Источник: Форум Кодебай
В рамках рассмотрения необходимости и целесообразности продуктов класса EDR, среди которых были рассмотрены Cisco Advanced Malware Protection (AMP), FortiEDR (FEDR), CheckPoint SandBlast Forensics, Kaspersky KATA и KMDR. С последними, честно скажу, я лично запутался пытаясь понять who is who при поиске на сайте касперского подробной информации и запутался еще сильнее, поэтому черпать информацию не с чего, кроме роликов вендора. Прошу заметить, что продукты такого класса приобретаются, как вспомогательный инструмент в уже «зрелых» компаниях, в которых поставлены все процессы, есть четкая стратегия развития ИБ и т.п.
Первично информацию использовал со старинной статьи 2017 года Обзор рынка Endpoint Detection and Response (EDR)
Почему возникла эта статья, что побудило меня к написанию — все просто, удалёнка побудила задуматься, вендоры присели на уши руководству, а процессы компании перевалили за «воронку не возврата», так я называю точку во времени, за которую поступает такое количество журналов событий, когда твой мозг просто не успевает переварить и обработать эту информацию и ты начинаешь относиться к этому как «матричному коду», а корреляция событий превращается в адские муки и просто хочется увидеть в действии новые технологии.
В современном понимании, сложившемся в мире бизнеса, из-за смены векторов атак и возникающих угроз, вендоры были вынуждены объединять часть функционала различных линеек продуктов в единую платформу. На смену разрозненным сервисам, таким как AV, EPP, IPS, IDS и иногда даже DLP — пришел продукт класса EDR.
Но первичное восприятие говорит о том, что данный продукт решает основную проблему в подразделениях SOC — это самое важное — то самое время, затрачиваемое на расследование инцидента, время на обнаружение угрозы, время на локализацию и предотвращение, в том числе автоматизация процессов реагирования на неизвестные угрозы 0-day.
Продукт по описанию производителей, позволяет автоматизировать процесс обнаружения и реагирования без необходимости привлечения различных групп реагирования, без сбора коллегиальной комиссии без которой осуществить реальную защиту не в состоянии по требованиям регуляторов рынка или ВНД компаний.
Проанализировав Gartner Magic Quadrant for Endpoint Protection Platforms, 2018 года, я увидел большой список продуктов. Ничего специального я не искал, кроме фразы «gartner EDR» в картинках гугла.
Fortinet в яме в 2018 году, Kaspersky в 5-ке лидеров, Cisco 3-е с конца, но дальше мы рассмотрим все эти «высокие» позиции глазами SOCa
Смотрим еще одну The Forrester Wave: Endpoint Security Suites, Q2 2018
Не берусь судить за позиции антивирусных вендоров, т.к. ранее делал наглядный разбор жизненных проблематик на основании анализа ежедневного использования 2-х доступных Антивирусных вендоров Kaspersky vs ESET (если будет интересно, пишите в комментах, выложу). Да и прошу заметить, что антивирусный движок одна из основополагающих процесса «отделения зернышек от мыльных пузырей», поэтому не маловажно обращать внимание на такие детали как:
- Наличие опыта и публикации у вендора в обнаружении 0-day и своей лаборатории аналитиков.
- Наличие у вендора своего антивирусного движка, показавшего лидирующие позиции в «независимых» тестах.
- Удобство работы с консолями администрирования вендоров и функционал.
- Возможность интеграции со средствами обнаружения различных вендоров.
- Поддержка клиентских ОС (OS Windows/Linux/MacOS).
В том числе, еще различные показатели устойчивости вендора к атакам и собственным уязвимостям.
! Нет, конечно же я не призывают людей отказываться от Cisco потому, что за последние 2,5 года этот вендор просто погряз в процессы устранения уязвимостей в своих продуктах с оценкой CVE более 5 балов и рекордным количеством уязвимостей с оценкой от 8 до 9 с хвостиком по CVE, у Касперского и других вендоров мелькали различные проблемы, но это в свою очередь является показателем того, каким «решетом» Вы будете обеспечивать безопасность своей компании. Все наверное сталкивали с проблемами при обновлении на новейшие прошивки устройств и не забываем про «святое правило» — пропускаем пару апдейтов, потому что может упасть и не подняться.
По маркетплейсу то «гиганты» все на местах в очень тесной близости в IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017
Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018
Fortinet и Kaspersky делают большие шаги по улучшению позиций, а в 2020 году вообще являются лидерами по опросу квадранта, но в «топчике» совсем не те продукты, которые мы будем рассматривать.
Попробуем сравнить ряд продуктов класса EDR на том же «эталонном» гартнере. Cisco vs Fortinet: Gartner Peer Insights 2021
Но эти наблюдения не играют никакой абсолютно роли по функциональным возможностям, удобности использования, гибкости интеграции и показательности результатов продукта, а лишь на ценообразование к сожалению.
Самое интересное, что по факту EDR не заменяют функционал EPP, что показано на презентации, слайды из которой я приведу в пример:
Функционал EPP
Функционал EDR
В обоих решениях единственное общее — это антивирусный движок, что в нашем случае не более чем вспомогательный элемент защиты, но не основной, как показывает практика.
И отдельно этот класс продукта не представляет собой ничего иного, как система первичного обнаружения и ликвидации распространения заражения! И если посмотреть на изображение ниже, то становится четко и ясно, для чего изначально разрабатывался EDR.
Но в презентациях Check Point немного иначе ставится акцент. EDR & NGAV это средства выявления и предотвращения именно атак нулевого дня, а в совокупности с антивирусным движком это есть продукт SandBlast:
Дальше чекпоинт приводит пример того, чем занимается EDR на рабочих станциях, консолидируя эти данные в БД — это и есть SOC:
Ну это видимо вообще собрано для визуального восприятия не сведущих и выглядит мягко говоря броско
А вот это именно то, на что тратится основное время аналитиков L1, L2 и иногда L3 SOC при расследовании — зарисовка цепочки кибератаки и именно для такой наглядности нужен инструмент позволяющий в единой консоли увидеть все те необходимые данные происхождения и действий зловреда при атаках, которые в обыденной жизни собираются часами, а парой и днями.
Тут мы можем заметить, что вся проблематика всех типов целевых атак или заражений — это нанесение вреда при продвижении процесса внедрения зловреда в корпоративную сеть. И отсюда выстраивается график, на котором видно, что при достижении основной цели злоумышленника Получение управления и Выполнение действий — несут за собой основной вред, в то же время становятся практически не заметными в рамках анализа сотрудников SOC и уже необходимо прибегать к средствам форензики для поиска заражения, что увеличивает временные затраты в разы и приходится прибегать к десяткам, а то и сотням продуктов.
EDR же в свою очередь не дает зловреду/злоумышленнику пройти стадию эксплуатации или очень оперативно и наглядно отражает сам процесс доставки и эксплуатации, что позволяет своевременно отреагировать и осуществить меры воздействия. Что и отражено ниже и построенной на основании Cyber Kill Chain как часть модели Intelligence Driven Defense или по простому 7 шагов для достижения цели
И основная задача продуктов класса EDR — это наглядно и быстро отразить (прошу заметить, именно отобразить, а не дать возможность «порыться в логах») весь процесс Cyber Kill Chain
Зачем все это, спросите Вы?! Я Вам отвечу как работник SOC — чтобы экономить время и соответственно деньги на устранение последствий. К примеру, при отсутствии продуктов такого класса, SOC видит и фильтрует самостоятельно все эти действия с помощью SIEM систем и Лог-коллекторов, что при современных реалиях и масштабах компаний практически не представляется возможным, в том числе оперативно отреагировать и осуществить линии защит. Тут или покупать SIEM с шилдиком «next generation», к каким я могу смело отнести продукт Positive SIEM, в которых объединена часть функционала других продуктов, ну или приобретать и затем пытаться интегрировать продукты класса EDR. В противном случае SOC будет «утопать» в неинформативном море журналов событий со всех информационных систем в сети.
Указанные временные затраты в презентации Fortigate (изображение ниже) мягко говоря не соответствуют реальностям и направлены на стандарты MITRE по времени реагирования.
В настоящей реальности все состоит гораздо хуже в части трудозатрат и задействовании человеко-ресурсов и среднее время отработки одного лишь сценария может доходить до нескольких суток, что неоднократно проверено на кибер-учениях The Standoff 2020 устраиваемых ежегодно компанией PT(Positive Technologies) с привлечением опытных команд защитников коммерческих SOC и нападающих на рынке СНГ. Статистически было установлено, что среднее время расследования одной лишь атаки, составляет 10 часов и 19 минут и это только потому, что рекордное время расследования у одного из SOC составило 2 часа 57 минут. И лишь 39% всех бизнес рисков реализованных 30 командами атакующих были расследованы 6 командами защитников за 5 суток или 123 часа
А вот из собранной статистики динамики обнаружения уязвимостей на кибер-учениях The Standoff 2020 видно, что основной проблемой для всех SOC является как раз таки первые минуты/часы/сутки, затем по графику снижения активности заметно, как различные команды SOC либо адаптируются к однотипным атакам и находят методы задержки во времени атакующих, либо не могут ничего предпринять, о чем говорит второй график. (представленный график не имеет отношения к будним реалиям и типам компаний). Несмотря на активное участие подразделений/сервисов/вендоров защиты в первые дни противостояния, количество реализованных бизнес-рисков было показательным, в том числе в последующие дни, когда сервисы защиты отключались вовсе.
Ниже как раз приведено сравнение в качестве рекламного продвижения своего продукта компанией Fortigate с неавтоматизированным EDR и среднее время на весь процесс от обнаружения до устранения.
Теперь поясню, что такое время в рамках обыдённой жизни на работе и к чему может привести промедление, на примере того же The Standoff 2020.
14 Бизнес-Рисков было реализовано за одну лишь ночь, один бизнес риск это не просто успешная атака на уязвимый или халатно настроенный хост или сервис, а именно комбинация больших и «шумных процессов» (со стороны реагирования), таких, как анализ окружения, активные атаки по закреплению в системе, поиск цели, попытка авторизации, множественные попытки эксплуатации бизнес-риска и лишь затем успешная эксплуатация.
Итак от слов к делу:
Презентуя свои продукты, вендоры всегда знают преимущества своих продуктов и умело демонстрируют именно их. В рамках предоставленных демонстраций от вендоров, покажу Вам интерфейсы 3-х рассматриваемых продуктов и попробую разобраться с удобоваримостью дашбордов для неподготовленного глаза (всех глаз кроме самих вендоров) и показать, что действительно важно, а к чему вендор подошел мягко говоря наплевав на любимый нам бест-практис.
! Так же прошу заметить, что для простоты и красочности, вендоры используют в презентациях уже готовые ролики демонстрирующие единичный случай атаки или заражения, без миллионов событий, которые происходят в обычной жизни, поэтому для оценки в адекватных условиях, скорее всего лучше брать пилот продуктов и производить наглядное сравнение и оценивать продукт по личностным критериям.
#Check Point SandBlast Forensics
К слову, скриншоты сделаны из презентации представителя продукта на онлайн конференции «Код ИБ Форензика» 27.01.2021 г. И эта тематика немного сбила с толку пришедших на конференцию ребят, которые считали, что форензика почему-то затрагивает часть расследований работы сотовых операторов, вышек, фемтосот и мобильных телефонов и сим карт и массово посваливали, ну чтож дело «школьников» играть в фортинайты и чекиниться…
Основной дашборд достаточно информативен и на 90% наглядно отображает весь процесс, но иногда глаза разбегаются в разные стороны.
В данной вкладке нет ничего выдающегося, все просто и лаконично.
И вот то, ради чего мы сегодня собрались, убейте свои глаза полностью
Это тот случай, когда можно сказать 50/50 потому, как информативность процесса заражения вроде бы отображено древовидно и видны основные аспекты и настолько сыро это сделано, что хочется сказать вендору, Вы чего творите? Текст наслоен друг на друга, какие-то нелепые стрелки, экран полупустой, нет первоначальных фаз и информация основная присутствует только на первом скрине. В жизни прыгать между вкладками и окнами при сличении данных — самое ужасное, что мог придумать хомо сапиенс. Я правда негодую, что это за стрелочки указывающие к небесам? Мы же не в игры играем ей Богу. О наболевшем — Это как IBM QRadar, чтобы сопоставить кучу данных, нужно открыть такую же кучу вкладок в браузере, потом в неком текстовике все это консолидировать и лишь затем открывать карточку инцидента, а потом при перепроверке делать это снова и снова.
Лицензирование и цена всех продуктов этого вендора — просто космос и не каждая «зрелая» компания в состоянии купить весь перечень продуктов, а тем более их легко и быстро интегрировать. Немного отвлечёмся, чтобы Вы поняли почему very expensive и too hard pilot отталкивают нас, потребителей.
Так же из жизни, был случай, когда в одной страховой компании нужно было срочно найти замену старенькому и почти бездыханному шлюзу Zexel 310. Вызвали интеграторов, которые предложили целый букет продуктов, из всего множества выбор пал на Kerio, Check Point, Fortigate. Kerio отмели сразу по целому ряду причин, хотя продукт в свое время был просто крутой и невероятно простой в эксплуатации, но все же мы рассматривали продукты именно класса NGF(Next Generation Firewall). Заказали пилот Check Point, восторгались консолью администрирования, вырубило понятие отдельных правил NAT, интегратор не справился за несколько дней с настройкой ряда правил организованных VPN-туннелей, привлек вендора, еще 3-4 дня и ничего, в итоге взяли «работу на дом» и пошли думать. Пока чеки думали, мы решили взять на пилот фортик. Единственная доступная модель из наличия, на тот момент времени была 90D. Привезли, потыкали консоль, немного покрутив увидели ряд плюсов и ряд минусов, в целом настроили почти все необходимые в работе правила и даже воткнули его в продакшн на ночь без привлечения кого-либо со стороны интегратора или вендора. Уточняю нужду на тот момент — ~500 пользователей и десяток групп доступа в интернет, 17 VPN с регионами, 4 различных «хитрых» VPN-туннеля с «дочерними организациями» и регуляторами, 3 интернет провайдера 1- проводной 100 мб.с, 2- релейка 30 мб.с, 3- проводной 300 мб.с для «верха». Модель 90D работала в 80% нагрузке в пиках, но ее сняли дав нам на замену 30E, мы мягко говоря удивились, когда сохранили конфиги с прошлого пилота и накатили их на новую модельку — все заработало и не нужно было руками крутить снова правила. Затем поискав нужную нам модель, перелопатив уйму моделей и тех.спек к ним, мы выбрали модель 60E которая полностью покрывала нам все потребности по железу с учетом двухкратного роста в будущем. Запросили цены модели чекпоинта, которую нам выбрал поставщик (ей богу не помню модель), но вот цена отложилась в голове 1 200 000 тг на 2017 год против ~350 000 тг у фортика за модель 60E без жесткого диска и 50 агентов FortiClient в подарок на год и облачный анализатор логов на 6 месяцев. Вот Вам и разница в цене и подход к процессу. К слову интеграторы и представители фортика на тот момент тоже были немного озадаченны рядом просьб от нас, с которыми так и не справились, но мы самостоятельно нашли решение.
Действительно мало было продемонстрировано и уверяю Вас продукт намного богаче и приятнее, но что увидел то и показал.
#FortiEDR
Эти скриншоты взяты с презентации продукта 28.01.2021 г. от вендора, ссылку на которую дал мне мой коллега и так уж сошлись карты и я специально ничего не искал.
На текущем главном экране мы видим немного другой подход к процессу, тут отображен именно общий свод поступаемых данных, деление происходит посекционно и не напрягает глаза.
Вот тот же интерфейс только уже при практической демонстрации единственного экземпляра заразы
Вот как в «фортике (он же Федя)» отображаются события (очень походит на PT SIEM) в том числе отображено линейно — что, от чего, и куда:
Еще один наглядный пример того, что сделает жизнь аналитиков L2 такой же наглядной и простой, как у аналитиков L1 с настроенными PlayBook’ами
Та же цепочка, только уже в подробностях
Отмечу, что легко и доступно показан процесс и его порождения, в том числе и исполняемые команды, что невероятно важно для понимания типов атак, построения методов защиты или даже для написания PlayBook’ов.
А кто любит читать и валидировать все порождения — есть подробности
Удивило, что можно тут же сделать дамп памяти с удаленного устройства, что невероятно сокращает форензическую составляющую процесса расследования и даст возможность аккумулировать, разбирать и предотвращать намного качественнее.
Вот он дамп
Ну самое сладенькое — процесс предотвращения не вставая с кресла и не в отдельном окне или вкладке, а именно в том же окне
Статистика
Удивил функционал, позволяющий контролировать не только процессы поступающих угроз, но и исходящих во вне. К примеру был продемонстрирован процесс блокировки трафика на устройстве с уязвимого и очень старого по версии веб-браузера Mozilla Firefox. Это не просто поведенческий анализ, а именно защита 21 века! Вот консоль с правилами:
Вот то, как это видит пользователь:
Естественно все рассматриваемые комплексы интегрируются с продуктами своего вендора, но то как это реализовано у чек-поинта говорить не приходится, они основоположники единой консоли и тесной интеграции своих продуктов, фортик не отстает и тоже демонстрирует интеграцию EDR со своим шлюзом
Лицензирование простое
#Cisco Advanced Malware Protection (AMP)
Вступлю с того, что все мои «умозаключения» это не более чем моё восприятие реальности, не более чем практический анализ в сравнении 3 продуктов.
Главный экран «циски» вгоняет в ступор
Теперь я приведу Вам аналогию и Вы сразу поймете о чем я, просто сравните и найдите 10 отличий:
Интерфейс стиля 1996 года, как впрочем и у продуктов IBM. Ну Вы что господа создатели, совершенно не хотите делать продукты пригодными и информативными? Нет слов…
Но это не самое главное, ужасает то, что интерфейс подсветил красным подразделение SOC при тестировании на одном из которого, осуществлялась ручная попытка блокировки запуска по хешу.
Вот так происходит поиск хеша
Вот она информативность 21 века. 2 исполняемых файла справа это как раз таки блокируемые ручным методом по хешу исполняемые файлы на хосте, 2 линка на http на которые 10 Windows сам ходит за обновлениями и один IP адрес и это за 2 года накоплений друзья…
Что мы можем узнать нажимая на стрелочки? Не смейтесь, это циско-удобство и наверное нужно получить 3 сертификата от вендора, чтобы понять логику… Продукт за деньги проверяет линки и файлы на Virus total, это гениально!
А вот информация при нажатии на подробности о «заразе». Очень важный момент — при нажатии на любой линк или кнопку меню, вся страница перезагружается сама для того, чтобы отобразить контент (F5 | ctrl+R) убейте себя об стену кто это придумал.
События
Вы чего с дубу рухнули чтоли? Что за значки бензозаправки, молнии, 66 страниц уязвимостей софта на хостах, мы же не про процесс проверки уязвимостей тут говорим, а про инциденты. «Все смешалось в доме Облонских»
Давайте «ковырнем» это чудо технологий (Илон Маск закрой глаза и Тони Старк ты не зря умер). Подойдем со всей ответственностью и попробуем проанализировать события фильтруя все события с уязвимостями софта на хостах.
Это карточка предотвращённого действия исполняемым файлом IAProvider.exe к процессу winlogon.exe
Тут мы видим замаскированный хеш исполняемого файла, место расположения, размер, причину — он не чистый и без подписи сертификатом производителя, хеш дочернего процесса как я понимаю тоже замаскированный, размер и место расположения исполняемого файла.
Детали таковы — он запускался под системой
О боже, при нажатии на стрелочку с иконкой синенького компьютера мы можем посмотреть на «трассировку»
Чтобы понять эту «схему распайки», нужно отфильтровать наверное или потыкать на красные кнопочки на временной шкале. Фильтрация очень наглядная, тут только плюс.
Да и прошу обратить внимание, каждый раз при взаимодействии с интерфейсом он долго о чем то думает и появляется индикатор загрузки и вуаля страница перезагружается выдавая нам чудесное ничего
Это невероятно увлекательно — потратить 10 минут, чтобы увидеть такое!
Давайте еще посмотри на «траекторию девайса», о боже, что мы видим! … — ничего интересного, расходимся
Потыкаем еще по менюшкам выпадающим на главном экране Analysis > Prevalence, я так понял это сбор всех исполняемых файлов на хостах пользователей. Если бы не было с чем сравнивать по функционалу, я бы вопел овациями, но увы Касперский со своим KSC давным-давно порвал шаблоны…
Можно посмотреть «трассировку»
Зачем Вы это делаете с людьми? Зачем вы вгоняете внутрь, чтобы показать то же самое что есть на главном экране?
Нашел саму красивую вкладку Overview и увидел процесс управления уязвимости ПО на хостах аля Qualys или Nessus.
MDM для iOS?
А вот меню настройки модулей, по функционалу это сервис класса EPP но никак не EDR!!!
При активации модуля TETRA компьютер превратился в кирпич…
Да уж господа из циска, Вы точно понимаете что от Вас ждут при продаже продукта? Мне кажется «это» было сделано просто из-за необходимости следовать тренду и красивым словосочетаниям EDR, но никак не по назначению. Увы, это не продукт, посмотрите выше на 2 продукта этого класса и просто сравните. Я не спорю, что возможно в продукте заложено нечто совершенно невероятное. До чего мой мозжечок не в состоянии дойти без процесса обучения и демонстрации сильных сторон, но как говорил мне батя мой — не можешь сделать — не мучай мозг, значит это не твоё!
Ну и вердикт, продукт этого класса подойдет не всем компаниям и использовать его вне умелых руках смогут не каждые подразделения. Как я отмечал в начале, для выбора такого продукта, компания должна прийти к определенной стадии «зрелости», а лишь потом брать на вооружение EDR. Так же хочу отметить, что в рамках поверхностного анализа, по другому я не могу назвать свои изыскания, не проверялась возможность мультивендорной интеграции продуктов, ведь это самая важная часть процесса, потому как «строить с нуля» процессы безопасности никто не будет и в средних и крупных компаниях сложился ряд продуктов по тем или иным причинам и как с них забирать данные остается загадкой для меня лично. Ведь все вендоры заявляют о поддержки и интеграции со своих продуктов, а в реалиях бизнеса — поменять все — значит умереть на рынке.
Из анализируемых продуктов, больше всех понравился фортик и это моё личное мнение, которое я не навязываю. Нужно взять на пилот и понять что из себя представляет этот продукт. Вот Вам сравнение ожиданий и реальности из жизни, пусть очередное, но все таки полезное, как я считаю. Решили обойтись «малой кровью» и взять фортиклиентов для установки на пользовательские хосты дабы обезопасить себя в режиме удаленки от дырявейших компов пользователей дома, в том числе обеспечить безопасное подключение через этих же агентов, «убить 2-х зайцев» как говорится. Взяли мы в пилот фортиклиенты и консоль управления и жутко разочаровались в продукте, консоль сырая, продукт на хостах очень мало видит из даже уязвимостей софта на хосте (сравнивали сканом квалиса и несуса), в консоли не отображен процесс обновления в хронологии, видно только в консоли клиентов и многие другие аспекты, которые привели нас в упадок и решению не использовать продукт и пока даже не смотреть на него.
За сим, прошу любить и жаловать очередные не лесные и парой не уместные, но все же полезные вердикты, ставьте лайки, оставляйте комментарии.
