Как определить, что вам нужна вторая линия защиты
В какой момент вы готовы к внедрению endpoint detection and response (EDR)? Сегодня на этот вопрос, возможно, легче ответить, чем когда-либо прежде, благодаря склонности злоумышленников приспосабливаться ко многим защитным средствам, которые установили организации.
Данные с сайтов утечки вымогательского ПО показывают, что в прошлом году злоумышленникам удалось поразить значительно больше жертв (4 700) по сравнению с 2022 годом (2 800). А значит, можно с уверенностью сказать, что обеспечение безопасности и предотвращение незамеченного присутствия злоумышленников и их вредоносных инструментов в вашей среде, скорее всего, занимает первое место в списке ваших забот.
EDR важно, потому что конечных точек много и они множатся, и они являются излюбленным вектором атак для злоумышленников. Многочисленные варианты использования EDR – от поиска угроз до удаленного устранения – приносят пользу, но как определить, когда вы готовы сделать этот шаг?
Когда внедрять EDR: 5 признаков готовности
Вы поймете, что готовы к внедрению EDR, когда текущие средства защиты окажутся менее эффективными. Но как это выглядит?
Эти признаки являются убедительным доказательством того, что пришло время развернуть EDR.
- Атаки с использованием вымогательского ПО обходят ваши средства защиты. В 2023 году число атак вымогателей увеличилось на 48 %, что привело руководителей служб безопасности к выводу, что стандартные методы предотвращения атак не справляются. И они правы – более сложные атаки обходят даже поведенческие обнаружения в NGAV. Но с помощью правильного решения можно заманить в ловушку все типы вымогательского ПО и удержать их.
- Старые антивирусные средства не обеспечивают необходимой защиты. Средства защиты, основанные на сигнатурах и ориентированные на «заведомо плохие» атаки, не могут противостоять современным атакам без сигнатур и вредоносного ПО. Ответ заключается в замене корпоративной AV-системы сочетанием передовых средств защиты NGAV и дополнительной линии обороны – EDR. NGAV остановит почти все, а EDR обеспечит проактивную защиту для обнаружения и сдерживания даже сложных атак.
- Время ожидания слишком велико. Время между началом атаки и моментом ее обнаружения – это «время ожидания», которое часто является самой опасной фазой атаки. (В некоторых случаях время ожидания может длиться месяцами, когда злоумышленники засели в вашей инфраструктуре, создали «черные ходы» в ключевые системы и планируют посеять хаос). Вы можете развернуть систему EDR, чтобы ускорить обнаружение и реагирование и обеспечить проактивный поиск угроз, сократив тем самым время, которое злоумышленники проводят в ваших системах.
- Возникающие атаки застают вас врасплох – и не один раз. Одно дело – попасть под атаку один раз, но дважды? Такое случается. Одно исследование показало, что 80 % компаний, заплативших выкуп злоумышленникам, подверглись повторному нападению – часто со стороны того же злоумышленника. Одна из причин – им не хватает возможности отслеживать подозрительную активность и выслеживать угрозы до того, как они нанесут ущерб их инфраструктуре и бизнесу. С помощью правильного решения EDR вы сможете изучить каждый этап первоначальной атаки, чтобы понять поведение и методы злоумышленников. Это позволит вам извлекать уроки из каждого нового метода атаки, чтобы не стать жертвой такой же атаки в будущем. Но для эффективного решения этой задачи необходима широкая видимость с контекстуальным анализом, который ваша команда по поиску угроз может использовать для понимания происходящего. (Также полезно иметь эффективную платформу EDR, поддерживающую ваши усилия по поиску угроз, потому что некоторые из тех, кто повторяет вымогательство, не проникали в организации во второй раз – они фактически никогда не покидали их. Программа поиска угроз поможет вам обнаружить, а затем уничтожить этого затаившегося противника).
- Вам трудно соответствовать требованиям киберстрахования и отраслевого соответствия с вашим текущим стеком безопасности. Сейчас, как никогда ранее, компаниям приходится доказывать, что они устанавливают соответствующие средства контроля безопасности для своей среды, пользователей и даже партнеров. Вот тут-то и пригодится правильное решение EDR – оно обеспечивает наглядную видимость и контекст, чтобы вы могли продемонстрировать регулирующим органам и страховщикам, что установленные вами средства контроля распространяются на все конечные точки, сети и многое другое. На самом деле, видимость является ключевым элементом системы кибербезопасности, опубликованной NIST (Национальным институтом стандартов и технологий), которая особенно важна для организаций в сфере здравоохранения, производства, финансовых услуг и государственного управления.
EDR – от пионеров EDR
Что делает решение EDR лучшим? То, которое включает в себя все, что необходимо команде безопасности для обнаружения и реагирования на современные атаки. Для многих организаций лучшим решением EDR является Carbon Black EDR, которое входит в портфель решений группы корпоративной безопасности Broadcom. Carbon Black EDR обеспечивает мгновенный доступ к наиболее полной картине атаки, сокращая длительные расследования с нескольких дней до нескольких минут. С помощью Carbon Black команды безопасности могут проактивно искать угрозы, выявлять подозрительное поведение, пресекать активные атаки и устранять пробелы в защите до того, как это сделают злоумышленники. Результат? Проактивная и единая защита от эволюционирующих угроз.
Источник: 5 Signs That You’re Ready for EDR
