В основу сюжета были заложены эксперименты с тестированием различных атак на стенде с настройкой политик ОС в соответствии с лучшими практиками (харденинг) и базовой защитой конечных точек и на стенде, защищённом с помощью решений классов EDR и SIEM от «Лаборатории Касперского». Эксперты применили более 30 актуальных методик взлома на каждую из экспериментальных станций.
Максим Прокопов, руководитель направления информационной безопасности компании «Акстел-Безопасность», поделился особенностями проведения экспериментов: какие проверки проводились и что нужно учитывать. А также показал на какие техники не сработал ни харденинг, ни EDR, ни SIEM – такие атаки могут быть своевременно обнаружены только с комплексным решением XDR, включающем сетевые сенсоры:
«Мы проводим различные тестирования в области кибербезопасности для совершенствования своих методик работы, наших разработок и каждый раз открываем для себя новые детали, повышая экспертизу нас и наших заказчиков. Текущие испытания показали нам, что:
- Модуль самозащиты в составе решения по обеспечению безопасности конечных точек обеспечивает устойчивость к атакам злоумышленников, направленных на обход EDR
- Харденинг не работает при получении привилегий
- EDR необходимо тюнить, но его настройка не ресурсоёмка при проведении Киберучений
- EDR позволяет снизить стоимость SIEM
«… Для себя мы не увидели вау-эффекта от использования EDR в нашей инфраструктуре, но в целом результаты EDR показал неплохие, и в определённых ситуациях он вполне себя оправдал. В очередной раз подтвердился тезис о том, что безопасность должна быть эшелонированная, нельзя надеяться только на одно решение. Нужен комплекс решений, чтобы они друг друга дополняли и прикрывали», - поделился результатами испытаний Андрей Нуйкин, руководитель департамента информационной безопасности компании «ЕВРАЗ».
Аналогичные испытания проводились сотрудниками «Акстел-Безопасность» и в компании «Сибирский цемент», где пришли к выводу о необходимости построения комплексной системы защиты - если имеется возможность лучше использовать наиболее полный стек средств защиты XDR, включающий EDR.
«… EDR в компаниях, тем более в крупных компаниях, должен быть. Мы для себя, в ходе тестов, заметили ряд преимуществ: как минимум сюда можно отнести время, которое затрачивают аналитики безопасности для понимания инцидента, т.е. разбор инцидента не превращается в исследования, длиной в недели. Чтобы понять, что произошло достаточно потратить несколько минут. Без EDR на это потребуется существенное время. В целом, если имеется возможность добавить EDR, то на наш взгляд он существенно упростит жизнь», - сообщил Вячеслав Гребнев, директор по информационной безопасности компании «Сибирский Цемент»Мнение вендора в данном вопросе поддержали все участники, и, действительно, не поспоришь:
«…В конечном счете, ценность, которую несет XDR, зависит от того сколько ресурсов компания готова направить на защиту, а также от стоимости информационных активов, от зрелости команды. Мы рекомендуем строить всеобъемлющую систему информационной безопасности. Лучше всего проговорить вместе с вендором и интегратором стратегию формирования эшелонированной системы защиты. „Лаборатория Касперского" рада предложить для этого линейку Kaspersky Symphony, с помощью которой можно построить как базовую, так и продвинутую защиту или даже получить безопасность «как сервис» с помощью Symphony MDR (Managed Detection and Response)», — прокомментировал Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского».
Запись мероприятия доступна по ссылке:
https://youtube.com/live/-WEaMDdR_hk?feature=share