为什么端点不再等于防病毒
如今的端点是用户、帐户、浏览器、邮件、文件、VPN、本地管理权限、企业应用程序和数据相遇的地方。在工作站上,会计师打开附件,工程师连接到工业部门,管理员管理服务器,员工在家工作,承包商获得临时访问权限。如果不管理这一层保护,事件很快就会从受感染的笔记本电脑转移到域、ERP、1C、文件存储、VDI、服务器和业务服务。
因此,企业中的Endpoint Security不仅仅是一个防病毒许可证。这是保护工作站、服务器、笔记本电脑、VDI、终端群和特权设备的架构:策略、遥测、调查、隔离、更新、异常、与 SOC 集成以及实施后的清晰操作。
谁需要这样的环境?
CISO 和网络安全服务
您需要查看哪些设备受到保护、应用了哪些策略、哪里存在例外、哪些事件发送到 SOC,以及如果怀疑存在泄露该怎么办。
首席信息官和基础设施
在不破坏用户体验、不与业务应用程序发生冲突、不使服务器过载以及无休止的手动异常的情况下实施保护非常重要。
SOC 和响应
EDR/XDR 成为事实来源:进程、用户、主机、网络连接、文件、命令、横向移动和调查路径。
可调环境
ISPD、CII、GIS、金融和工业领域需要对工作站、服务器、管理站和日志记录进行可证明的保护。
分支机构和远程访问
当员工、承包商和区域办事处在外围工作时,端点成为最后一个需要验证的控制点。
采购及项目办公室
我们需要选择标准、试点、兼容性、规范、推出计划、接受度以及对拥有成本的理解。
关键术语说明
| 学期 | 解码 | 实际意义 |
|---|---|---|
| EPP | Endpoint Protection Platform | 基本端点保护平台:防病毒、防漏洞利用、行为控制、Web/邮件/文件保护、策略和代理管理。 |
| EDR | Endpoint Detection and Response | 工作站和服务器上的检测和响应:进程、文件、命令、网络连接、主机隔离和攻击链调查的遥测。 |
| XDR | Extended Detection and Response | 高级检测和响应,其中端点事件与邮件、网络、身份、云、SIEM/SOAR 和威胁情报相关联。 |
| MDR | Managed Detection and Response | 托管检测和响应服务,其中部分监控和分类由外部或混合团队执行。 |
| NGAV | Next-Generation Anti-Virus | 新一代防病毒软件:行为分析、机器学习模型、监控漏洞利用和可疑行为,而不仅仅是签名。 |
| IOC / IOA | Indicator of Compromise / Indicator of Attack | IOC 显示出妥协的迹象,IOA 显示出攻击技术的迹象。对于 SOC,两种方法都很有用:感染的事实和行为模式。 |
| Telemetry | 端点代理遥测 | 有关进程、文件、注册表、网络连接、命令行、用户和安全操作的事件。 |
| Device Control | 设备控制 | 针对 USB、外部介质、蓝牙、打印机、相机和其他可传输信息或接收恶意代码的渠道的策略。 |
| SOC | Security Operations Center | 监控、调查和响应团队和流程。没有 SOC 的端点通常会变成警报仓库,而没有端点的 SOC 会失去攻击的一个重要方面。 |
终点特别关键的地方
| 情况 | 为什么这很重要 | 我们设计什么 |
|---|---|---|
| 许多工作场所和分支机构 | 如果没有集中的策略,不同版本的代理、本地异常、设备下落不明以及区域弱点很快就会出现。 | 策略组、代理管理、分阶段部署、覆盖范围监控、所有者报告和例外情况。 |
| 服务器、VDI 和终端群 | 正常的操作策略可能会破坏性能,而过于宽松的策略会使关键服务器得不到保护。 | 服务器、VDI、终端会话、文件存储、备份和技术服务的单独配置文件。 |
| 特权设备 | 管理员工作站往往比普通服务器更有价值:通过它您可以访问域、网络设备和网络安全。 | 严格的策略、PAM 绑定、命令控制、隔离、日志记录和单独的响应场景。 |
| ISPDn、KII 和 GIS | 监管循环不仅需要既定的代理,还需要合理的措施、日志、文件、验收和运营控制。 | 与威胁模型、保护措施、FSTEC 要求、SIEM、证据包和维护法规的连接。 |
| 勒索软件风险 | 勒索软件攻击端点、帐户、共享文件夹、备份和域基础设施。 | 行为策略、防止横向移动、主机隔离、备份卫生、响应和培训手册。 |
世界和俄罗斯实践
成熟的网络安全计划将端点保护与资产管理、配置管理、访问管理、漏洞管理、监控和响应联系起来。 NIST Cybersecurity Framework 2.0 有助于将端点与治理、识别、保护、检测、响应和恢复功能相关联。 CIS Controls v8 作为实用的基准:资产清单、安全配置、访问控制、恶意软件防御、审计日志和漏洞管理。 MITRE ATT&CK Enterprise 帮助检查 EDR/XDR 实际看到哪些攻击技术:执行、持久性、权限升级、防御规避、凭证访问和横向移动。
在俄罗斯赛道中,必须通过特定类型的系统来考虑端点:个人数据和 152-FZ, 重要物体 KII / 187-FZ、GIS、FSTEC 要求、经过认证的信息保护系统、威胁模型、日志、法规和验收。仅靠一种产品并不能创造合规性:合规性来自架构、设置、文档、流程和可论证的操作。
RESTART 交付什么
民意调查
我们收集一系列设备、用户组、服务器角色、VDI、远程访问、当前代理、异常、事件和业务限制。
建筑学
我们设计目标策略、设备组、管理角色、更新通道、日志记录、集成和验收标准。
选择与试点
我们选择 EPP/EDR/XDR 来适应客户的情况,检查与业务应用程序的兼容性、性能、检测质量和调查的简易性。
Rollout
我们分阶段实施:试点组、关键服务器、分支机构、远程用户、特权设备、回滚和通信。
集成
我们将端点与 AD/LDAP、SIEM/SOAR、ITSM、PAM/IDM、VM、邮件安全、网络安全和监控连接。
运营
我们转让操作手册、行动手册、角色矩阵、政策变更规则、例外顺序、报告和开发路线图。
当您不仅需要安装代理,还需要将保护置于可管理状态时,RESTART 非常有用:启动后清除所有者、策略、事件、反应、文档和支持。
附属技术
RESTART 项目中的 Endpoint Security 可以基于 Kaspersky、Security Code、Confident、UserGate 和 F6 产品构建。具体组成取决于法规、现有基础设施、认证要求、SOC 成熟度、预算、性能和支持模型。
斯达汉诺夫派
DLP、泄漏保护、员工活动监控和人员分析

Kaspersky
EPP, EDR/XDR, KATA, Security Center, threat intelligence

安全码
监管网络安全、端点、可信下载、虚拟化

机密的
保护工作站、服务器、NSD 和可信下载
UserGate
客户端、NGFW、SIEM/LogAn 和安全访问

F6
托管 XDR、威胁情报、ASM、DRP 和反欺诈
合作伙伴被列为解决方案类的技术骨干。在项目开始之前检查版本、许可证、证书、兼容性和交付条件。
人工智能如何帮助端点保护
人工智能可以加速端点进程,但不应单独禁用保护或集体更改策略。在成熟的环境中,他帮助 SOC 分析师和网络安全工程师:对相似的警报进行分组,解释事件链,将观察到的行为与 MITRE ATT&CK 进行比较,在知识库中搜索类似事件,准备剧本草稿,突出显示风险异常,并帮助经理看到的不是一连串警报,而是一幅风险图景。
对于 RESTART 来说,安全模式是根本:人工智能在商定的循环内工作,具有访问权限、日志记录、来源、人在循环中,并禁止未经确认的自动破坏性行为。然后,人工智能可以减少人工工作量并加快调查速度,而不会成为新的风险。
企业得到什么?
减少停机风险
降低了因政策混乱而导致大规模感染、勒索软件事件和手动关闭工作的可能性。
设备可见性
团队了解哪些设备受到保护、代理不起作用、版本已过时以及哪些服务器需要单独的配置文件。
更快的调查
EDR/XDR 提供发票:进程、文件、命令、用户、网络和攻击者的操作链。
SOC 就绪环境
端点事件成为 SIEM/SOAR、剧本、ITSM 任务、SLA 和管理报告的来源。
异常控制
例外情况不再存在于管理员的收件箱和记忆中:它们有所有者、原因、截止日期、风险和审查。
审计的可证明性
剩下的是用于网络安全、合规性和内部审计的报告、策略、日志、试点协议、验收和证据包。
交付成果
- 端点资产图:工作站、服务器、笔记本电脑、VDI、终端群、特权设备和例外;
- 目标 EPP/EDR/XDR 架构、管理角色、策略组和集成方案;
- 试点计划、成功标准、兼容性、性能、检测质量和操作风险报告;
- 策略矩阵:用户、服务器、关键系统、受监管部分、USB/设备控制、例外和回滚;
- 与 AD/LDAP、SIEM/SOAR、ITSM、PAM/IDM、VM、威胁情报和监控集成;
- 管理操作手册、响应操作手册、主机隔离、升级、异常和恢复顺序;
- 证据包:覆盖范围报告、设置、日志、试点协议、验收和开发建议;
- 开发路线图:新的设备组、用例 SOC、SOAR 自动化、漏洞控制和团队培训。
第一步实践
从端点环境的简短诊断开始是合理的:实际管理了多少设备,安装了哪些代理,应用了哪些策略,哪里有未统计的服务器,累积了哪些异常,哪些事件发送到 SIEM 以及谁响应事件。
此后,您可以选择格式:EDR/XDR 试点、EPP 策略重组、特权端点保护、部署到分支机构、与 SOC 集成或监管环路项目。
常见问题
EPP 与 EDR 有何不同?
EPP 主要预防常见威胁并管理基本设备保护。 EDR 收集高级遥测数据,帮助调查事件并做出响应:隔离主机、查看进程链、查找类似事件。
如果还没有SOC,是否需要EDR?
有时是的,但您需要提前了解谁将观看警报并做出决定。如果没有响应过程,EDR 很快就会成为昂贵的警报源。
如何在不停止用户的情况下实现?
通过试点小组、分阶段部署、服务器和 VDI 的单独策略、性能监控、关键应用程序列表、回滚计划以及与流程所有者的沟通。
旧站该怎么办?
它们通常需要单独的政策、遏制、补偿措施、访问控制、分段以及明确的退役或现代化计划。
是否可以将端点链接到 SIEM/SOAR?
是的。端点事件通常是 SOC 最有价值的来源之一:进程启动、命令、用户、网络连接、保护触发器和响应操作。
端点与 PAM/IDM 有何关系?
通过控制本地管理员、特权桌面、服务帐户、MFA、管理角色和用户操作调查。
哪些产品适合?
选择取决于基础设施、法规、SOC 成熟度、预算和支持。 RESTART有助于比较选项、进行试点并将产品与实际操作联系起来。
Endpoint 是否满足 152-FZ、KII 或 GIS 的要求?
它涵盖了部分技术措施,但不是整个环境。我们需要威胁模型、架构、文档、日志、访问、流程、验收和维护。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
