Неужели даже современные EDR-решения бессильны перед изощрёнными методами киберпреступников?
Программное обеспечение EDR получило всеобщее признание как хороший способ защитить свою организацию от деструктивных атак программ-вымогателей и прочего вредоносного софта. Поскольку хакерство стало более разрушительным и всепроникающим, мощные EDR-инструменты таких компаний, например, как CrowdStrike и Microsoft — стали настоящим благом для индустрии кибербезопасности.
Программное обеспечение для обнаружения конечных точек и реагирования на них предназначено для обнаружения ранних признаков вредоносной активности на ноутбуках, серверах и других устройствах организации — так называемых «конечных точках» компьютерной сети. И, разумеется, данные решения популярны в первую очередь для блокировки подобных угроз ещё до того, как злоумышленники смогут украсть данные или заблокировать рабочие машины.
Тем не менее, исследователи говорят, что хоть процент успешных кибератак на компьютеры с установленным EDR небольшой, но он постепенно растёт. Похоже, со временем хакерам удаётся изобретать всё новые и новые обходные пути для некоторых защитных технологий, уже ставших золотым стандартом для защиты критически важных систем.
Например, за последние два года компания Mandiant расследовала 84 нарушения, в результате которых EDR или другое программное обеспечение для обеспечения безопасности конечных точек было изменено или отключено.
«Взлом средств защиты безопасности не является чем-то новым», — сказал Марк Керфи, эксперт в области кибербезопасности. Он также добавил, что призом в случае успеха является доступ ко всем организациям и системам, использующим аналогичные защитные технологии, что дополнительно мотивирует хакеров искать лазейки.
Microsoft в декабре раскрыла в своём блоге информацию, как хакеры обманом заставили одну из компаний применить её печать подлинности к вредоносному ПО, которое позже было использовано как раз для отключения EDR и других инструментов безопасности. Microsoft заблокировала учётные записи сторонних разработчиков, участвовавших в уловке, и заявила, что компания «работает над долгосрочными решениями для устранения этих мошеннических действий и предотвращения будущих воздействий на клиентов».
И подобных историй у каждой компании, занимающейся кибербезопасностью, наберётся немало, ведь на рынке существует целое разнообразие EDR-решений и «толпы хакеров», которые то и дело «бросают вызов» системе.
Ещё десять лет назад доминирующими поставщиками продуктов безопасности для ПК и других конечных точек были производители антивирусного программного обеспечения. Однако их популярность со временем снизилась, поскольку постоянные хакерские атаки раз за разом обнажали слабые стороны технологии.
Рост числа программ-вымогателей и других деструктивных атак подстегнул спрос на EDR и аналогичные технологии, направленные на обнаружение и блокирование заражений ещё на раннем этапе. Данные инструменты отслеживают больше сигналов о вредоносной активности и автоматизируют многие трудоёмкие задачи по расследованию и устранению нарушений.
И раз сейчас с EDR-решениями ситуация повторяется, не значит ли, что ещё через несколько лет в корпоративной секторе будет преобладать какая-то более совершенная система безопасности? Может быть, но пока что EDR остаётся самым передовым решением защиты конечных точек и справляется со своей задачей куда лучше простых антивирусов. Просто нужно помнить, что даже такая, казалось бы, надёжная система защиты — отнюдь не панацея.
Настойчивых и упёртых хакеров вряд ли может остановить хоть одна существующая система защиты, поэтому в дополнении к наличию EDR, нужно иметь в компании грамотного CISO, который будет оперативно мониторить ситуацию и сам принимать решения, которые пока недоступны обычной программе.
От классики до авангарда — наука во всех жанрах