解决方案

端点安全:保护工作站、服务器和用户

RESTART 有助于将终端设备保护构建为托管企业级架构:从基本 EPP 策略和设备控制到 EDR/XDR、调查、与 SIEM/SOAR 集成、运营法规和对受监管环境的支持。

“端点安全”页面的英雄图片

为什么端点不再等于防病毒

如今的端点是用户、帐户、浏览器、邮件、文件、VPN、本地管理权限、企业应用程序和数据相遇的地方。在工作站上,会计师打开附件,工程师连接到工业部门,管理员管理服务器,员工在家工作,承包商获得临时访问权限。如果不管理这一层保护,事件很快就会从受感染的笔记本电脑转移到域、ERP、1C、文件存储、VDI、服务器和业务服务。

因此,企业中的Endpoint Security不仅仅是一个防病毒许可证。这是保护工作站、服务器、笔记本电脑、VDI、终端群和特权设备的架构:策略、遥测、调查、隔离、更新、异常、与 SOC 集成以及实施后的清晰操作。

谁需要这样的环境?

CISO 和网络安全服务

您需要查看哪些设备受到保护、应用了哪些策略、哪里存在例外、哪些事件发送到 SOC,以及如果怀疑存在泄露该怎么办。

首席信息官和基础设施

在不破坏用户体验、不与业务应用程序发生冲突、不使服务器过载以及无休止的手动异常的情况下实施保护非常重要。

SOC 和响应

EDR/XDR 成为事实来源:进程、用户、主机、网络连接、文件、命令、横向移动和调查路径。

可调环境

ISPD、CII、GIS、金融和工业领域需要对工作站、服务器、管理站和日志记录进行可证明的保护。

分支机构和远程访问

当员工、承包商和区域办事处在外围工作时,端点成为最后一个需要验证的控制点。

采购及项目办公室

我们需要选择标准、试点、兼容性、规范、推出计划、接受度以及对拥有成本的理解。

关键术语说明

学期解码实际意义
EPPEndpoint Protection Platform基本端点保护平台:防病毒、防漏洞利用、行为控制、Web/邮件/文件保护、策略和代理管理。
EDREndpoint Detection and Response工作站和服务器上的检测和响应:进程、文件、命令、网络连接、主机隔离和攻击链调查的遥测。
XDRExtended Detection and Response高级检测和响应,其中端点事件与邮件、网络、身份、云、SIEM/SOAR 和威胁情报相关联。
MDRManaged Detection and Response托管检测和响应服务,其中部分监控和分类由外部或混合团队执行。
NGAVNext-Generation Anti-Virus新一代防病毒软件:行为分析、机器学习模型、监控漏洞利用和可疑行为,而不仅仅是签名。
IOC / IOAIndicator of Compromise / Indicator of AttackIOC 显示出妥协的迹象,IOA 显示出攻击技术的迹象。对于 SOC,两种方法都很有用:感染的事实和行为模式。
Telemetry端点代理遥测有关进程、文件、注册表、网络连接、命令行、用户和安全操作的事件。
Device Control设备控制针对 USB、外部介质、蓝牙、打印机、相机和其他可传输信息或接收恶意代码的渠道的策略。
SOCSecurity Operations Center监控、调查和响应团队和流程。没有 SOC 的端点通常会变成警报仓库,而没有端点的 SOC 会失去攻击的一个重要方面。

终点特别关键的地方

情况为什么这很重要我们设计什么
许多工作场所和分支机构如果没有集中的策略,不同版本的代理、本地异常、设备下落不明以及区域弱点很快就会出现。策略组、代理管理、分阶段部署、覆盖范围监控、所有者报告和例外情况。
服务器、VDI 和终端群正常的操作策略可能会破坏性能,而过于宽松的策略会使关键服务器得不到保护。服务器、VDI、终端会话、文件存储、备份和技术服务的单独配置文件。
特权设备管理员工作站往往比普通服务器更有价值:通过它您可以访问域、网络设备和网络安全。严格的策略、PAM 绑定、命令控制、隔离、日志记录和单独的响应场景。
ISPDn、KII 和 GIS监管循环不仅需要既定的代理,还需要合理的措施、日志、文件、验收和运营控制。与威胁模型、保护措施、FSTEC 要求、SIEM、证据包和维护法规的连接。
勒索软件风险勒索软件攻击端点、帐户、共享文件夹、备份和域基础设施。行为策略、防止横向移动、主机隔离、备份卫生、响应和培训手册。

世界和俄罗斯实践

成熟的网络安全计划将端点保护与资产管理、配置管理、访问管理、漏洞管理、监控和响应联系起来。 NIST Cybersecurity Framework 2.0 有助于将端点与治理、识别、保护、检测、响应和恢复功能相关联。 CIS Controls v8 作为实用的基准:资产清单、安全配置、访问控制、恶意软件防御、审计日志和漏洞管理。 MITRE ATT&CK Enterprise 帮助检查 EDR/XDR 实际看到哪些攻击技术:执行、持久性、权限升级、防御规避、凭证访问和横向移动。

在俄罗斯赛道中,必须通过特定类型的系统来考虑端点:个人数据和 152-FZ, 重要物体 KII / 187-FZ、GIS、FSTEC 要求、经过认证的信息保护系统、威胁模型、日志、法规和验收。仅靠一种产品并不能创造合规性:合规性来自架构、设置、文档、流程和可论证的操作。

RESTART 交付什么

01

民意调查

我们收集一系列设备、用户组、服务器角色、VDI、远程访问、当前代理、异常、事件和业务限制。

02

建筑学

我们设计目标策略、设备组、管理角色、更新通道、日志记录、集成和验收标准。

03

选择与试点

我们选择 EPP/EDR/XDR 来适应客户的情况,检查与业务应用程序的兼容性、性能、检测质量和调查的简易性。

04

Rollout

我们分阶段实施:试点组、关键服务器、分支机构、远程用户、特权设备、回滚和通信。

05

集成

我们将端点与 AD/LDAP、SIEM/SOAR、ITSM、PAM/IDM、VM、邮件安全、网络安全和监控连接。

06

运营

我们转让操作手册、行动手册、角色矩阵、政策变更规则、例外顺序、报告和开发路线图。

当您不仅需要安装代理,还需要将保护置于可管理状态时,RESTART 非常有用:启动后清除所有者、策略、事件、反应、文档和支持。

附属技术

RESTART 项目中的 Endpoint Security 可以基于 Kaspersky、Security Code、Confident、UserGate 和 F6 产品构建。具体组成取决于法规、现有基础设施、认证要求、SOC 成熟度、预算、性能和支持模型。

合作伙伴被列为解决方案类的技术骨干。在项目开始之前检查版本、许可证、证书、兼容性和交付条件。

人工智能如何帮助端点保护

人工智能可以加速端点进程,但不应单独禁用保护或集体更改策略。在成熟的环境中,他帮助 SOC 分析师和网络安全工程师:对相似的警报进行分组,解释事件链,将观察到的行为与 MITRE ATT&CK 进行比较,在知识库中搜索类似事件,准备剧本草稿,突出显示风险异常,并帮助经理看到的不是一连串警报,而是一幅风险图景。

对于 RESTART 来说,安全模式是根本:人工智能在商定的循环内工作,具有访问权限、日志记录、来源、人在循环中,并禁止未经确认的自动破坏性行为。然后,人工智能可以减少人工工作量并加快调查速度,而不会成为新的风险。

企业得到什么?

减少停机风险

降低了因政策混乱而导致大规模感染、勒索软件事件和手动关闭工作的可能性。

设备可见性

团队了解哪些设备受到保护、代理不起作用、版本已过时以及哪些服务器需要单独的配置文件。

更快的调查

EDR/XDR 提供发票:进程、文件、命令、用户、网络和攻击者的操作链。

SOC 就绪环境

端点事件成为 SIEM/SOAR、剧本、ITSM 任务、SLA 和管理报告的来源。

异常控制

例外情况不再存在于管理员的收件箱和记忆中:它们有所有者、原因、截止日期、风险和审查。

审计的可证明性

剩下的是用于网络安全、合规性和内部审计的报告、策略、日志、试点协议、验收和证据包。

交付成果

  • 端点资产图:工作站、服务器、笔记本电脑、VDI、终端群、特权设备和例外;
  • 目标 EPP/EDR/XDR 架构、管理角色、策略组和集成方案;
  • 试点计划、成功标准、兼容性、性能、检测质量和操作风险报告;
  • 策略矩阵:用户、服务器、关键系统、受监管部分、USB/设备控制、例外和回滚;
  • 与 AD/LDAP、SIEM/SOAR、ITSM、PAM/IDM、VM、威胁情报和监控集成;
  • 管理操作手册、响应操作手册、主机隔离、升级、异常和恢复顺序;
  • 证据包:覆盖范围报告、设置、日志、试点协议、验收和开发建议;
  • 开发路线图:新的设备组、用例 SOC、SOAR 自动化、漏洞控制和团队培训。

第一步实践

从端点环境的简短诊断开始是合理的:实际管理了多少设备,安装了哪些代理,应用了哪些策略,哪里有未统计的服务器,累积了哪些异常,哪些事件发送到 SIEM 以及谁响应事件。

此后,您可以选择格式:EDR/XDR 试点、EPP 策略重组、特权端点保护、部署到分支机构、与 SOC 集成或监管环路项目。

常见问题

EPP 与 EDR 有何不同?

EPP 主要预防常见威胁并管理基本设备保护。 EDR 收集高级遥测数据,帮助调查事件并做出响应:隔离主机、查看进程链、查找类似事件。

如果还没有SOC,是否需要EDR?

有时是的,但您需要提前了解谁将观看警报并做出决定。如果没有响应过程,EDR 很快就会成为昂贵的警报源。

如何在不停止用户的情况下实现?

通过试点小组、分阶段部署、服务器和 VDI 的单独策略、性能监控、关键应用程序列表、回滚计划以及与流程所有者的沟通。

旧站该怎么办?

它们通常需要单独的政策、遏制、补偿措施、访问控制、分段以及明确的退役或现代化计划。

是否可以将端点链接到 SIEM/SOAR?

是的。端点事件通常是 SOC 最有价值的来源之一:进程启动、命令、用户、网络连接、保护触发器和响应操作。

端点与 PAM/IDM 有何关系?

通过控制本地管理员、特权桌面、服务帐户、MFA、管理角色和用户操作调查。

哪些产品适合?

选择取决于基础设施、法规、SOC 成熟度、预算和支持。 RESTART有助于比较选项、进行试点并将产品与实际操作联系起来。

Endpoint 是否满足 152-FZ、KII 或 GIS 的要求?

它涵盖了部分技术措施,但不是整个环境。我们需要威胁模型、架构、文档、日志、访问、流程、验收和维护。

让我们讨论一下您的环境

描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。

联系我们
AI 助手
你好!我是 RESTART 的人工智能助理。我将帮助您找到网站的正确部分,回答有关服务、许可证、合作伙伴关系、联系人的问题,或向销售部门提出上诉。