Endpoint protection platform что это
Системы защиты конечных точек
Endpoint Protection Platform, EPP
мировой рынок
EPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.
EDR (Endpoint Detection&Response) — класс решений, предназначенный для обнаружения и реагирования на продвинутые угрозы. Оперативно выявляет отклонения в поведении приложений и объектов с возможностью их быстрого восстановления в случае подтверждения инцидента офицером безопасности. Системы EDR не опираются на сигнатуры или черные списки.
Содержание
Данные Gartner
По данным «магического квадранта» Gartner за 2016 год, лидерами рынка систем защиты конечных точек являются компании Symantec, Sophos, Intel Security, Trend Micro и «Лаборатория Касперского»
В начале февраля 2016 года аналитики Gartner опубликовали новую версию «магического квадранта» в области платформ для защиты конечных устройств (Endpoint Protection Platform, EPP). В числе ведущих производителей таких решений оказалась «Лаборатория Касперского».
Для оценки деятельности компаний эксперты выбрали несколько критериев. Среди них — общие финансовые ресурсы вендора, отзывы партнеров (их удовлетворенность технической подготовкой, стимулированием канала сбыта, маркетингом и качеством продукции), доля решений на рынке, данные о показателях роста от самих производителей, оценка от опрошенных клиентов, эффективность работы руководства и R&D-ресурсы.
По результатам исследования «Лаборатория Касперского» попала в число лидеров «магического квадранта» в области платформ для защиты конечных устройств наряду с Symantec, Sophos, Intel Security и Trend Micro. В сумме эти компании контролируют около 81% выручки на рынке EPP среди производителей, вошедших в «магический квадрант». Доля тройки лидеров Symantec, Intel Security и Trend Micro составляет 65%.
К ключевым достоинствам «Лаборатории Касперского» аналитики отнесли использование продвинутых функций предотвращения вторжений, возможность отката произведенных вирусами системных изменений при помощи Kaspersky System Watcher, большой набор интегрированных средств управления, поддержку различных настольных и виртуальных платформ. По словам специалистов, доля российской компании на мировом рынке EPP продолжает быстро расти, равно как и узнаваемость ее бренда.
Вместе с тем в Gartner предупреждают, что по своим возможностям инструменты управления, которые есть в продуктовом портфеле «Лаборатории Касперского», не могут заменить более крупные корпоративные решения. Кроме того, вендор не предлагает защиту класса EDR (Endpoint Protection & Response). [1]
Данные Gartner
Данные IDC
Данные Gartner
Согласно данным Gartner, к ноябрю 2012 года на обеспечение ИБ конечных точек расходуется примерно половина корпоративных ИБ-бюджетов. Объяснить такое распределение в расходах предприятий и организаций на ИБ можно тем, что в сегменте конечных точек, обеспечивающих пользовательский доступ к корпоративным ИТ-ресурсам, происходят существенные изменения.
Данные Gartner
Компоненты Endpoint Protection Platform
Компонентом системы защиты конечных точек являются агентские решения, устанавливаемые на конечные точки и контролирующие исполнение принятых в компании политик информационной безопасности (ИБ). Среди них в самостоятельную группу выделились системы, называемые Network Access Protection (NAP) или Network Access Control (NAC).
Важным звеном в защите конечных точек стали системы управления доступом (Identity management, IDM). IDM-системы повышают защищенность конечных точек от несанкционированного использования за счет автоматизации управления доступом, реализации многофакторной аутентификации, автоматизированного управления учетными записями пользователей, а также благодаря возможности организовать правильное с позиции ИБ-политик подключение мобильных устройств к корпоративным ресурсам.
Все чаще системы защиты конечных точек стали включаться в единую систему обеспечения корпоративной ИБ, предоставляя содержащимся в ней средствам анализа и корреляции ИБ-событий информацию о состоянии конечных точек, в том числе о действиях пользователей и корреляции событий ИБ с целью выявления аномалий и комбинаций, представляющих ИБ-угрозы.
Проблематика
Факторы воздействия
Изменения, происходящие в организации потребления корпоративных ИТ-ресурсов, среди которых прежде всего следует отметить консьюмеризацию корпоративных ИТ-инструментов, расширение спектра используемых в офисах устройств доступа (в том числе за счет реализации программы `принеси свое собственное устройство`, BYOD), а также выход пользователей за традиционный периметр защиты (что связано с ростом популярности работы вне офиса, мобильностью персонала и распространением публичных облачных ИТ-сервисов, предназначенных для поддержки совместной работы), обусловливают необходимость пересмотра подходов к построению защиты конечных точек, обеспечивающих доступ пользователей к корпоративным ИТ-ресурсам, писал журнал PC Week в 2012 году. [3]
Изменения в функциональном составе
Следует помнить, что и в условиях масштабных изменений, происходящих в современных ИТ, основные задачи защиты конечных точек, поддерживающих пользовательский доступ к корпоративным ИТ-ресурсам, по своей сути остаются прежними. Они включают обеспечение каждому сотруднику бесперебойного доступа лишь к тем ресурсам, которые предписаны ему бизнес-ролью, только при выполнении условий, предусмотренных политиками безопасности (определяющими время и место подключения, тип устройства подключения и установленные на нем СЗИ, разрешенный набор и обновление ПО, каналы доступа).
Решение этих задач направлено на минимизацию вероятности таких ИБ-угроз, как несанкционированные действия с данными, атаки на канал передачи информации между централизованными ресурсами и конечной точкой, авторизация другого человека под именем легитимного пользователя. Используемые для этого средства защиты хорошо известны. Это антивирусы, средства аутентификации (скажем, электронная подпись), средства защиты канала (например, VPN). Для мобильных точек доступа дополнительно потребуется установить средства криптографической защиты данных, располагающихся на носителях информации (прежде всего на съемных — например, флэшках), и персональный межсетевой экран.
По мере все более широкого использования сотрудниками смартфонов и планшетов в бизнес-процессах своих компаний ИБ-службам нужно внимательнее рассматривать возможность внедрения у себя систем Mobile Device Management (MDM). Их функционал `заточен` под решение задач обеспечения безопасности при эксплуатации именно мобильных точек доступа. Количество предложений таких систем на рыке исчисляется сегодня десятками. Отрадно отметить, что наряду с зарубежными разработками появляются и конкурентоспособные отечественные. На эффективность таких систем благотворно влияет то, что разработчики операционных платформ для мобильных устройств охотнее стали публиковать используемые в их продуктах интерфейсы для программных приложений (API). Это облегчает распространение функционала MDM-систем на все более широкий спектр мобильных устройств доступа.
Основные проблемы
Если для конечных точек (ноутбуков, нетбуков, ультрабуков), унифицированных к настоящему времени по аппаратной архитектуре и операционной среде, проблем с выбором средств защиты, можно сказать, нет, то разнообразие и проприетарность (некоторых) платформ для смартфонов и планшетов требуют от разработчиков средств защиты специальных подходов практически для каждого типа этих устройств.
Защита конечных точек в современных условиях
Чем современные средства защиты конечных точек (Endpoint Protection) отличаются от классических антивирусов, оперирующих сигнатурным анализом? Достаточно ли EDR (Endpoint Detection and Response) для защиты конечной точки? Поможет ли машинное обучение (Machine Learning) обеспечить безопасность рабочей станции без ущерба для её производительности и насколько уместной будет защита с использованием подвижных целей (Moving Target Defense)?
Введение
Несмотря на повсеместное распространение облачных технологий и тенденции к размытию периметров безопасности, важность защиты локальных конечных точек корпоративной сети ощущается сегодня всё так же остро, как и десять лет назад. Ведь в итоге именно эти рабочие станции и серверы являются целью злоумышленников, той площадкой, на которую они «приземляются» в ходе атаки. При этом ключевым бастионом безопасности, защищающим конечные точки от киберугроз, долгое время был (а в ряде случаев и остаётся) классический антивирус, использующий сигнатурный анализ.
Как должны измениться подходы к защите конечных точек, чем отличаются современные антивирусы от своих предшественников и что нужно сделать, чтобы построить эффективную систему безопасности рабочих станций, мы попытались узнать в ходе очередного эфира конференции AM Live. Чтобы обсудить современную концепцию защиты конечных точек, в студии Anti-Malware.ru собрались представители ключевых вендоров, работающих в этом сегменте рынка информационной безопасности.
Модератор и ведущий прямого эфира — Илья Шабанов, генеральный директор информационно-аналитического центра Anti-Malware.ru.
От чего требуется защищать конечные точки
Ведущий предложил начать беседу с обсуждения базовых вопросов: от каких угроз необходимо защищать рабочие станции, какие средства безопасности для этого используются и все ли конечные точки нуждаются в защите?
Дмитрий Купецкий:
— Основной инструмент, который используется для защиты рабочей станции, — это сигнатурный анализ вредоносного кода. Изначально для этих целей применялся обычный антивирус, однако с появлением источников данных, способных его обойти, возникла необходимость дополнительных инструментов — комплексных решений для защиты рабочей станции.
Илья Осадчий:
— Ещё 30 лет назад основной угрозой был вредоносный код, содержащийся в исполняемом файле. Сейчас злоумышленники оперируют легитимными инструментами — сценарии новых угроз максимально похожи на обычные действия пользователей или процессов и сигнатурные антивирусы с ними практически не справляются.
Алексей Белоглазов:
— Говоря о защите конечных точек, можно выделить следующие категории угроз: вредоносные файлы; эксплойты; скрипты, использующие функциональные возможности легитимных инструментов операционной системы; фишинг; мобильные угрозы; инсайдеры и ошибки пользователей.
Руслан Иванов:
— Не стоит забывать про важный момент, связанный с видимостью процессов на конечных точках. Информация о том, что у нас есть, какие процессы пользователи запускают, как и на каком количестве машин они это делают. Анализ этих данных позволяет выявлять целый класс новых угроз на основании поведенческих факторов, с использованием возможностей машинного обучения и других методов.
Дмитрий Стеценко:
— Конечная точка сегодня становится целью практически любого вида активности злоумышленника. В задачу киберпреступника обычно входит либо нарушение бизнес-процессов, либо кража информации. И в том и в другом случае, независимо от техники, «местом приземления» будет конечная точка. Поэтому её необходимо защищать от всех типов угроз.
Алексей Голопяткин:
— Говоря о защите конечных точек, нужно не забывать об их различиях. Подходы к безопасности на тех устройствах, которые принадлежат компании, и тех, которыми владеют пользователи, будет разным. Например, атака шифровальщика на корпоративные конечные точки может иметь фатальные последствия, в то время как потеря данных на личном устройстве имеет меньшее значение для организации.
Михаил Кондрашин:
— Сейчас мы переживаем «ренессанс» решений для защиты конечных точек. Это связано с тенденцией размытия периметра безопасности, многообразием платформ и массовым переходом на удалённую работу. Зачастую продукт, который установлен на рабочей станции, является не последним бастионом, а единственной защитой от киберпреступников. Поэтому сегодня без защиты конечных точек обойтись очень сложно.
Рассуждая о необходимости защищать конечные точки под управлением Linux или macOS, эксперты отметили, что существует весьма много вредоносных программ, ориентированных на эти операционные системы. Кроме того, фишинговые атаки менее чувствительны к платформе, на которой работает пользователь. Не стоит также забывать, что многие атаки развиваются через браузеры, которые могут иметь кросс-платформенные проблемы в ядре.
Средства обеспечения безопасности конечных точек
Перейдя к обсуждению инструментов, необходимых для защиты конечных точек, спикеры онлайн-конференции обратили внимание, что помимо классического антивируса необходимы инструменты класса EDR, средства защиты от современных угроз, таких как эксплойты, скрипты или уязвимости «нулевого дня». На отдельных рабочих станциях важны наличие DLP-системы, контроль USB-носителей и шифрование жёсткого диска. При этом, если установить все перечисленные продукты на среднюю рабочую станцию, её производительность серьёзно пострадает.
Чтобы узнать мнение зрителей прямого эфира, мы провели среди них опрос и выяснили, что более половины из них используют для защиты конечных точек лишь классический антивирус. Ещё 39 % отдают предпочтение комплексной защите, включающей EDR, а около 3 % используют только EDR-системы. Более 6 % опрошенных нами зрителей совсем не защищают рабочие станции.
Рисунок 1. Как вы защищаете конечные точки сети в своей организации?
Эксперты предложили идти не от продуктов, а от потребностей клиентов и обратить внимание на задачи, которые решает конечная точка. Методы защиты для ноутбука удалённого пользователя и рабочей станции в офисе будут разными. При этом желательно собирать и анализировать телеметрию со всех разрозненных узлов, и лучше делать это в автоматическом режиме. С другой стороны, идея разделения рабочих станций по степени безопасности их окружения противоречит идеям Zero Trust. Одним из возможных решений будет установка агента безопасности для отслеживания действий пользователя на каждой конечной точке.
Стоит ли ориентироваться на продукты одного вендора при защите конечных точек или эффективнее использовать лучшие в своём классе решения разных вендоров? Эксперты отметили, что при мультивендорном подходе возможны проблемы со взаимодействием различных систем. Разумный путь в данном случае — выстроить основу защиты от кибератак на комплексном продукте одного разработчика, а недостающие функции закрыть отдельными решениями других вендоров.
Практика защиты конечных точек сети
В продолжение беседы ведущий предложил обсудить защиту с использованием подвижных целей — Moving Target Defense. Эта концепция основана на идее постоянного изменения целевой системы, чтобы сделать её непредсказуемой для злоумышленника и значительно затруднить процесс атаки. Одним из способов реализации MTD может быть постоянное и рандомизированное изменение местоположения процесса в памяти устройства. Гости студии высказали мнение, что эта относительно узкая технология со временем войдёт в стек возможностей продуктов по безопасности или станет одной из функций операционной системы.
Эксперты отметили, что MTD-решение не является массовым продуктом, далеко не все компании нуждаются в такой системе. Потенциальными пользователями MTD являются крупные организации, владеющие конфиденциальными данными, которые могут стать объектом целевой атаки.
Мы поинтересовались тем, какую задачу зрители онлайн-конференции считают главной в деле защиты конечных точек. Как оказалось, для 52 % респондентов цель системы защиты — затруднить развитие атаки, а для почти 10 % — минимизировать простои в работе. Для 23 % опрошенных наиболее важно избежать утечек. Ещё 8 % видят главную задачу лишь в том, чтобы выполнить требования регуляторов. Затруднились дать ответ на этот вопрос 7 % наших зрителей.
Рисунок 2. Какова ваша главная задача в защите конечных точек?
Рассуждая о ключевых задачах, стоящих перед решениями для защиты конечных точек, наши спикеры обратили внимание, что, затрудняя действия киберпреступника эшелонированной защитой, мы заставляем его проявить себя. Такой подход облегчает обнаружение атаки и позволяет более оперативно отреагировать на неё. Кроме того, если ресурсы, затраченные злоумышленником на атаку, превысят выгоду от неё, он просто выберет себе другую цель.
Актуальный для большинства компаний вопрос — почему, несмотря на развитие средств защиты, до сих пор не решена проблема шифровальщиков. Эксперты, собравшиеся в студии Anti-Malware.ru, обозначили несколько сторон этого вопроса. Технологии защиты от шифровальщиков постоянно совершенствуются, но постоянно растущий уровень сложности атак требует не точечного использования специализированных продуктов, а комплексного подхода к безопасности. Процесс шифрования данных — это лишь финальная часть подобных атак. Задача системы безопасности — предотвратить и «сопутствующие» действия, такие как кража информации или получение контроля над доменом.
Важно, что криминальный рынок шифрования данных существует ещё и потому, что многие жертвы используют неэффективные средства защиты или не используют их вовсе. Как отметили эксперты, атаки будут продолжаться до тех пор, пока компании платят выкупы киберпреступникам. По сути речь идёт о низком уровне цифровой гигиены, который позволяет злоумышленникам относительно легко получать доступ к целевой инфраструктуре. К тому же большое количество атак шифровальщиков развиваются через фишинг и методы социальной инженерии, с которыми сложно бороться техническими средствами.
Отдельный класс атак, угрожающих рабочим станциям, связан с использованием легитимных утилит. В процессе дискуссии эксперты высказали мнение, что такие угрозы могут быть детектированы EDR-системами, включающими в себя функции контроля приложений. EDR имеет возможность сигнализировать о нетипичной для конкретного приложения активности, а также использовать кросс-машинный анализ для определения аномалий. Снизить вероятность атаки с использованием легитимных утилит может помочь также создание замкнутой системы на основе списка разрешённых процессов и приложений.
В борьбе за ресурсы системы
Как снизить нагрузку на рабочую станцию? Ведь если установить большое количество средств защиты, обеспечив тем самым высокий уровень безопасности, производительность системы может катастрофически упасть. Наши гости рассказали, что производители вынуждены постоянно искать компромисс между безопасностью и скоростью. Одним из способов достижения приемлемой производительности спикеры назвали разделение борьбы с угрозой на стадии. В поисках должного баланса каждая компания должна решить: установить больше модулей безопасности с относительно мягкими политиками или же снизить количество используемых инструментов, но применять подход Zero Trust.
Как показал наш опрос, большинство зрителей прямого эфира — 62 % — готовы пожертвовать не более чем десятой частью производительности рабочей станции ради её эффективной защиты. Отдать на эти цели до четверти ресурсов системы могут 29 % опрошенных, а 7 % готовы ради безопасности на любые жертвы. Противоположного мнения придерживаются 2 % респондентов — они вообще не готовы выделять ресурсы машины на её защиту. Стоит отметить, что ни один из зрителей не решился отдать до половины ресурсов системы для целей безопасности.
Рисунок 3. Какой процент производительности рабочей станции вы готовы отдать на её защиту?
Дополнительно мы уточнили у зрителей конференции, сколько агентов средств безопасности они готовы терпеть на своих рабочих станциях. Как показали результаты проведённого нами опроса, 54 % респондентов считают приемлемым наличие трёх и менее агентов, а 6 % допускают установку до пяти утилит. Более четверти опрошенных — 26 % — придерживаются политики «одна рабочая станция — один агент». Ещё 14 % считают, что количество установленных агентов не имеет решающего значения.
Рисунок 4. Сколько агентов средств безопасности вы готовы терпеть на рабочих станциях?
Как будет развиваться рынок защиты конечных точек
В заключение беседы ведущий попросил экспертов в студии кратко сформулировать ключевые тенденции, которые будут актуальны для сферы безопасности конечных точек в будущем.
Дмитрий Купецкий считает, что основными направлениями развития станут усложнение методов анализа и применение для защиты конечных точек дополнительного инструментария, нацеленного на автоматическое детектирование угроз и реагирование на них.
Илья Осадчий высказал мнение, что классический сигнатурный антивирус уже может быть заменён на решение нового поколения, использующее различные методы машинного обучения. EDR-системы продолжат эволюционировать в XDR, отчего ещё более важным станет то, какие данные они будут получать с рабочих станций.
По мнению Алексея Белоглазова, инструмент безопасности на конечной точке — это лишь один из механизмов, которые защищают организацию. Он существует в экосистеме других технологий, которые в будущем будут укрупняться, оставляя всё меньше точечных решений, которые уступят место универсальным агентам.
Руслан Иванов отметил, что конечная точка становится всё более важным элементом инфраструктуры. Крупные вендоры продолжат вкладывать в инструменты её защиты свои ресурсы, а рынок будет расти. Эксперт отметил тенденцию формирования принципов коллективной безопасности, предполагающей автоматический обмен информацией с другими устройствами.
Дмитрий Стеценко не ожидает в ближайшем будущем взрывного роста новых технологий. По мнению эксперта, вендоры сконцентрируются на совершенствовании имеющихся инструментов, что будет выражаться в консолидации агентов, интеграции с облачными, сетевыми и локальными (on-premise) системами, а также в их упрощении для пользователя.
Как отметил Михаил Кондрашин, в будущем «центр тяжести» будет смещаться от конечных точек к системам класса XDR и MDR. При этом все «тяжёлые» вычисления будут перемещаться в облако, а обеспечение безопасности конечных точек станет услугой.
Алексей Голопяткин полагает, что классический антивирус останется на конечных точках как базовый инструмент, однако безопасность будет сдвигаться в сторону XDR-решений. При этом классическая парадигма «детектирование — реакция» уже упёрлась в технологический потолок, что требует новых подходов — например, выявления реальных атак на ранней стадии.
Как обычно, подводя итоги эфира, мы спросили наших зрителей о том, изменился ли их взгляд на обсуждаемый вопрос после просмотра онлайн-конференции. Как выяснилось, 29 % участников опроса после эфира утвердились во мнении, что они выбрали правильную защиту конечных точек, а 52 % заинтересовались новыми продуктами и собираются их тестировать. Ещё 5 % респондентов пришли к выводу, что текущую систему безопасности рабочих станций в их организации необходимо менять. Консервативная часть наших зрителей (2 %) считает, что им достаточно обычного антивируса, а 7 % опрошенных вообще придерживаются мнения, что защита конечных точек бесполезна. Не поняли, о чём шла речь на онлайн-конференции, 5 % участников опроса.
Рисунок 5. Каково ваше мнение относительно защиты конечных точек после эфира?
Выводы
Конечные точки — это важнейший элемент инфраструктуры, требующий повышенного внимания к вопросам безопасности. Развитие современных инструментов — продуктов класса XDR и MDR, SIEM-систем, DLP-решений и других средств борьбы с киберугрозами, — безусловно, повышает общий уровень защищённости компании, но не в достаточной мере решает проблемы рабочих станций, многие из которых могут и вовсе находиться за периметром безопасности.
Вендоры, специализирующиеся на защите конечных точек, понимают и принимают актуальные вызовы, уходя от парадигмы сигнатурных антивирусов к более совершенным решениям, которые закрывают сразу несколько направлений атак, обладают агентами с низким потреблением ресурсов, способны противостоять новым угрозам. Одна из главных проблем на этом пути — преодолеть стереотипы и некоторую косность заказчиков, занимающихся безопасностью конечных точек по остаточному принципу.