Применение интегрированных систем для защиты конечных точек от комплексных кибератак и угроз различного типа может обернуться для предприятий определенными сложностями. Логика здесь простая – чем многограннее решение, чем больше защитных функций оно объединяет в себе, тем сложнее процесс его внедрения в существующую ИТ-инфраструктуру. Непросто будет в этом случае обеспечить и корректную совместную работу всех модулей интегрированного решения. Кроме того, запущенные одновременно защитные механизмы могут замедлять работу критически важных пользовательских систем. Зарубежные разработчики рассматривают различные варианты решения этих проблем. Наиболее перспективные из них предусматривают оперативный анализ процессов, коммуникаций и активностей, которые могут свидетельствовать о нарушении режима безопасности корпоративных ресурсов.
Одна из особенностей защитных систем нового поколения в том, что они могут собирать информацию о происходящем на устройствах как с помощью клиентских программных компонентов, так и без них. Компании оказываются перед выбором: отказаться от клиентских программ и собирать менее подробные сведения об угрозах или регистрировать массу деталей, но при этом иметь дело с трудностями развертывания, администрирования и обновления агентов.
Также нужны механизмы, позволяющие в огромном потоке собираемых данных выделять свидетельства происходящих вторжений. А как только атака обнаружена, приходится решать, каким образом остановить ее максимально быстро.
Сегодня на рынке множество разработчиков, пытающихся решить эти проблемы: крупные компании с широким продуктовым ассортиментом, например Cisco и EMC; представители рынка безопасности, такие как Bit9+Carbon, ForeScout, Guidance Software и Trend Micro; новички, предлагающие только средства защиты оконечных устройств, – Cylance, Light Cyber, Outlier Security и Tanium. Здесь представлена лишь небольшая выборка – рынок переполнен, и его участники предлагают различные способы решения перечисленных проблем.
Ценность платформ защиты оконечных устройств – в способности распознавать тип атаки и помогать оперативнее на нее реагировать. Распознавание осуществляется путем сбора информации о трафике, которым обмениваются оконечные и другие устройства в сети, а также об изменениях, указывающих на компрометацию. Журнал телеметрии, полученной от оконечных устройств, впоследствии становится инструментом экспертизы при расследовании атак, позволяющим выяснить, как именно они проходили, установить, каким устройствам нужна дезинфекция, и в некоторых случаях предсказывать дальнейшие угрозы.
Пользоваться ли агентами?
Главным возражением является то, что агент – это дополнительная программа, и ее надо устанавливать, администрировать и обновлять. Будучи частью защитных систем нового поколения, агенты собирают гигантские объемы информации об оконечных устройствах, которую иначе получить нельзя, но это же может быть и недостатком.
Агенты для конечных точек собирают так много данных, что некоторые атаки трудно отличить от «фонового шума», и важно, чтобы агент дополнялся аналитическим механизмом, способным справиться с подобным объемом информации, отмечает аналитик Gartner Лоренс Пингри.
Защитные платформы могут и без агентов собирать данные об активности оконечных устройств – просматривая трафик маршрутизаторов и коммутаторов, а также взаимодействуя с сетевыми сервисами Windows и инструментарием WMI. Так можно выяснить, кто находится в системе, что этот пользователь делает, уточнить наличие заплат и агентов безопасности, узнать, подключены ли устройства USB, какие запущены процессы и т. п.
Анализ позволяет выяснить, устанавливают ли устройства соединения, не предусмотренные штатным режимом работы, – это может служить признаком того, что атакующие нащупывают способ заразить машину и поднять себе привилегии.
Для агентов может потребоваться дополнительная административная консоль, что повышает уровень сложности и создает потенциальные затраты, отмечает Рэнди Абрамс, директор по исследованиям NSS Labs. Проблема, помимо прочего, и в совместимости – нельзя гарантировать, что агенты разных систем, скажем McAfee и Cylance, смогут сосуществовать.
Необходимо также обращать внимание на защищенность администрирования новых платформ, чтобы свести к минимуму инсайдерские угрозы. Предприятиям стоит выбирать систему защиты оконечных устройств, позволяющую назначать разные уровни доступа ИТ-специалистам в зависимости от их ролей.
Аналитические механизмы
Анализ ценен, но сложен – настолько, что его можно предоставлять в виде отдельного сервиса, как делает международная компания Red Canary, оказывающая услуги по защите оконечных устройств и предлагающая решения по обнаружению киберугроз. Вместо того, чтобы собирать данные об оконечных устройствах с помощью собственных агентов, она применяет «сенсоры» компании Bit9+CarbonBlack. Эти данные дополняются информацией от принадлежащих другим коллегам по отрасли служб разведки угроз и анализируются. При выявлении вторжений в сети клиентов генерируются соответствующие сигналы тревоги.
Аналитический механизм отмечает потенциальные проблемы, а затем люди проверяют отмеченные события, чтобы выяснить, являются ли они реальными угрозами. Автоматизация помогает корпоративным аналитикам по безопасности, так как уменьшает количество предупреждений, которые им приходится просматривать.
Аналитический механизм отмечает потенциальные проблемы, а затем люди проверяют отмеченные события, чтобы выяснить, являются ли они реальными угрозами
В компании Barkly разрабатывают агентскую программу для оконечных устройств, которая локально анализирует активность на каждом из них, автоматически блокирует вредоносную и уведомляет админов о принимаемых мерах.
Подобные механизмы необходимо соединять с крупными источниками разведывательных сведений об угрозах, позволяющими классифицировать атаки и без использования сигнатур обнаруживать активность, которая может окончиться взломом.
Обычно о возможностях системы распознавания и дезинфекции для оконечных устройств заранее можно узнать только то, что говорят ее разработчики. Поэтому на предприятиях стоит проводить собственные тесты, чтобы уточнить функционал и эффективность еще до покупки.
Дезинфекция
Средства распознавания для оконечных устройств собирают колоссальные объемы данных, которые можно использовать и тактически для остановки идущих атак, и для последующей экспертизы, позволяющей установить, как развивалось вторжение. Это дает возможность выяснить, каким устройствам нужна дезинфекция, и некоторые разработчики пытаются автоматизировать этот процесс: общая тенденция – устранять проблемы с помощью тех же платформ, которыми они обнаруживаются.
На предприятиях сталкиваются с тем, что оконечные устройства остаются уязвимыми, несмотря на защиту с помощью традиционных инструментов
На предприятиях сталкиваются с тем, что оконечные устройства остаются уязвимыми, несмотря на защиту с помощью традиционных инструментов, сейчас эволюционировавших в пакеты безопасности, которые одновременно реализуют функции антивирусов, систем распознавания и предотвращения вторжений и т. п. Здесь одна проблема порождает другую.
«Разработчики добавляют все новые продукты к традиционным комплексам для защиты оконечных устройств, что приводит к чрезмерному раздуванию объема программного обеспечения на них, – сетует Ларри Вайтсайд, директор по безопасности Речного управления Нижнего Колорадо. – Лишь благодаря росту скорости твердотельных накопителей и оперативной памяти эта масса ПО не сводит на нет быстродействие компьютеров».
Вайтсайд надеется решить проблему с помощью защитной системы нового поколения компании SentitelOne. По его убеждению, механизмы анализа активности эффективнее, чем традиционные защитные средства, реагирующие на сигнатуры известных вредоносов: «Я не говорю, что сигнатурные механизмы совсем никуда не годятся, но использовать их в качестве главной или единственной защитной системы нельзя. Их необходимо дополнять инструментами распознавания, работающими по принципу анализа поведения».
И это может быть даже важнее, чем гарантированная окупаемость, считает Вайтсайд: «Меня больше заботит сама возможность распознавания. Поэтому я даже, может, и не буду проводить анализ окупаемости. Я уверен в том, что своевременный переход на системы нового поколения принесет пользу организации».
Замена антивируса?
Разработчики защитных систем нового поколения еще не берутся утверждать, что их продукты могут стать заменой антивирусам, – несмотря на впечатляющие результаты тестов. Но ситуация может измениться. Могут исчезнуть нормативно-правовые помехи, мешающие разработчикам систем нового поколения расширять клиентуру, считает Джордж Курц, генеральный директор CrowdStrike: «Мы не сомневаемся в том, что в течение года нормативные требования, которые сейчас обязывают использовать антивирусы, начнут разрешать и применение новых систем защиты оконечных устройств».
Хотя все внимание сейчас сосредоточено на вредоносах, их доля в общем количестве угроз составляет только 40%. Остальное Курц называет «безвирусными вторжениями», приводя в пример инсайдерские хищения, когда атакующие, у которых есть законные права доступа, крадут информацию без использования вредоносов.
Но пока предприятиям придется выполнять требования о применении антивирусов, пусть даже другие платформы и обеспечивают более надежную защиту – в каких-то случаях юридическая защищенность даже важнее, чем способность защититься от атак.
А пока пользователями защитных систем нового поколения, скорее всего, будут крупные предприятия, поскольку на малых предпочтут не тратиться одновременно на антивирусы и более современные средства. Тем не менее даже для малых предприятий затраты могут быть оправданными – потери из-за утраченной информации могут оказаться больше, чем расходы на защиту, напоминают эксперты.
– Tim Greene. Next-generation endpoint protection not as easy as it sounds. Network World. 07/20/2015