. Мы с огромным удовольствием готовы организовать консультации совместно с вендором, предоставить демо и обеспечить полный цикл поддержки наших заказчиков.