Защищенность конечных устройств в российских компаниях

Конечное устройство — физическое или виртуальное устройство, которое подключается к компьютерной сети и обменивается с нею данными.

Инцидент — нарушение или неизбежная угроза нарушения политик ИБ, политик допустимого использования или стандартных практик ИБ.

Патч-менеджмент — управление обновлениями или патчами для приложений, важный аспект кибербезопасности. Включает в себя идентификацию, получение, установку и проверку программных приложений и исправлений систем.

Сложная атака — хорошо организованная, тщательно спланированная кибератака, направленная на конкретную компанию или целую отрасль. В ходе нее злоумышленник получает несанкционированный доступ к сети, закрепляется в инфраструктуре и долго остается незамеченным.

Endpoint Protection Platform, EPP — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Имеет возможности антивирусной защиты.

Endpoint Detection and Response, EDR — класс решений, предназначенный для обнаружения и реагирования на продвинутые угрозы.

Extended Detection and Response, XDR — унифицированная платформа обнаружения и реагирования на инциденты безопасности, которая автоматически собирает и сопоставляет данные от нескольких компонентов безопасности.

Managed Detection and Response, MDR — сервис по обнаружению киберугроз, реагированию на них и расследованию киберинцидентов.

Host-based Intrusion Prevention System (HIPS) — это система защиты от вторжений на уровне отдельно стоящего узла (IP-адреса). Технология применяется в современных средствах антивирусной защиты, реализуя поведенческий анализ процессов на устройствах.

Цель исследования — узнать, насколько российские компании защищены от целевых атак, как они выстраивают защиту конечных точек (компьютеров, серверов и сетевого оборудования), как смотрят на бюджетирование средств защиты, с какими трудностями сталкиваются и на какие функции продуктов ИБ обращают внимание в первую очередь. В опросе, проведенном в конце 2024 года, приняли участие 392 специалиста по ИБ и ИТ более чем из 350 российских компаний малого, среднего и крупного бизнеса. Мы, как и другие аналитические агентства, следим за трендами рынка, и здесь конкретно фокусируемся на защите конечных устройств.

Исследование основано на результатах интервью с представителями ИТ и ИБ подразделений различных организаций. Опросы проводились с помощью анкет и по телефону. В сравнении с публикацией раннего исследования в 2024 году данное включает расширенный набор вопросов для респондентов.

• 12 часов — среднее время расследования инцидентов. 
• 44% крупных компаний тратят усилия на разбор более 10 сложных атак в месяц.

Согласно исследованию Positive Technologies, в IV квартале 2024 года вредоносное ПО оставалось главным оружием злоумышленников: оно применялось в 66% успешных атак на организации и в 51% атак на частных лиц. Против организаций чаще всего использовались шифровальщики (42%) и ВПО для удаленного управления (38%), против частных лиц — шпионское ПО (48%).

В прошлом году мы писали об инструментах и ВПО для удаленного управления, которые нередко использовались в успешных атаках. Стоит отметить и техники Bring Your Own Vulnerable Driver (BYOVD), распространение шпионского ПО через рекламные сервисы, портирование шифровальщиков под отдельные среды виртуализации, использование ИИ для написания зловредного кода и скриптов PowerShell. Все это помогало злоумышленникам обходить имеющиеся средства защиты и дольше оставаться в сети атакуемой организации.

Растет количество успешных атак на Linux-системы (25% в IV квартале 2024 года против 20% в III квартале), но Windows продолжает оставаться основной целевой ОС (79% в IV квартале) для атакующих.

Исследование в очередной раз подтвердило, что уровень защищенности напрямую связан с размером организации. Это можно объяснить как более развитой функцией ИБ, так и большими бюджетами на средства защиты.

Так, в организациях с численностью до 250 человек 42% опрошенных указали, что полагаются только на антивирусную защиту. В компаниях более чем с 1000 сотрудников в 100% случаев используется несколько классов решений.

Наиболее универсальными инструментами являются EPP- и HIPS-системы. По сравнению с прошлым годом на 35% вырос запрос респондентов на EPP-решения. Решения других типов обычно используются крупными компаниями. Заметно увеличилась доля организаций, применяющих для защиты EDR- и XDR-решения (на 37 и 39 процентных пунктов соответственно).

Решения класса EDR чаще всего планируются к покупке, в основном это наблюдается в компаниях со штатом менее 1000 сотрудников. Около половины компаний (52%) не планируют внедрение новых решений в 2025 году. В случае с крупными организациями отсутствие инвестиций в решения для защиты конечных точек объясняется зрелыми процессами SOC и наличием EDR-, XDR-систем и MDR-сервисов. Для средних и малых компаний ключевым фактором являются бюджетные ограничения и отсутствие соответствующей экспертизы.

По-прежнему наблюдается тренд на импортозамещение. Подавляющее большинство опрошенных компаний используют для защиты конечных точек отечественные продукты (преимущественно EDR и XDR). В топ-3 популярных решений входит только одно иностранное.

Интересно, что чаще всего респонденты используют агенты EDR на 100% устройств. Даже показатели установки антивирусов в крупных инфраструктурах не всегда близки к полному покрытию. Это связано с тем, что EDR-агенты зачастую используются SOC в качестве легковесных сенсоров для SIEM-систем.

Около половины компаний численностью до 1000 человек планируют заложить на продукты класса EDR менее 5 млн рублей; 75% крупных компаний планируют потратить больше 5 млн. По сравнению с прошлым годом бюджеты выросли или остались неизменными.

Очевидно, что кроме организаций, планирующих инвестировать в СЗИ для защиты конечных устройств, есть и те, кому EDR-система не нужна. Среди причин отмечаются нехватка бюджетов, негативный опыт использования и дефицит специалистов, готовых работать с продуктом. По сравнению с прошлым годом заметно выросло число компаний, которые тестируют решения такого класса и находятся в процессе принятия решения (21% против 12% в 2023 году). Доля организаций, которые видят ценность таких продуктов, но не используют их в силу бюджетных ограничений, увеличилась с 30% в 2023 году до 42% в 2024 году.

Главной задачей при организации защиты конечных устройств является обнаружение и предотвращение целевых атак. Для крупных компаний важно контролировать активность пользователей и получать данные о состоянии устройств в едином окне.

К любому средству защиты конечных устройств предъявляется масса требований. Для качественной работы нужно легкое развертывание, широкое покрытие разных типов устройств и семейств ОС, незаметная (не вызывающая нагрузки или повышения времени отклика приложений) работа для пользователя устройства, будь то ноутбук, стационарное или виртуальное рабочее место. Это же относится и к серверам, где агенты тщательно проверяются с точки зрения совместимости и нагрузки на критически важные бизнес-системы. Хорошо, когда EDR-решения можно настраивать под профиль устройства, а их архитектура дает пользователям гибкость настройки индивидуальных агентов. Это позволяет соблюсти баланс между набором необходимых функций, задачами SOC и особенностями инфраструктуры.

Несовместимость агентов различных СЗИ стала ключевой сложностью для респондентов в этом году, переместившись со второго на первое место. Проблема с поддержкой ОС также получила больший приоритет (на втором месте в этом году, ранее была на пятом) и отклик у 30% респондентов.

В целом все участники сходятся в том, что решения на устройствах должны быть незаметны конечному пользователю, неинвазивны и не должны приводить к каким-либо ограничениям для бизнес-процессов. Важно не только поддерживать различные ОС, но и достигать паритета по функциональности, например иметь те же возможность по реагированию с EDR на Windows- и Linux-системах.

Ясно, что компании применяют решения для защиты конечных устройств, чтобы уверенно противостоять современным киберугрозам. Чем крупнее компания, тем больше инцидентов ей приходится обрабатывать (в среднем около 313 в месяц). Большинство компаний говорят о том, что конечные устройства оказываются задействованы более чем в 20% инцидентов. А среднее количество сложных атак, которые совершаются на компанию в месяц, составляет 13.

Выбирая EDR-решения, компании ожидают снижения потока событий и инцидентов ИБ, желают получить инструменты для снижения числа ложноположительных срабатываний, для кастомизации системы обнаружения, добавления собственной экспертизы, а также богатый выбор действий для реагирования. Кроме того, участники исследования заинтересованы в автоматизации реагирования, позволяющей избавить аналитиков от рутинных действий, которые занимают немало времени.

Среднее время, затрачиваемое на расследование инцидента и предотвращение атаки, составляет 12 часов. Чем крупнее компания, тем больше времени она тратит.

Сотрудники почти половины крупных компаний (44%) отмечают, что отражают более 10 сложных атак в месяц. При значительном среднем времени на расследование и предотвращение это оборачивается многими усилиями специалистов, а нередко и сторонних организаций. Одна из ключевых задач EDR в том, чтобы для предотвращения угрозы даже на удаленном устройстве требовалось не несколько часов и командировка специалиста, а несколько кликов в интерфейсе.

Мы также спросили у респондентов, какие категории угроз они встречали в последнее время. Оказалось, что наиболее часто компании сталкиваются с шифровальщиками и атаками, связанными с цепочкой поставок (supply chain). На третьем месте оказались инциденты, возникшие по причине нарушения политик безопасности или несоблюдения регуляторных требований.

Если обратиться к модели адаптивной безопасности, то обнаружение и реагирование — еще не все составляющие успешного процесса. Для защиты конечных устройств также важно уметь прогнозировать и предотвращать угрозы. Поэтому к СЗИ нередко предъявляются такие требования, как возможность поиска уязвимостей, проверки корректной настройки конфигураций, патч-менеджмента и базового харденинга. В ответ на это некоторые вендоры стали придерживаться интегрированного подхода к управлению и реагированию на уязвимости (VMDR) в своих решениях.

Российские компании согласны с необходимостью защищать устройства сотрудников, рабочие компьютеры, серверы и виртуальные машины, но трактуют эту защиту по-разному. Большинство использует только антивирус, тогда как ландшафт угроз требует внедрения эшелонированной защиты и более продвинутых решений.

Для лучшего результата при выборе EDR-решения обращайте внимание на такие факторы, как поддержка популярных ОС, включая Linux, отсутствие чрезмерной нагрузки на конечные точки, возможность легко встроиться в гетерогенные среды и автономная работа агента. Глубина и тонкость настройки пользовательских правил и политик позволят системе гибко встраиваться в инфраструктуру компании, не нарушая привычные процессы и не расходуя ресурсы ИТ-департамента. Кроме того, важно выстроить в компании процесс threat hunting, чтобы выявлять кибератаки, которые не могут обнаружить традиционные средства защиты. Для этого необходимы продукты, которые будут собирать максимум телеметрии в своих сегментах и по возможности дополнять друг друга, обогащая информацией, необходимой для принятия качественных решений по инцидентам.

MaxPatrol EDR дает полную картину происходящего на узлах, позволяет выстроить цепочку атаки, обнаружить и моментально отреагировать на сложные современные угрозы, в том числе на атаки нулевого дня.