Легитимные программы что это

Опасность, скрывающаяся у всех на виду: риски, которые могут представлять ваши приложения

Когда мы думаем о кибер-угрозах, то первое, что приходит на ум, — это вредоносное программное обеспечение (ПО). Если вредоносная программа попадает в компанию, то она может причинить серьезный ущерб. Например, в начале 2019 года одна вредоносная программа заразила серверы мальтийского банка, что привело к потере 13 миллионов евро. А шифровальщики — вредоносные программы, которые шифруют файлы своих жертв с целью истребовать с них выкуп – в прошлом году вызвали хаос в крупных компаниях по всему миру.

Но кибер-угрозы также могут исходить из самой организации: так называемые инсайдеры могут стать причиной длинного списка проблем корпоративной информационной безопасности. Средний ущерб от инсайдера составляет более 10 миллионов евро. И эти инциденты отнюдь не являются какой-то изолированной проблемой: в прошлом году количество таких инцидентов выросло на 47%. Во время таких инцидентов сотрудник-инсайдер намеренно или случайно ставит под угрозу информационную безопасность своего предприятия. Однако есть еще один внутренний элемент, который, на первый взгляд, кажется, не вызывает никакого беспокойства.

Что такое «легитимная DDoS-атака»? / Положительные и негативные новости

Легитимные приложения в руках хакеров

Незаконное использование приложений во вредоносных целях является одной из наиболее распространенных тенденций в области кибер-преступлений. Например, в 2018 году количество безфайловых атак выросло на 94%, и они происходили в три раза чаще, чем атаки шифровальщиков. Подобные атаки используют приложения, которые уже существуют в операционных системах, такие как Microsoft Office, WMI или Adobe, чтобы украсть данные и повредить систему жертвы.

Хотя природа таких атак различна, но все они специально разработаны таким образом, чтобы ничего не записывать на жесткий диск компрометируемого компьютера. Вместо этого весь процесс выполняется из оперативной памяти компьютера (ОЗУ). Отсутствие вредоносных или потенциально опасных файлов на жестком диске означает, что традиционные системы защиты не могут обнаружить эту угрозу.

У всех подобных инцидентов есть одна общая черта: их очень трудно обнаружить. Это связано с тем, что такие атаки не используют какой-либо код, а значит, традиционный антивирус не может их идентифицировать. Более того, использование легитимных процессов и приложений делает практически невозможным обнаружение аномального поведения.

Помимо этих общих черт, безфайловые атаки часто имеют общие векторы проникновения на компьютер. Среди наиболее распространенных – это приложения для удаленного доступа, средства администрирования и внутренние компоненты операционной системы.

Сложные угрозы требуют применения новых передовых технологий

Учитывая тот факт, что безфайловые атаки так трудно обнаружить, что можно сделать, чтобы их остановить? Одним из способов борьбы с подобного рода атаками, если такое возможно в вашей компании, является прекращение использования тех инструментов, которые кибер-преступники обычно используют в этих атаках (например, PowerShell), в результате чего можно закрыть потенциальные векторы проникновения и точки входа. Кроме того, очень важно знать, что в любой момент времени происходит на каждом компьютере компании. Решение Panda Adaptive Defense 360 отслеживает всю активность ИТ-системы. Таким образом, он способен блокировать любую подозрительную активность.

Лавров об «устранении» Путина. Яшина этапировали из Москвы. Девять колец для лидеров СНГ

Безфайловые атаки – это постоянная опасность для компаний, и у кибер-преступников имеется много способов использования легитимных приложений в вашей системе. Узнать больше об этой тактике кибер-преступников вы можете в нашей белой книге Опасность, скрывающаяся у всех на виду: Контролируя вооруженные приложения.

Источник: www.cloudav.ru

Легитимные Android-приложения можно превратить во вредоносное ПО

Исследователь обнаружил новый способ осуществления атак, к которой уязвимы почти 50% всех Android-устройств.

Старший инженер Palo Alto Networks Чжи Сю (Zhi Xu) обнаружил новый способ осуществления атак на Android-устройства, позволяющий превратить практически любое легитимное Android-приложение во вредоносное ПО, предназначенное для похищения данных. Об этом сообщается в блоге компании.

По словам Сю, легитимные приложения, распространяющиеся через Google Play, могут быть скомпрометированы с помощью стороннего ПО, установленного с прочих платформ наподобие Amazon Store. В дальнейшем эти программы могут похищать любые данные с устройства. Способ атаки получил название Android Installer Hijacking.

Исследователь предупреждает, что киберпреступники могут прибегнуть к нему для подмены легитимных приложений без ведома пользователя. «Полученное таким образом вредоносное ПО имеет полный доступ к скомпрометированному устройству, включая логины, пароли и прочую чувствительную информацию, — сообщает Сю. – Технология позволяет подменить одно приложение другим – например, вместо Angry Birds на девайсе пользователя окажется вредонос». Google, Samsung, Amazon и прочие компании, встраивающие в Android-устройства собственные магазины приложений, уже работают над исправлением ошибки, позволяющей осуществить данную атаку.

Пользователям следует обновить мобильную ОС хотя бы до версии 4.4 (KitKat), чтобы защитить свои устройства. Проблема существует из-за уязвимости времени проверки ко времени использования в компоненте PackageInstaller, который используется для установки приложений в Android. Она позволяет вредоносному ПО подменять легитимные программы во время их инсталляции.

В настоящее время к атаке уязвимы владельцы устройств под управлением Android 4.1 и более ранних версий, а также те, кто разблокировал права суперпользователя. Некоторые девайсы с Android 4.3 также могут быть подвержены данной бреши. Производители утверждаеют, что на данный момент уязвимость не находится в широкой эксплуатации.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Источник: www.securitylab.ru

Легитимность: понятие, признаки, отличия от «легальности»

Современные СМИ часто употребляют слова «легитимный» и «легитимность». Большинство людей понимает, что они как-то связаны с законностью и легальностью. И всё же эти понятия обладают собственным смыслом, учитывающим не только законность, но и ряд других факторов. Сегодня мы подробно поговорим о том, что представляет собой легитимность, какими признаками она обладает, для чего нужна власти и чем отличается от легальности.

Что такое легитимность?

Легитимность – это свойство власти, которое показывает наличие у неё народной поддержки и права принимать решения от имени народа. Данное понятие тесно связано с моралью и нравственностью. То есть, если власть начинает вести себя аморально и безнравственно по отношению к собственному народу, она теряет легитимность, даже если формально не нарушает никаких законов.

Термин «легитимность» образован от латинского слова legitimus, которое можно перевести как «правомерный» или «согласующийся с законом».

Легитимность существует в сознании общества. Население страны может одобрять и поддерживать действия власти или наоборот. При этом оно руководствуется не законами, а собственным пониманием порядочности, справедливости, добра и зла.

У легитимности есть 3 составляющих:

• Наличие народной поддержки.
• Признание гражданским обществом.
• Признание мировым сообществом (другими государствами, международными организациями).

При наличии всех трёх составляющих, власть считается полностью легитимной и обычно не имеет сложностей с управлением страной. Если же уровень легитимности по каким-то причинам снижается, власти приходится применять силовые методы для удержания контроля над государством.

Слово «легитимность» применяется также по отношению к действиям. Легитимным называют действие, с правомерностью которого согласны все, на кого оно как-то влияет. К примеру, решение власти может быть признано нелегитимным, если очевидно, что оно противоречит интересам народа.

Автором термина «легитимность» считается немецкий социолог Макс Вебер. Он обратил внимание на то, что устойчивость действующей власти определяется не только её законностью, но и признанием и поддержкой. В частности, Вебер придавал большое значение монопольному праву государства на насилие. Он говорил, что легитимная государственная власть применяет право на насилие исключительно для защиты своего народа. Если же власть прибегает к насилию для защиты себя от народа, она теряет легитимность.

Отличия легитимности от легальности

Эти понятия довольно близки, и всё же не следует их отождествлять. Простыми словами разницу между ними можно сформулировать следующим образом:

• легитимность – это признание и поддержка власти населением, доверие к ней, а также соответствие её деятельности интересам народа;
• легальность – это юридическая правомерность власти и её деятельности.

Легальная власть не всегда является легитимной. Некая партия может получить власть законно и соблюдать текущее законодательство. Однако если она потеряет народное доверие, то станет нелегитимной, всё ещё сохраняя при этом свою легальность. А партия, пришедшая к власти нелегальным путём (например, в результате революции), может заручиться народной поддержкой и тем самым обрести легитимность.

Легитимная власть

Легитимной называют власть, которую признаёт и считает оптимальной большинство населения. То есть, даже если стопроцентной народной поддержки у власти нет, она всё равно может считаться легитимной, если большинство соглашается с её политикой.

Британский политолог Дэвид Битэм в своей монографии «Легитимация власти» предложил такое понятие как «структура легитимности». Оно включает 3 обязательных элемента (условия):

• власть соответствует правилам, существующим в данном обществе.
• данные правила выражают веру, разделяемую властью и народом.
• согласие народа с властью доказано и не подлежит сомнению.

Таким образом легитимность связана с легальностью. По сути, это показатель того, имеет ли право действующая власть занимать своё место и осуществлять свои полномочия от имени народа. И всё же это разные понятия. Легитимность отражает признание власти населением, а легальность – её соответствие действующему законодательству.

Любая власть стремится поддерживать свою легитимность на максимально высоком уровне. Для этого она может прибегать к таким средствам как:

• поддержание в обществе законности и порядка;
• пропаганда, призванная повысить популярность принимаемых законов;
• использование народных традиций в законотворческой деятельности;
• принятие законов, оправдывающих выбранный властью путь развития страны.

Признаки легитимности власти

Как было отмечено выше, автором рассматриваемого понятия считается Макс Вебер. Чтобы лучше объяснить, что такое легитимность, он предложил следующие признаки, которыми обязательно должна обладать власть:

• Легальность.Власть должна быть получена законным путём, а все решения политического руководства должны соответствовать действующему законодательству.
• Эффективная экономическая система. Экономика страны должна работать слаженно и полностью обеспечивать потребности населения (или хотя бы развиваться в этом направлении).
• Ценность власти для населения. Население должно поддерживать власть и быть уверенным, что именно эта власть максимально соответствует его потребностям и действует в его интересах.
• Харизматичность. Все наиболее заметные представители власти должны обладать харизмой и вызывать симпатию у большинства граждан.

Признаки нелегитимности власти

Легитимность и нелегитимность – это крайние состояния, но есть и промежуточные. Когда у легитимной власти появляются признаки нелегитимности, этот процесс называется делегитимацией. Это сразу же отражается на состоянии общества, вызывает рост недовольства и социального напряжения в стране. В качестве основных можно назвать такие признаки нелегитимности власти как:

• несоответствие реально проводимой политики провозглашаемым целям и задачам;
• отсутствие поддержки реформ или выбранного курса развития со стороны населения;
• снижение уровня доверия к социальным институтам;
• высокий уровень классового неравенства и его рост;
• ограничение прав и свобод населения;
• применение властью силовых методов для подчинения общества.

Источники легитимности власти

Источники легитимности – это факторы, обеспечивающие легитимность действующей власти. В качестве наиболее важных современная политология называет такие источники как:

• Система ценностей. Народ принимает и поддерживает провозглашаемую систему ценностей. Данный источник обеспечивает так называемую идеологическую легитимность.
• Уверенность в оптимальности правовой системы. Народ уверен, что действующая власть и поддерживаемая ей правовая система подходят ему лучше всего. Этот источник обеспечивает структурную легитимность.
• Удовлетворённость соблюдением принципов демократии. Население страны считает, что действующая власть в полной мере представляет его интересы и придерживается принципов демократии. Это источник демократической легитимности.
• Уверенность в компетентности власти. Граждане уверены, что все представители действующей власти обладают достаточными знаниями и навыками для того, чтобы грамотно и эффективно управлять страной. Этот источник обеспечивает технократическую легитимность.
• Зависимость от большинства. Власть представляет интересы большинства населения и учитывает его мнение. Это источник мажоритарной легитимности.
• Осознание общности с властью. Народ осознаёт свою этническую, религиозную или другую идентичность с руководством страны и доверяет ему. Это источник конструктивной легитимности.
• Признание авторитета. Лидер страны обладает неоспоримым авторитетом, граждане ему доверяют. Данный источник обеспечивает так называемую персональную легитимность.

Легитимация и делегитимация

Если говорить простыми словами, легитимация – это процесс обретения легитимности. Чтобы лучше понять, что это такое, рассмотрим пример. В России с 17-го века царствовала династия Романовых. Изначально её власть была слабой, важные решения принимали Земские соборы. Но уже к концу столетия власть династии укрепилась и стала абсолютной.

Таким образом, в 17-м веке произошла легитимация власти Романовых.

Обратным по отношению к легитимации процессом является делегитимация. Так называется процесс потери властью доверия и постепенного снижения уровня легитимности. Как правило, делегитимация сопровождается учащением применения силового принуждения со стороны государственной власти.

Существует также такое понятие как «кризис легитимности». Так называется состояние отношений между властью и обществом, при котором народ уже не считает, что текущее руководство обладает правом управлять страной. Кризис легитимности может возникать по разными причинам. В частности, к нему может привести конфликт ветвей власти или игнорирование властью интересов народа.

Зачем нужна легитимность

Для любой страны важно, чтобы государственная власть в ней была легитимной. Это даёт такие преимущества как:

• повышение эффективности работы власти;
• возможность решать основные задачи, сохраняя народную поддержку;
• минимизация социальных рисков;
• согласование действий разных институтов власти;
• поддержка международного сообщества.

Типы легитимности

Вебер предложил рассматривать три типа легитимности, подчеркнув при этом, что это «чистые» типы, которые на практике же они обычно сочетаются между собой.

• Традиционная.Данный тип подразумевает, что основой для власти служат национальная история и традиции. Традиционная легитимность характерна для монархий. К примеру, король Саудовской Аравии имеет право на престол, поскольку принадлежит к правящей династии.
• Рационально-легальная.Основой для власти служат закон и процедуры, признаваемые населением. Этот тип свойственен демократическим государствам. К примеру, в США легитимность власти президента обеспечивается его победой на выборах.
• Харизматическая.Основой для власти служит народная вера в исключительные качества лидера. Харизматическими лидерами были Наполеон, Цезарь, Ленин, Сталин, Гитлер и многие другие правители.

Легитимность закона

Закон также может быть легитимным или нелегитимным. Легитимность закона – это показатель того, насколько население принимает его, поддерживает и соглашается добровольно соблюдать.

В политологии выделяют два условия, при соблюдении которых закон можно называть легитимным:

• была соблюдена формальная процедура подготовки закона, его принятия и вступления в силу.
• население признаёт легитимность законодательной власти и согласно с политикой, которую проводит государство.

Очевидно, что некоторые законы могут не нравиться населению, однако это не делает их нелегитимными. К примеру, если будет принят закон о введении нового налога или повышении пенсионного возраста, но большинство граждан страны будет согласно с тем, что это необходимо, такой закон будет обладать легитимностью.

Источник: dnevnik-znaniy.ru

Как определить поддельное приложение и вредоносное ПО

Магазины мобильных приложений предлагают пользователям устройств огромный выбор программ, в это разнообразие может закрасться и вредоносное ПО, которое выглядит как легитимные приложения.

Некоторые поддельные приложения полностью копируют оригинал вплоть до пользовательского интерфейса и выбора продукта.

Копиисты создают и продают свои собственные версии популярных приложений с невероятной скоростью.

И пока магазины приложений изо всех сил пытаются обнаружить и удалить поддельные приложения, вы можете предпринять шаги к тому, чтобы скачивать только надежные программы.

Прямо к источнику

Один из способов убедиться в подлинности скачиваемого приложения – посетить официальный сайт разработчика и найти там прямую ссылку на приложение в магазине приложений. Это также подскажет вам, какой из разработчиков в магазине является надежным источником похожих программ от той же компании.

Будьте осторожны при загрузке приложения из магазина, если вы не можете найти ссылку на него на официальном сайте компании.

Некоторые компании не создавали приписываемых им приложений, и это значит, что такие программы в магазине приложений являются подделками, предназначенными для кражи информации о платежных картах, контактов и других личных данных.

Некоторые компании не продают официальные приложения в отдельных регионах, поэтому мошенники создают «копии», чтобы обмануть пользователей в этих странах.

Если вы точно знаете, что у компании есть приложение, но вы не можете найти ссылку на него, свяжитесь с производителем напрямую и выясните информацию о скачивании и возможных географических ограничениях.

«Сарафанное радио»: как оно может помочь

Если нужное вам приложение не имеет официального сайта, как в случае приложениями, созданными независимыми разработчиками, прочитайте все отзывы и комментарии о нем — как положительные, так и отрицательные.

Отрицательные отзывы могут выявить проблемы, с которыми пользователи уже сталкивались ранее.

Обратите особое внимание на следующие замечания: приложение запрашивает подозрительные разрешения, производит неодобренные платежи в мобильном кошельке, вносит несанкционированные изменения в настройки или ведет себя странным образом.

А если при этом упоминается отсутствие поддержки со стороны публикатора, то это еще один предупреждающий знак — приложение поддельное.

Положительные отзывы так же полезны, как и отрицательные. Поддельные приложения могут иметь много положительных отзывов, потому что их можно купить в Dark Web.

Приложение вряд ли будет иметь много подробных, восторженных отзывов на протяжении всей истории его разработки.

Убедитесь, что история обзоров включает подробные отзывы клиентов из нескольких циклов обновления.

Магазины приложений часто размещают запись о том, что приложение рекомендуется администраторами магазина или о том, что они полагаются на разработчика. Это своего рода маркеры, указывающие на аутентичные приложения.

Внимание к делатям

Возможно, вы сможете «вычислить» поддельные приложения, просто внимательно изучив описания и просмотрев изображения.

Легитимные компании-производители обычно тщательно выверяют описания и публикуют четкие профессиональные скриншоты. С подделками такое бывает не часто.

Кроме того, новейшие приложения следует загружать с осторожностью, а вот приложения с длинной историей обновлений, скорее всего, будут подлинными.

Прочтите информацию об обновлениях и узнайте, были ли они сделаны в ответ на жалобы клиентов, для добавления функций или исправления ошибок, а также поищите информацию о следующих запланированных обновлениях.

Я загрузил правильное приложение?

Иногда ощущение, что с приложением что-то не то, возникает уже когда вы начинаете им использоваться.

Если авторитет бренда и пользовательский опыт не помогают, значит, пришло время провести исследование и определить, является ли приложение подделкой.

Например, вы заметили, что цвета отличаются от тех, которые используются на сайте или в рекламе, что логотип выглядит некорректно, или что обещанные функции отсутствуют.

Удалите приложение и обратитесь в компанию напрямую и узнайте, загрузили ли вы правильное приложение.

В поддельных приложениях часто прячется вредоносное ПО, и тогда игра в фоновом режиме может передавать ваши контакты и местоположение злоумышленникам.

Убедитесь, что устанавливаемое вами приложение, имеет только те разрешения, которые необходимы ему для работы, и отключите остальные разрешения, которые ему не нужны.

Если постоянная забота о том, как бы не скачать поддельное приложение, кажется вам слишком хлопотной, лучший способ не ошибиться — вообще не загружать приложения неизвестного происхождения.

Для многих целей, например, онлайн-шопинга или просмотра расписания киносеансов, и приложение от официальной компании, и ее веб-сайт предлагают пользователю одинаковые возможности.

В этом случае пользование сайтом с зашифрованным HTTPS-соединением может быть безопаснее, чем пользование приложением.

Вы можете помочь удалить поддельные приложения и сделать магазины приложений безопасными для всех пользователей.

Если вы обнаружили очевидную подделку или случайно скачали поддельное приложение, сообщите об этом в компанию, чье приложение было скопировано, и в магазин приложений.

Поддельные приложения — это повсеместная проблема, но активная позиция клиентов магазина приложений не позволит создателям подделок извлекать выгоду из доверчивости ничего не подозревающих пользователей.

Статьи и ссылки по теме:Related Articles Links:

• КиберпреступностьЧто такое Adware?
• Что такое троянская программа?
• Компьютерные вирусы и вредоносное ПО
• Спам и фишинг
• Программы-вымогатели и кибершантаж
• Выбор антивирусного решения

Продукты:

• Kaspersky Total Security
• Kaspersky Internet Security
• Антивирус Касперского
• Бесплатный Aнтивирус Kaspersky Free
• Kaspersky Internet Security для Mac
• Kaspersky Internet Security для Android

Как определить поддельное приложение и вредоносное ПО

Поддельные приложения выглядят аутентичными, но содержат вредоносные программы, которые заражают устройства и украдут личную информацию. Узнайте, как определить поддельное приложение и не допустить его использования.

Источник: www.kaspersky.ru

EDR — обнаружение и реагирование

Целенаправленные атаки злоумышленников продолжают наносить финансовый и репутационный ущерб, несмотря на то, что многие из компаний, подвергшиеся нападению, уже использовали у себя те или иные средства защиты, а также соответствовали тем или иным стандартам безопасности. В настоящей статье будет рассмотрен один из относительно новых типов средств защиты информации – EDR (Endpoint Detection and Response), который предназначен для более эффективной защиты от целенаправленных атак и реагирования на выявляемые инциденты информационной безопасности.

Защита не работает?

Для того, чтобы понять, почему атаки все еще успешны, разберем несколько примеров. Так, Symantec опубликовала отчет об атаках, связанных с деятельностью хакерской группировки Thrip. Symantec проводит исследование группировки Thrip с 2013 года и подробно изучила ее действия. Характерной особенностью группы является использование для взлома легитимного ПО.

В частности, для запуска удаленных процессов хакерами были использованы легитимные утилиты PsExec и LogMeIn, а для воровства файлов — легальный FTP-клиент WinSCP. Использование легитимных утилит позволяет хакерам ускользать от всевидящего ока антивирусов, так как легитимные программы не могут помечаться как вредоносные, даже если их используют хакеры для своих целей. Контроль приложений здесь тоже не помогает — эти утилиты, как правило, разрешены для использования в организациях.

Впрочем, хакеры группировки Thrip используют для повышения полномочий утилиту Mimikatz, обычно определяемую как вредоносный код, что позволило бы выявить их вредоносную активность. Однако злоумышленники обходят и эту защиту, изменяя файл таким образом, чтобы сигнатуры антивируса не срабатывали. Также нужно иметь в виду, что вредонос присутствует в системе очень короткое время — после получения административных полномочий хакеры удаляют его и опять пользуются только легальным ПО. Антивирусы, обновившие свои сигнатуры, не всегда могут обнаружить подобные вредоносные коды, что и позволяет хакерам долго скрывать свое присутствие в системе. Аналогичным свойством обладают и безфайловые вредоносы — они располагаются только в памяти и при включении компьютера удаляются, и антивирусам, которые сканируют только файловую систему, они также не видны.

Если же рассмотреть материалы комиссии Роберта Мюллера по взлому сетей демократического комитета по выборам в Конгресс США (DCCC) и комитета демократической партии (DNC), то и в этом случае классические антивирусы, рассчитанные на обнаружение массовых вредоносных программ, также оказались бессильны. Как следует из пресс-релиза окружного суда штата Колумбия, первоначальное проникновение было выполнено с помощью фишингового перехвата учетных данных одного из сотрудников штаба, который нарушил политику безопасности и использовал в рабочей переписке публичные почтовые ресурсы. Далее по контрагентам электронной почты хакерами был разослан специально разработанный вредонос, который получил наименование X-Agent, и с помощью него и были произведены утечки конфиденциальных данных. Понятно, что специализированный вредонос детектироваться массовыми антивирусами не будет. А даже если и будет, то хакеры могут быстро обновить его коды, чтобы вывести свой код из-под подозрений антивируса.

EDR vs EPP

Из приведенных выше примеров следует, что антивирусные платформы, которые получили наименование EPP (Endpoint Protection Platform — платформы для защиты конечных устройств), не могут обнаружить нестандартную вредоносную активность, для которой отсутствуют сигнатуры. В качестве примера такой активности можно привести:

• поведение пользователей и программ, если к их учетным данным получили доступ злоумышленники;
• поведение легальных пользователей, обманутых с помощью различных методов социальной инженерии;
• поведение ранее неизвестных вредоносных программ, код которых не был ранее доступен в антивирусной лаборатории и для которых отсутствуют сигнатуры;
• поведение безфайловых вредоносов, которые не сохраняют своего тела в файловой системе.

Для того, чтобы дополнить функциональные возможности антивирусов, появился целый класс решений, которые позволяют обобщить сведения о вредоносной активности на всем предприятии, обнаружить подозрительные действия, выявить подверженные атаке устройства, а также локализовать вредоносную активность. Такие решения позволяют также провести ретроспективное расследование проникновения и выявить причины возникновения инцидента, которые необходимо устранить для предотвращения подобных атак в будущем. Этот класс средств защиты получил наименование EDR (Endpoint Detection and Response — обнаружение атак на конечные устройства и реагирование на них). Подобные решения с помощью специального агента, установленного на конечные устройства, собирают информацию об активности пользователей и программ, анализируют ее для обнаружения признаков компрометации (IoC), помогают выявлять и локализовать скомпрометированные устройства, провести расследование и усилить защиту.

Таким образом, EDR по сути дополняет установленную EPP, расширяя возможности по защите конечных устройств. При этом решения класса EPP обеспечивают защиту от известных типов атак, а EDR — другие этапы жизненного цикла инцидента: детектирование, реагирование и расследование, а часто и функции по анализу эффективности работы EPP для выявления слабых мест в защите. В настоящее время наблюдается сближение этих систем – в EDR-платформах появляется функционал EPP и наоборот.

EDR и все, все, все.

С точки зрения корпоративной системы защиты EDR является дополнительным элементом безопасности, который позволяет выявлять действия злоумышленника, когда он уже смог преодолеть все имеющихся средства защиты. Кроме того, EDR позволяют с помощью выявления аномалий обнаружить подозрительные файлы и направить их на исследование в «песочницу» — виртуальную среду, используемую антивирусными аналитиками для выявления вредоносной активности кодов и приложений.

Именно поэтому сейчас производители антивирусных решений с одной стороны и разработчики сетевых средств защиты с другой стараются встроить функции EDR в свои продукты. В качестве примера рассмотрим два решения класса EDR: FireEye HX и Kaspersky EDR.

Компания FireEye, специализирующаяся на разработке «песочниц», выпустила EDR-решение FireEye Endpoint Security (серия получила наименование HX), которое включает в себя, в том числе следующие технологии:

• обнаружение и блокирование эксплойтов без использования сигнатур (защита от угроз нулевого дня);
• расширение киберразведки FireEye на конечные устройства для всеобъемлющей защиты от современных угроз;
• получение результатов анализа в «песочницах» FireEye (индикаторов) с последующей их проверкой на конечных узлах;
• Triage Viewer и Audit Viewer для отслеживания и анализа индикаторов угроз (детектирование);
• Enterprise Search для быстрого поиска на всех конечных узлах индикаторов и проведения расследования с целью дальнейшего устранения последствий (расследование);
• Forensic Data Acquisition позволяет выполнить сбор данных с устройства для тщательной проверки и анализа (анализ);
• изолирование угроз и скомпрометированных устройств (реагирование).

Продукт интегрирован с другими разработками FireEye, что позволяет в случае обнаружения атак на конкретные устройства оперативно локализовать нападение и не дать вредоносам продолжить свою деятельность в системе. Кроме этого, в состав агента FireEye входит дополнительный антивирус, который выполняет дополнительную проверку подозрительных объектов.

В 2018 году компания «Лаборатория Касперского» выпустила свой продукт под названием Kaspersky EDR, который позволяет решать следующие задачи:

• улучшить контроль рабочих мест и оптимизировать обнаружение угроз с помощью передовых технологий, включая машинное обучение, «песочницу», аналитику угроз и проверку на индикаторы компрометации (IoC) (детектирование);
• автоматизировать выявление угроз и реагирование на них во избежание потерь и простоев (реагирование);
• создать постоянно совершенствующуюся систему защиты на базе простого в использовании корпоративного решения по нейтрализации и расследованию угроз (расследование);
• наладить эффективные процессы обнаружения угроз, управления инцидентами и реагирования на них (процесс модернизации защиты).

Особенностью решения Kaspersky EDR является его интеграция с другими продуктами «Лаборатории Касперского» – антивирусом и Kaspersky KATA.

Таким образом, сейчас рынок EDR — это поле для конкуренции между производителями антивирусов, которые хотят стать полноценными корпоративными средствами защиты от целенаправленных атак, и разработчиками «песочниц», которые выходят на рынок защиты конечных устройств.

Заключение

Рынок EDR сейчас только начинает формироваться и имеет хорошие перспективы для дальнейшего развития. Тем не менее, производителей данных инструментов уже достаточно как минимум для обзоров аналитических компаний. Так, Gartner, Forrester и IDC уже выпустили несколько отчетов по данному рынку и сравнили его перспективность с устоявшимся рынком EPP. Первый опыт внедрения решений класса EDR продемонстрировал их высокую эффективность и способность реально повысить уровень защиты, в том числе и от целенаправленных атак злоумышленников.

Источник: www.dialognauka.ru