Thursday, November 2, 2017

EPP и EDR с позиции Заказчика

- Вам чай или кофе?
- Чай.
- Вам черный или зеленый?
- Черный!
- Вам с бергамотом или без?
- Без!!
- Вам с сахаром или без?
- С сахаром!!!
- Вам сахар коричневый или простой?
- Уважаемая, дай мне уж, пожалуйста, хоть что-нибудь!!!!

(личный опыт общения в ресторане гостиницы)

Очевидно, что любую атаку прежде всего желательно остановить, причем, максимально быстро, т.е. автоматически. Этим занимаются Endpoint protection platforms - EPP. Однако, понятны и принципиальны ограничения превентивного автомата: а) у него нет права на ошибку, поэтому обречен убивать только 100% зло, и поэтому плохо работает против атак без применения гарантированно вредоносных инструментов (== атак без применения ВПО), да и вообще, убивать только инструменты дело неблагодарное, ибо их несложно сделать великое множество; б) человек всегда может обмануть автомат; в) подход все же реактивен.

Поэтому то, что мы не можем обезвредить автоматически, мы должны уметь хотя бы обнаружить, опять же - быстро, т.е. желательно автоматически. Принципиальное преимущество (как бы это ни странно звучало) детективного подхода - право на ошибку, - последствия от ложных срабатываний детектирующей системы не будут столь драматичны, а такая свобода позволяет обнаруживать больший спектр атак. Но появляется задача "разгребания" ложных срабатываний, конфигурации системы с учетом situational awareness, ... - оплатой большей широты покрытия является обязательное наличие операционной безопасности. Но, тем не менее, риски, связанные с проигрывающей человеку автоматической логикой (б) и реактивностью (в), - сохраняются как и в первом случае.

Отступая еще дальше с целью находить атаки, для которых нет автоматической, даже детектирующей, логики, мы попадаем в еще более широкую область Threat hunting-а. По сути своей - это такое же исследование атак, как это делает любой вендор решений безопасности, но перенесенное в инфраструктуру конкретного заказчика, потому что целевые атаки едва ли можно найти 'in the wild' и поэтому их надо уметь искать в конкретной сети. В стремлении не делать одну и ту же работу более одного раза, успешные трофеи после каждой охоты запиливаются либо в детекты ЕРР, ну, а если это тяжело\невозможно автоматически обезвредить, - в детекты, которые будет подхватывать в работу операционная безопасность (SOC). Концептуально понятно, что Threat hunting делается руками, поскольку наличие автоматизированных алертов любой степени "интеллектуальности" возвращает нас к детектирующим системам.

Все сказанное выше можно отобразить на простенькой схемке.

С точки зрения Заказчика, решающего одну задачу защиты от атак, понятно, что надо убивать все 100%-ное зло, там где все также есть индикаторы, но есть сомнения - сначала посрасследовать, а затем, если подтвердилась нефолса, убивать, ну а где и индикаторов нет - искать, искать и искать, подтверждения, что меня поломали.
Однако, исследователи рынка разбивают эту одну задачу, на разные, решаемые разными классами продуктов - EPP, EDR + всякие NG-*. Такое разделение культивирует в корне неправильное мнение об некой отсталости ЕРР от новых продвинутых технологий в составе EDR, тогда как любому здравомыслящему понятно, что оба подхода - звенья одной цепи, дающие результат только в совокупности. Такое искусственное дробление, где каждая из частей не дает желаемого результата напоминает историю о развешивании лейблов на различные типы ВПО с последующим выпуском многокомпонентных решений по защите.
Лично я против сложности и сторонник интеграции. Поэтому если в какой-то момент времени изменились ландшафт угроз\типы атак, надо не делать новый продукт, а обеспечивать чтобы существующий продолжал решать поставленные изначально перед ним задачи. Т.е. если EPP изначально придумывался для защиты от атак, то он и должен проходить по всем линиям "отступления" от автоматического лечения, через автоматическое обнаружение до Threat hunting-платформы, а не дробиться на части, эффективно работающие только на каком-то подмножестве проблематики, давая пищу для маркетинговых лозунгов о "legacy", "file-based AV" и пр. Ни EPP, ни EDR, ни NG-* по отдельности не решат задачу Заказчика защиты от [старых, новых, целевых] атак, а, следовательно, нужно предлагать и оценивать комплексные решения, эффективно работающие как против старых, так и против новых TTP, успешно детектирующие по всей "Пирамиде боли" на всех этапах.


No comments: