Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2023/10/09 |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основная статья: Security Information and Event Management (SIEM)
2024
Соответствие требованиям к четвертому уровню доверия и техническим условиям ФСТЭК России
Продукт для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR подтвердил соответствие требованиям к четвертому уровню доверия и техническим условиям ФСТЭК России. Об этом разработчик решения сообщил 13 мая 2024 года. Документ официально свидетельствует о том, что продукт можно использовать для защиты конечных точек государственных информационных систем и значимых объектов критической информационной инфраструктуры (КИИ) самого высокого класса защищенности.
При сертификации средствам защиты информации присваиваются уровни доверия. Они определяют объем и виды испытаний, которые необходимо пройти для подтверждения соответствия требованиям ФСТЭК России. От этого параметра зависит перечень информационных систем, в которых могут использоваться продукты. MaxPatrol EDR сертифицирован по четвертому уровню доверия, что позволяет внедрять его в инфраструктуру организаций госсектора, финансовых, промышленных, транспортных компаний и других субъектов КИИ.
MaxPatrol EDR также проверялся на соответствие техническим условиям, которые определяют, какие функции защиты реализованы в ПО.
По данным об общемировых инцидентах ИБ, в 2023 году злоумышленники часто реализовывали недопустимые события на объектах критической инфраструктуры: 15% успешных атак пришлось на государственные учреждения, по 8% — на компании из сферы финансов, промышленности и ИТ, — сказал Юрий Бережной, руководитель направления по развитию защиты конечных точек Positive Technologies. — Использование вредоносного ПО и эксплуатация уязвимостей остаются основными методами хакеров. Нередко точкой входа злоумышленники выбирают именно конечные устройства: они крайне уязвимы, поскольку зависят от пользователей и позволяют применять разные векторы атак. Теперь MaxPatrol EDR поможет еще большему числу компаний на ранних этапах выявлять угрозы и оперативно реагировать на них прежде, чем злоумышленники успеют нанести недопустимый ущерб. |
MaxPatrol EDR устанавливается на персональные компьютеры и ноутбуки сотрудников, виртуальные рабочие места и серверы. Автономные агенты защищают устройства удаленных сотрудников, а также те, которые находятся вне домена или не в сети. ПО поддерживает популярные ОС, в том числе сертифицированные российские. Благодаря правилам от экспертного центра безопасности Positive Technologies продукт выявляет современные угрозы, определяет топ-50 популярных тактик и техник злоумышленников для Windows-систем и топ-20 для Linux-систем по матрице MITRE ATT&CK. MaxPatrol EDR позволяет гибко настраивать правила реагирования на угрозы с учетом потребностей компании и предотвращать атаки как в ручном, так и в автоматическом режиме.
Включение в единый реестр российского ПО
Продукт для выявления киберугроз на конечных точках и реагирования на них MaxPatrol EDR, разработанный Positive Technologies, включен в единый реестр российского ПО. Об этом разработчик сообщил 18 января 2024 года.
По итогам первых трех кварталов 2023 года на организации госсектора пришлось наибольшее количество инцидентов ИБ — 15% от всех успешных атак. Число целевых атак растет из года в год и, по прогнозам Positive Technologies, 2024-й не станет исключением. Наиболее уязвимыми могут стать организации, активно обменивающиеся данными. В разных цепочках поставок у компании могут быть как контрагенты с защищенной инфраструктурой и выстроенной кибербезопасностью, так и со слабо развитой ИБ. В таких условиях организациям необходимо иметь надежную защиту конечных точек с современными механизмами обнаружения атак и устранять угрозы прежде, чем будут нарушены рабочие процессы.
MaxPatrol EDR уже на ранних этапах выявляет сложные и целевые атаки, которые развиваются на устройствах, а также собирает данные для организации расследований. Система проводит поведенческий анализ прямо на устройствах, использует экспертизу PT Expert Security Center и имеет гибкие настройки механизмов обнаружения и реагирования. Благодаря этому продукт оперативно находит киберугрозы, даже если действия злоумышленников замаскированы под легитимные. Набор разнообразных методов реагирования, предоставляемых на выбор операторам служб ИБ, покрывает большую часть мер защиты компании. MaxPatrol EDR поддерживает отечественные операционные системы, в том числе российские сертифицированные ОС, и системы Windows, macOS и Linux. Продукт может быть адаптирован к разным типам инфраструктур, за счет чего облегчает работу специалистов по ИБ.
Конечные точки все еще остаются удобными мишенями для проникновения злоумышленников в инфраструктуру. В качестве метода атаки хакеры часто используют вредоносное программное обеспечение: вирусы-шифровальщики, стилеры, вайперы, ВПО, модифицированное под конкретные ОС, — сказал Егор Назаров, руководитель направления развития бизнеса защиты от комплексных атак, Positive Technologies. — Злоумышленники непрерывно совершенствуют свои инструменты, поэтому традиционные средства защиты уже не способны точно выявлять угрозы. На смену им приходят более эффективные решения, относящиеся к классу endpoint detection and response (EDR). С их помощью можно получить полное представление о том, что происходит на конечных точках и вовремя обнаружить и устранить угрозы как в рамках внутреннего SOC, так и с участием провайдеров услуг по безопасности. |
2023: Представление MaxPatrol ED
Компания Positive Technologies 9 октября 2023 года представила продукт для выявления киберугроз на конечных точках и реагирования на них — MaxPatrol EDR. Благодаря статическому и поведенческому анализу, экспертным правилам PT Expert Security Center (экспертный центр безопасности) и гибкой настройке правил обнаружения и реагирования, система выявляет сложные и целевые атаки в динамике. Это важно, когда злоумышленники маскируют свою активность в системе под легитимную. Кроме того, MaxPatrol EDR позволяет моментально останавливать вредоносные действия как вручную, так и автоматически.
Систему можно установить на персональные компьютеры сотрудников, ноутбуки, виртуальные рабочие места или серверы. Она поддерживает многие операционные системы (Windows, Linux, macOS), в том числе российские сертифицированные ОС. За счет экспертизы PT Expert Security Center MaxPatrol EDR выявляет различные виды атак, определяет топ-50 популярных тактик и техник злоумышленников для Windows и топ-20 для Linux-систем по матрице MITRE ATT&CK. Среди них — атаки с применением актуального вредоносного ПО, в том числе Agent Tesla, RedLine, njRAT, FormBook.
По данным исследований Positive Technologies, количество сложных и целевых атак в мире непрерывно растет. В частности, во II квартале 2023 года четыре из пяти кибернападений носили целенаправленный характер. Удобной мишенью для проникновения злоумышленников в инфраструктуру компаний до сих пор остаются конечные точки: в 90% успешных атак объектами были ноутбуки, стационарные компьютеры сотрудников, серверы. Киберпреступники используют их как «шлюзы» для подключения к корпоративной сети или бизнес-системам. Все чаще в таких атаках специалисты Positive Technologies отмечают применение новых хакерских техник и вредоносных программ (шифровальщиков, вайперов, а также специально созданного ВПО, модифицированного под определенные операционные системы), которые умеют обходить традиционные средства ИБ, установленные на компьютерах: антивирусы, системы защиты конечных точек (endpoint protection platform), узловые системы обнаружения вторжений (HIDS)).
Один из инструментов для противодействия сложным атакам — системы класса EDR. Они позволяют выявить действия злоумышленников, даже если использовались легитимные встроенные компоненты ОС (PowerShell, WMI, CMD, Bash), а следы присутствия скрыты. По результатам опроса, проведенного Positive Technologies, 14% российских компаний уже пользуются EDR- или XDR-решениями, 26% планируют такой проект и выбирают между системами нескольких производителей, а 30% понимают необходимость их приобретения, но пока им не хватает финансовых средств.
Среди сложностей в использовании продуктов для защиты конечных точек, представленных на рынке, опрошенные отметили отсутствие возможности гибко настроить глубину анализа, чтобы не перегружать узлы, большое количество ложных срабатываний, слабую поддержку операционных систем, а также низкий уровень обнаружения вредоносных программ.
По данным экспертного центра безопасности Positive Technologies, APT-группировки из разных стран применяют схожий инструментарий, однако использование различных комбинаций тактик и техник в постоянно меняющихся условиях осложняет их обнаружение. Налаживание новых торговых путей и экономических связей с другими государствами открывает двери для ранее неизвестного в нашем регионе вредоносного ПО и группировок с других континентов. Антивирусные программы и другие традиционные средства защиты конечных точек не готовы к таким угрозам и вряд ли смогут оперативно адаптироваться, — сказал Егор Назаров, руководитель по развитию направления защиты от комплексных атак Positive Technologies. — MaxPatrol EDR позволяет компаниям любого масштаба непрерывно защищать конечные точки на различных ОС. В отличие от классических EDR-решений, которые зачастую управляются оператором и не подразумевают обратной реакции при выявлении вредоносных действий, наша система обладает большими возможностями по своевременному реагированию на узлах, в том числе в автоматическом режиме. |
MaxPatrol EDR теперь можно приобрести как самостоятельный продукт. Также он по-прежнему является частью PT XDR — комплексного решения для расширенного обнаружения угроз и реагирования на них, которое Positive Technologies выпустила в 2021 году.
Система поддерживает совместную установку с другими средствами защиты. Ее агенты могут работать автономно, то есть проводить анализ и противодействовать угрозам на конечных точках даже в изолированных сетях, без обращения к серверу. За счет автоматизации рутинных задач и процессов реагирования повышается эффективность работы центров противодействия киберугрозам, а специалисты по ИБ получают возможность экономить ресурсы и время на первичном анализе, расследовании, сборе данных и остановке атак. Освободившееся время они могут посвятить более сложным задачам, например проактивному поиску угроз, обнаружению и анализу уязвимостей и харденингу инфраструктуры.
Уже более 20 лет мы создаем собственные технологии и фокусируемся на том, чтобы специалистам по ИБ было удобно ими пользоваться. За счет гибкой настройки модулей обнаружения и политик MaxPatrol EDR хорошо адаптируется к разным типам инфраструктур и обеспечивает хороший баланс между нагрузкой на узлы и задачами SOC, — отметил Дмитрий Нагибин, руководитель департамента разработки средств защиты станций и серверов Positive Technologies. — В его основе набор проверенных технологий, которые доказали свою эффективность в других наших решениях. Например, от системы мониторинга событий ИБ MaxPatrol SIEM мы позаимствовали технологию хранения телеметрии и механизм корреляции и нормализации событий на конечных точках сети, от PT Sandbox — анализ файлов статическим и динамическим методами, от системы управления уязвимостями MaxPatrol VM — механизм сканирования окружения на уязвимые места. |
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (139)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Инфосекьюрити (Infosecurity) (2)
Инфосистемы Джет (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
Уральский центр систем безопасности (УЦСБ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 13)
Micro Focus (5, 13)
Другие (274, 109)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
Инфосекьюрити (Infosecurity) (1, 1)
Киберполигон (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Перспективный мониторинг (1, 3)
Лаборатория Касперского (Kaspersky) (3, 2)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
Другие (6, 6)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
MaxPatrol SIEM - 33 (33, 0)
СёрчИнформ SIEM - 17 (17, 0)
HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
Другие 19
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 7 (0, 7)
R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
Ngenix Облачная платформа - 2 (2, 0)
MaxPatrol SIEM - 2 (2, 0)
СёрчИнформ SIEM - 1 (1, 0)
Другие 2
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
CyberART Сервисная служба киберзащиты - 4 (4, 0)
PT Network Attack Discovery (PT NAD) - 2 (2, 0)
УЦСБ: DATAPK - 2 (2, 0)
Другие -7
СёрчИнформ SIEM - 3 (3, 0)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
CloudLinux Imunify360 - 1 (1, 0)
МТС Центр информационной безопасности (SOC) - 1 (1, 0)
Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 (1, 0)
Другие 7
СёрчИнформ SIEM - 9 (9, 0)
Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
Перспективный мониторинг: Ampire Киберполигон - 3 (3, 0)
MaxPatrol SIEM - 2 (2, 0)
Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
Другие 9