Оглавление
- Цели, методы и участники исследования
- Основные результаты исследования
- Как компании оценивают свою защищенность от целевых атак
- Какие СЗИ компании используют для защиты
- Задачи при организации защиты
- Какие функции востребованы в продуктах класса EDR
- Сложности при построении защиты
- Как повысить качество защиты конечных точек
Цели, методы и участники исследования
Цель исследования — узнать, насколько российские компании защищены от целевых атак, как они выстраивают защиту конечных точек (компьютеров, серверов и сетевого оборудования), с какими трудностями при этом сталкиваются и на какие функции продуктов ИБ обращают внимание в первую очередь. В опросе, проводившемся в тематических СМИ и телеграм-каналах в конце 2023 года, приняли участие более 170 специалистов по ИБ и ИТ из российских компаний малого, среднего и крупного бизнеса.
Факты об опросе
В СМИ и телеграм-каналах про ИТ и ИБ
Более 170 человек
Специалисты по ИБ и ИТ из российских компаний
Крупный бизнес >5000 пользователей
Средний бизнес 250–5000 пользователей
Малый бизнес <250 пользователей
Основные результаты исследования
- 74% респондентов считают свои организации недостаточно защищенными от сложных и целевых атак.
- 76% оценили подход компании к защите конечных устройств с помощью комбинации различных продуктов ИБ как «серьезный».
- 73% называют обнаружение и предотвращение целевых атак наиболее важной задачей при построении защиты конечных точек.
- 24% считают, что для защиты конечных точек достаточно антивирусного решения, и не рассматривают другие СЗИ.
- 14% уже сталкивались с целевыми атаками на их компании.
Согласно исследованию Positive Technologies, в IV квартале 2023 года доля целевых атак на организации увеличилась до 78% от общего числа. Одной из причин такого роста стала неспособность традиционных средств защиты информации противодействовать таргетированным атакам. Применяемые в них шпионское ПО, шифровальщики, вайперы и другие зловреды могут проникать в контур компании, оставаясь незамеченными для антивирусов. Преобладание целевых кибератак наблюдается по всему миру, в том числе в Африке, Азии и на Ближнем Востоке.
Чаще всего таргетированным атакам подвергаются государственные учреждения, научные, образовательные, медицинские и финансовые организации, ИТ и телеком. А векторами проникновения в первую очередь становятся конечные точки: компьютеры, серверы и сетевое оборудование компаний.
В меняющемся ландшафте киберугроз важно научиться обнаруживать атаки на ранних этапах их развития. Это позволит значительно снизить затраты на восстановление работы. Например, такой способ, как шифрование данных ради откупа жертвы, применяется только на последней стадии атаки. В первую очередь злоумышленники пробуют достичь других целей: закрепиться в системе, подменить легитимные файлы зловредами, украсть данные, запустить процессы, которые усложнят процедуру восстановления после обнаружения атаки.
Как компании оценивают свою защищенность от целевых атак
Российские компании осознают необходимость защиты от целевых атак, поскольку их становится все больше, а последствия обходятся бизнесу очень дорого. Почти 80% наших респондентов серьезно относятся к выстраиванию защиты конечных точек, комбинируя разные решения. Такой подход чаще используют крупные организации со зрелым департаментом ИБ.
Эта тенденция прослеживается не только на российском рынке: в опросе Cybersecurity Insiders 85% организаций-респондентов также не исключают возможности такой атаки на свою инфраструктуру в ближайшие 12 месяцев.
Какие СЗИ компании используют для защиты
Для защиты конечных точек на рынке представлены различные средства: классические антивирусы, EP-платформы, EDR-решения и многие другие. При этом одного антивируса будет недостаточно для обнаружения целевых атак. Это решение работает на основе сигнатурного анализа уже известных угроз (например, троянов) и может пропустить атаку, развивающуюся по принципу цепочки (например, supply chain). Для покрытия большего спектра угроз необходима комбинация решений EPP и EDR.
Согласно отчету CyberRisk Alliance, решения класса EDR, наряду с EPP, — важная часть защиты конечных точек. Такой подход объясняется постоянно меняющимся ландшафтом угроз, способностью злоумышленников проникать глубже в инфраструктуру организаций и обходить классические средства защиты. Для большей киберустойчивости компании выбирают механизмы всесторонней защиты.
Таблица 1. Данные об использующихся и планирующихся к внедрению средствах защиты конечных точек в компаниях, принявших участие в исследовании CyberRisk Alliance
Уже используются | Запланированы на 2024 г. | Не планируются | |
---|---|---|---|
Технологии на базе ИИ или машинного обучения | 13% | 35% | 52% |
Выявление киберугроз и реагирование на них для конечных точек (EDR) | 72% | 20% | 9% |
Платформы для защиты конечных точек (EPP) | 55% | 20% | 25% |
Расширенные возможности обнаружения и реагирования (XDR) | 39% | 31% | 31% |
Технология унифицированного управления конечными узлами (UEM) | 39% | 27% | 35% |
[ Какие из этих технологий входят в стратегию защиты конечных точек вашей организации на 2023–2024 гг., какие из них планируется или не планируется добавлять? ]
Задачи при организации защиты
Своевременное обнаружение и предотвращение целевых атак и сложных угроз занимает первую строчку среди задач, возникающих при организации защиты конечных точек. Здесь важно использовать максимум телеметрии с узлов. Как правило, ее сбор осложняется разными источниками и техниками, а также проведением нормализации полученных данных. Но выявить инцидент недостаточно — необходимо быстро отреагировать на действия злоумышленников. EDR-решения отдают сгруппированную по событиям на основе поведенческого и статического анализа информацию и предлагают широкий выбор действий, в том числе автоматических. Они помогают автоматизировать рутинные задачи специалистов по ИБ, позволяя им решать более важные.
Примеры реагирования с помощью решения класса EDR:
- остановка процесса;
- удаление файлов;
- частичная или полная изоляция устройства;
- отправка подозрительных файлов на анализ;
- перенаправление DNS-запросов (sinkholing)
Главная задача для компаний при организации защиты конечных точек — своевременное обнаружение и предотвращение целевых атак и сложных угроз.
Кроме этого, еще одной важной задачей респонденты назвали выстраивание процесса проактивного поиска угроз. Он напрямую связан со сбором телеметрии с конечных точек, который осуществляют EDR-решения. В исследовании Sans Institute говорится, что 88,5% компаний используют EDR- и SIEM-системы в качестве инструментов для проведения threat hunting. В этом есть логика, ведь в таком случае складывается полная картина инцидентов внутри контура компании. Такая связка дает информацию по развитию инцидентов на каждой отдельной конечной точке.
Какие функции востребованы в продуктах класса EDR
Помимо очевидных возможностей мониторинга состояния узлов и реагирования на угрозы, респонденты отмечают возможность сбора данных из журналов операционных систем Windows, macOS и Linux. Поддержка последней в России является обязательной для любого агентского решения, так как в крупных компаниях все чаще встречаются гетерогенные сети, которые требуют дополнительной защиты на уровне узлов.
Топ-3 функций решения для защиты конечных точек:
Мониторинг состояния узла
Реагирование на узле
Сбор данных из журналов операционных систем Windows, Linux, macOS
Сложности при построении защиты
Среди основных сложностей при построении защиты конечных точек респонденты почти в равной степени выделяют три:
- Большая нагрузка на рабочие станции
Наверное, это самая «тяжелая» задача, ведь при большой нагрузке на рабочую станцию пользователю будет сложно работать с приложениями. Важно, чтобы агенты были «легковесными» и не перегружали конечные точки. - Невозможность гибко настроить глубину анализа событий
Часто вендоры поставляют «коробочный» продукт без возможности его кастомизации, полагаясь лишь на свою экспертизу. Клиенты же хотят сами определять глубину настройки анализа, чтобы максимально распределить нагрузку между своими системами. - Несовместимость агентов разных средств защиты
Если компания выбирает мультивендорный подход к выстраиванию информационной защиты, инструменты могут конфликтовать друг с другом: один агент удаляет другой, считая его зловредом, перегружает ОС и многое другое. Важно, чтобы разработчики задумывались о том, как «подружить» свои агенты с другими СЗИ.
Сложности при построении защиты конечных точек:
Большая нагрузка на рабочие станции
Невозможность гибко настроить глубину анализа событий
Несовместимость агентов разных средств защиты
Помимо проблем, указанных выше, в отчете Ponemon Institute респонденты также отмечают барьеры для выстраивания сильной защиты конечных точек:
- Отсутствие видимости полной картины на всех узлах.
- Отсутствие собственной экспертизы.
- Низкую скорость и недостаточную масштабируемость решений для защиты конечных точек.
Как повысить качество защиты конечных точек
Российские компании согласны с необходимостью защищать конечные точки, но трактуют эту защиту по-разному. Большинство используют только антивирус, тогда как ландшафт угроз требует внедрения более продвинутых решений. MaxPatrol EDR дает полную картину происходящего на узлах, позволяет выстроить цепочку атаки, обнаружить и моментально отреагировать на сложные современные угрозы, в том числе атаки нулевого дня.
Возможности продукта:
- Предоставляет богатый выбор действий для автоматического и своевременного реагирования: остановку процесса, удаление файлов, изоляцию устройства, отправку на анализ, перенаправление DNS-запросов (sinkholing)
- Обнаруживает атаки с использованием легитимных инструментов (PowerShell, WMI, CMD, Bash), которые могут пропустить традиционные средства защиты, основанные на сигнатурном анализе. Выступает в роли единого агента для обнаружения, реагирования, сбора телеметрии и информации об уязвимостях на узлах.
- Поддерживает работу на всех популярных операционных системах, включая российские, и в VDI-структурах.
- Продукт поставляется с набором экспертных правил PT Expert Security Center, благодаря чему способен выявлять угрозы, популярные тактики и техники злоумышленников из матрицы MITRE ATT&CK (топ-50 для Windows и топ-20 для Linux).
Совместное использование MaxPatrol EDR и других СЗИ даст возможность использовать экспертизу нескольких решений при предотвращении современных атак.
Для лучшего результата при выборе EDR-решения обращайте внимание на такие факторы, как поддержка популярных ОС, включая Linux, отсутствие чрезмерной нагрузки на конечные точки, возможность легко встроиться в гетерогенные среды и автономная работа агента. Глубина и тонкость настройки пользовательских правил и политик позволяют системе гибко встраиваться в инфраструктуру компании, не нарушая привычные процессы и не расходуя ресурсы ИТ-департамента. Кроме этого, важно выстроить в компании процесс threat hunting, чтобы выявлять кибератаки, которые не могут обнаружить традиционные средства защиты. Для этого необходимы продукты, которые будут собирать максимум телеметрии в своих сегментах и по возможности дополнять друг друга, обогащая информацией, необходимой для принятия качественных решений по инцидентам.