• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья EDR или не EDR - вот в чем вопрос! Обзор Cisco Advanced Malware Protection (AMP), FortiEDR (FEDR), CheckPoint SandBlast Forensics, Kaspersky KATA и KM

☣️
! Прошу заметить, что представленная ниже информация, ничто иное, как взгляд со стороны на продукт в целом, и не в коем случае не лоббирование конкретного вендора или попытка "завалить циску". Прошу заметить, что информацию черпал с публичных источников, статей с "Хабра", аналитики самих вендоров и собственном анализе доступных и подручных средств. Это не статья, это личный взгляд на ситуацию опытного, не равнодушного и сертифицированного offence и defense сотрудника.

В рамках рассмотрения необходимости и целесообразности продуктов класса EDR, среди которых были рассмотрены Cisco Advanced Malware Protection (AMP), FortiEDR (FEDR), CheckPoint SandBlast Forensics, Kaspersky KATA и KMDR. С последними, честно скажу, я лично запутался пытаясь понять who is who при поиске на сайте касперского подробной информации и запутался еще сильнее, поэтому черпать информацию не с чего, кроме роликов вендора. Прошу заметить, что продукты такого класса приобретаются, как вспомогательный инструмент в уже "зрелых" компаниях, в которых поставлены все процессы, есть четкая стратегия развития ИБ и т.п.

Первично информацию использовал со старинной статьи 2017 года

Почему возникла эта статья, что побудило меня к написанию - все просто, удалёнка побудила задуматься, вендоры присели на уши руководству, а процессы компании перевалили за "воронку не возврата", так я называю точку во времени, за которую поступает такое количество журналов событий, когда твой мозг просто не успевает переварить и обработать эту информацию и ты начинаешь относиться к этому как "матричному коду", а корреляция событий превращается в адские муки и просто хочется увидеть в действии новые технологии.

1612037479093.png


В современном понимании, сложившемся в мире бизнеса, из-за смены векторов атак и возникающих угроз, вендоры были вынуждены объединять часть функционала различных линеек продуктов в единую платформу. На смену разрозненным сервисам, таким как AV, EPP, IPS, IDS и иногда даже DLP - пришел продукт класса EDR.
Но первичное восприятие говорит о том, что данный продукт решает основную проблему в подразделениях SOC - это самое важное - то самое время, затрачиваемое на расследование инцидента, время на обнаружение угрозы, время на локализацию и предотвращение, в том числе автоматизация процессов реагирования на неизвестные угрозы 0-day.
Продукт по описанию производителей, позволяет автоматизировать процесс обнаружения и реагирования без необходимости привлечения различных групп реагирования, без сбора коллегиальной комиссии без которой осуществить реальную защиту не в состоянии по требованиям регуляторов рынка или ВНД компаний.

Проанализировав Gartner Magic Quadrant for Endpoint Protection Platforms, 2018 года, я увидел большой список продуктов. Ничего специального я не искал, кроме фразы "gartner EDR" в картинках гугла.

1612037520735.png


Fortinet в яме в 2018 году, Kaspersky в 5-ке лидеров, Cisco 3-е с конца, но дальше мы рассмотрим все эти "высокие" позиции глазами SOCa
Смотрим еще одну The Forrester Wave: Endpoint Security Suites, Q2 2018

1612037540792.png


Не берусь судить за позиции антивирусных вендоров, т.к. ранее делал наглядный разбор жизненных проблематик на основании анализа ежедневного использования 2-х доступных Антивирусных вендоров Kaspersky vs ESET (если будет интересно, пишите в комментах, выложу). Да и прошу заметить, что антивирусный движок одна из основополагающих процесса "отделения зернышек от мыльных пузырей", поэтому не маловажно обращать внимание на такие детали как:
  1. Наличие опыта и публикации у вендора в обнаружении 0-day и своей лаборатории аналитиков.
  2. Наличие у вендора своего антивирусного движка, показавшего лидирующие позиции в "независимых" тестах.
  3. Удобство работы с консолями администрирования вендоров и функционал.
  4. Возможность интеграции со средствами обнаружения различных вендоров.
  5. Поддержка клиентских ОС (OS Windows/Linux/MacOS).
В том числе, еще различные показатели устойчивости вендора к атакам и собственным уязвимостям.

! Нет, конечно же я не призывают людей отказываться от Cisco потому, что за последние 2,5 года этот вендор просто погряз в процессы устранения уязвимостей в своих продуктах с оценкой CVE более 5 балов и рекордным количеством уязвимостей с оценкой от 8 до 9 с хвостиком по CVE, у Касперского и других вендоров мелькали различные проблемы, но это в свою очередь является показателем того, каким "решетом" Вы будете обеспечивать безопасность своей компании. Все наверное сталкивались с проблемами при обновлении на новейшие прошивки устройств и не забываем про "святое правило" - пропускаем пару апдейтов, потому что может упасть и не подняться.

По маркетплейсу то "гиганты" все на местах в очень тесной близости в IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017

1612037591779.png


Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018

1612037603613.png


Fortinet и Kaspersky делают большие шаги по улучшению позиций, а в 2020 году вообще являются лидерами по опросу квадранта, но в "топчике" совсем не те продукты, которые мы будем рассматривать.

Попробуем сравнить ряд продуктов класса EDR на том же "эталонном" гартнере. и поймем, эти данные реальны или больше маркетинга.

1612104842541.png


Но эти наблюдения не играют никакой абсолютно роли по функциональным возможностям, удобности использования, гибкости интеграции и показательности результатов продукта, а лишь на ценообразование к сожалению.

Самое интересное, что по факту EDR не заменяют функционал EPP, что показано на презентации, слайды из которой я приведу в пример:

1612037643343.png


Функционал EPP

1612037654889.png


Функционал EDR

1612037668751.png


В обоих решениях единственное общее - это антивирусный движок, что в нашем случае не более чем вспомогательный элемент защиты, но не основной, как показывает практика.

И отдельно этот класс продукта не представляет собой ничего иного, как система первичного обнаружения и ликвидации распространения заражения! И если посмотреть на изображение ниже, то становится четко и ясно, для чего изначально разрабатывался EDR.

Но в презентациях Check Point немного иначе ставится акцент. EDR & NGAV это средства выявления и предотвращения именно атак нулевого дня, а в совокупности с антивирусным движком это есть продукт SandBlast:

1612037690101.png


Дальше чекпоинт приводит пример того, чем занимается EDR на рабочих станциях, консолидируя эти данные в БД - это и есть SOC:

1612037699966.png


Ну это видимо вообще собрано для визуального восприятия не сведущих и выглядит мягко говоря броско

1612037739262.png


А вот это именно то, на что тратится основное время аналитиков L1, L2 и иногда L3 SOC при расследовании - зарисовка цепочки кибератаки и именно для такой наглядности нужен инструмент позволяющий в единой консоли увидеть все те необходимые данные происхождения и действий зловреда при атаках, которые в обыденной жизни собираются часами, а порой и днями.

1612037751258.png


Тут мы можем заметить, что вся проблематика всех типов целевых атак или заражений - это нанесение вреда при продвижении процесса внедрения зловреда в корпоративную сеть. И отсюда выстраивается график, на котором видно, что при достижении основной цели злоумышленника Получение управления и Выполнение действий - несут за собой основной вред, в то же время становятся практически не заметными в рамках анализа сотрудников SOC и уже необходимо прибегать к средствам форензики для поиска заражения, что увеличивает временные затраты в разы и приходится прибегать к десяткам, а то и сотням продуктов.

EDR же в свою очередь не дает зловреду/злоумышленнику пройти стадию эксплуатации или очень оперативно и наглядно отражает сам процесс доставки и эксплуатации, что позволяет своевременно отреагировать и осуществить меры воздействия. Что и отражено ниже и построенной на основании Cyber Kill Chain как часть модели Intelligence Driven Defense или по простому 7 шагов для достижения цели

1612037774499.png
1612037793319.png



И основная задача продуктов класса EDR - это наглядно и быстро отразить (прошу заметить, именно отразить, а не дать возможность "порыться в логах") весь процесс Cyber Kill Chain

Зачем все это, спросите Вы?! Я Вам отвечу как работник SOC - чтобы экономить время и соответственно деньги на устранение последствий. К примеру, при отсутствии продуктов такого класса, SOC видит и фильтрует самостоятельно все эти действия с помощью SIEM систем и Лог-коллекторов, что при современных реалиях и масштабах компаний практически не представляется возможным, в том числе оперативно отреагировать и осуществить линии защит. Тут или покупать SIEM с шилдиком "next generation", к каким я могу смело отнести продукт Positive SIEM, в которых объединена часть функционала других продуктов, ну или приобретать и затем пытаться интегрировать продукты класса EDR. В противном случае SOC будет "утопать" в неинформативном море журналов событий со всех информационных систем в сети.

Указанные временные затраты в презентации Fortigate (изображение ниже) мягко говоря не соответствуют реальностям и направлены на стандарты MITRE по времени реагирования.

В настоящей реальности все состоит гораздо хуже в части трудозатрат и задействовании человеко-ресурсов и среднее время отработки одного лишь сценария может доходить до нескольких суток, что неоднократно проверено на кибер-учениях The Standoff (это крупнейший киберполигон, виртуальная копия нашего мира, в которой воссозданы производственные цепочки, бизнес-сценарии и технологический ландшафт, характерные для различных отраслей экономики компанией Positive Technologies) с привлечением опытных команд защитников коммерческих SOC и нападающих на рынке СНГ. Статистически было установлено, что среднее время расследования одной лишь атаки, составляет 10 часов и 19 минут и это только потому, что рекордное время расследования у одного из SOC составило 2 часа 57 минут. И лишь 39% всех бизнес рисков реализованных 30 командами атакующих были расследованы 6 командами защитников за 5 суток или 123 часа

1612037837495.png
1612037854237.png
1612037873720.png


А вот из собранной статистики динамики обнаружения уязвимостей на кибер-учениях The Standoff 2020 видно, что основной проблемой для всех SOC является как раз таки первые минуты/часы/сутки, затем по графику снижения активности заметно, как различные команды SOC либо адаптируются к однотипным атакам и находят методы задержки во времени атакующих, либо не могут ничего предпринять, о чем говорит второй график. (представленный график не имеет отношения к будним реалиям и типам компаний). Несмотря на активное участие подразделений/сервисов/вендоров защиты в первые дни противостояния, количество реализованных бизнес-рисков было показательным, в том числе в последующие дни, когда сервисы защиты отключались вовсе.

1612037897199.png


1612037911512.png


Ниже как раз приведено сравнение в качестве рекламного продвижения своего продукта компанией Fortigate с неавтоматизированным EDR и среднее время на весь процесс от обнаружения до устранения.

1612037941686.png


Теперь поясню, что такое время в рамках обыдённой жизни на работе и к чему может привести промедление, на примере того же The Standoff 2020.
14 Бизнес-Рисков было реализовано за одну лишь ночь, один бизнес риск это не просто успешная атака на уязвимый или халатно настроенный хост или сервис, а именно комбинация больших и "шумных процессов" (со стороны реагирования), таких, как анализ окружения, активные атаки по закреплению в системе, поиск цели, попытка авторизации, множественные попытки эксплуатации бизнес-риска и лишь затем успешная эксплуатация.

1612038099793.png


Итак от слов к делу:
Презентуя свои продукты, вендоры всегда знают преимущества своих продуктов и умело демонстрируют именно их. В рамках предоставленных демонстраций от вендоров, покажу Вам интерфейсы 3-х рассматриваемых продуктов и попробую разобраться с удобоваримостью дашбордов для неподготовленного глаза (всех глаз кроме самих вендоров) и показать, что действительно важно, а к чему вендор подошел мягко говоря наплевав на любимый нам бест-практис.

! Так же прошу заметить, что для простоты и красочности, вендоры используют в презентациях уже готовые ролики демонстрирующие единичный случай атаки или заражения, без миллионов событий, которые происходят в обычной жизни, поэтому для оценки в адекватных условиях, скорее всего лучше брать пилот продуктов и производить наглядное сравнение и оценивать продукт по личностным критериям.

#Check Point SandBlast Forensics
К слову, скриншоты сделаны из презентации представителя продукта на онлайн конференции "Код ИБ Форензика" 27.01.2021 г. И эта тематика немного сбила с толку пришедших на конференцию ребят, которые считали, что форензика почему-то затрагивает часть расследований работы сотовых операторов, вышек, фемтосот и мобильных телефонов и сим карт и массово посваливали, ну чтож дело "школьников" играть в фортинайты и чекиниться...

Основной дашборд достаточно информативен и на 90% наглядно отображает весь процесс, но иногда глаза разбегаются в разные стороны.

1612038120143.png


В данной вкладке нет ничего выдающегося, все просто и лаконично.

1612038132596.png


И вот то, ради чего мы сегодня собрались, убейте свои глаза полностью

1612038149793.png


Это тот случай, когда можно сказать 50/50 потому, как информативность процесса заражения вроде бы отображено древовидно и видны основные аспекты и настолько сыро это сделано, что хочется сказать вендору, Вы чего творите? Текст наслоен друг на друга, какие-то нелепые стрелки, экран полупустой, нет первоначальных фаз и информация основная присутствует только на первом скрине. В жизни прыгать между вкладками и окнами при сличении данных - самое ужасное, что мог придумать хомо сапиенс. Я правда негодую, что это за стрелочки указывающие к небесам? Мы же не в игры играем ей Богу. О наболевшем - Это как IBM QRadar, чтобы сопоставить кучу данных, нужно открыть такую же кучу вкладок в браузере, потом в неком текстовике все это консолидировать и лишь затем открывать карточку инцидента, а потом при перепроверке делать это снова и снова.

Лицензирование и цена всех продуктов этого вендора - просто космос и не каждая "зрелая" компания в состоянии купить весь перечень продуктов, а тем более их легко и быстро интегрировать. Немного отвлечёмся, чтобы Вы поняли почему very expensive и too hard pilot отталкивают нас, потребителей.

Так же из жизни, был случай, когда в одной страховой компании нужно было срочно найти замену старенькому и почти бездыханному шлюзу Zyxel 310. Вызвали интеграторов, которые предложили целый букет продуктов, из всего множества выбор пал на Kerio, Check Point, Fortigate. Kerio отмели сразу по целому ряду причин, хотя продукт в свое время был просто крутой и невероятно простой в эксплуатации, но все же мы рассматривали продукты именно класса NGF(Next Generation Firewall). Заказали пилот Check Point, восторгались консолью администрирования, вырубило понятие отдельных правил NAT, интегратор не справился за несколько дней с настройкой ряда правил организованных VPN-туннелей, привлек вендора, еще 3-4 дня и ничего, в итоге взяли "работу на дом" и пошли думать. Пока чеки думали, мы решили взять на пилот фортик. Единственная доступная модель из наличия, на тот момент времени была 90D. Привезли, потыкали консоль, немного покрутив увидели ряд плюсов и ряд минусов, в целом настроили почти все необходимые в работе правила и даже воткнули его в продакшн на ночь без привлечения кого-либо со стороны интегратора или вендора. Уточняю нужду на тот момент - ~500 пользователей и десяток групп доступа в интернет, 17 VPN с регионами, 4 различных "хитрых" VPN-туннеля с "дочерними организациями" и регуляторами, 3 интернет провайдера 1- проводной 100 мб.с, 2- релейка 30 мб.с, 3- проводной 300 мб.с для "верха". Модель 90D работала в 80% нагрузке в пиках, но ее сняли дав нам на замену 30E, мы мягко говоря удивились, когда сохранили конфиги с прошлого пилота и накатили их на новую модельку - все заработало и не нужно было руками крутить снова правила. Затем поискав нужную нам модель, перелопатив уйму моделей и тех.спек к ним, мы выбрали модель 60E которая полностью покрывала нам все потребности по железу с учетом двухкратного роста в будущем. Запросили цены модели чекпоинта, которую нам выбрал поставщик (ей богу не помню модель), но вот цена отложилась в голове 3 785$ на 2017 год против ~1 100 $ у фортика за модель 60E без жесткого диска и 50 агентов FortiClient в подарок на год и облачный анализатор логов на 6 месяцев. Вот Вам и разница в цене и подход к процессу. К слову интеграторы и представители фортика на тот момент тоже были немного озадаченны рядом просьб от нас, с которыми так и не справились, но мы самостоятельно нашли решение.

Действительно мало было продемонстрировано и уверяю Вас продукт намного богаче и приятнее, но что увидел то и показал.

#FortiEDR
Эти скриншоты взяты с презентации продукта 28.01.2021 г. от вендора, ссылку на которую дал мне мой коллега и так уж сошлись карты и я специально ничего не искал.

На текущем главном экране мы видим немного другой подход к процессу, тут отображен именно общий свод поступаемых данных, деление происходит посекционно и не напрягает глаза.

1612038184253.png


Вот тот же интерфейс только уже при практической демонстрации единственного экземпляра заразы

1612038195687.png


Вот как в "фортике (он же Федя)" отображаются события (очень походит на PT SIEM) в том числе отображено линейно - что, от чего, и куда:

1612038221107.png


Еще один наглядный пример того, что сделает жизнь аналитиков L2 такой же наглядной и простой, как у аналитиков L1 с настроенными PlayBook'ами

1612038233140.png


Та же цепочка, только уже в подробностях

1612038260802.png


Отмечу, что легко и доступно показан процесс и его порождения, в том числе и исполняемые команды, что невероятно важно для понимания типов атак, построения методов защиты или даже для написания PlayBook'ов.
А кто любит читать и валидировать все порождения - есть подробности

1612038273461.png


Удивило, что можно тут же сделать дамп памяти с удаленного устройства, что невероятно сокращает форензическую составляющую процесса расследования и даст возможность аккумулировать, разбирать и предотвращать намного качественнее.

1612038286433.png


Вот он дамп

1612038297397.png


Ну самое сладенькое - процесс предотвращения не вставая с кресла и не в отдельном окне или вкладке, а именно в том же окне

1612038307824.png


Статистика

1612038324752.png


Удивил функционал, позволяющий контролировать не только процессы поступающих угроз, но и исходящих во вне. К примеру был продемонстрирован процесс блокировки трафика на устройстве с уязвимого и очень старого по версии веб-браузера Mozilla Firefox. Это не просто поведенческий анализ, а именно защита 21 века! Вот консоль с правилами:

1612038337149.png


Вот то, как это видит пользователь:

1612038346299.png


Естественно все рассматриваемые комплексы интегрируются с продуктами своего вендора, но то как это реализовано у чек-поинта говорить не приходится, они основоположники единой консоли и тесной интеграции своих продуктов, фортик не отстает и тоже демонстрирует интеграцию EDR со своим шлюзом

1612038361417.png
1612038375053.png
1612038406710.png


Лицензирование простое

1612038426838.png


#Cisco Advanced Malware Protection (AMP)
Вступлю с того, что все мои "умозаключения" это не более чем моё восприятие реальности, не более чем практический анализ в сравнении 3 продуктов.

Главный экран "циски" вгоняет в ступор

1612038453498.png


Теперь я приведу Вам аналогию и Вы сразу поймете о чем я, просто сравните и найдите 10 отличий:

1612038470146.png
1612038481605.png


Интерфейс стиля 1996 года, как впрочем и у продуктов IBM. Ну Вы что господа создатели, совершенно не хотите делать продукты пригодными и информативными? Нет слов...
Но это не самое главное, ужасает то, что интерфейс подсветил красным подразделение SOC при тестировании на одном из которого, осуществлялась ручная попытка блокировки запуска по хешу.

Вот так происходит поиск хеша

1612038560312.png


Вот она информативность 21 века. 2 исполняемых файла справа это как раз таки блокируемые ручным методом по хешу исполняемые файлы на хосте, 2 линка на http на которые 10 Windows сам ходит за обновлениями и один IP адрес и это за 2 года накоплений друзья...

1612039018419.png


Что мы можем узнать нажимая на стрелочки? Не смейтесь, это циско-удобство и наверное нужно получить 3 сертификата от вендора, чтобы понять логику... Продукт за деньги проверяет линки и файлы на Virus total, это гениально!

1612039034251.png


А вот информация при нажатии на подробности о "заразе". Очень важный момент - при нажатии на любой линк или кнопку меню, вся страница перезагружается сама для того, чтобы отобразить контент (F5 | ctrl+R) убейте себя об стену кто это придумал.

1612039205585.png


События

1612039223006.png


Вы чего с дубу рухнули чтоли? Что за значки бензозаправки, молнии, 66 страниц уязвимостей софта на хостах, мы же не про процесс проверки уязвимостей тут говорим, а про инциденты. "Все смешалось в доме Облонских"

1612039238252.png


Давайте "ковырнем" это чудо технологий (Илон Маск закрой глаза и Тони Старк ты не зря умер). Подойдем со всей ответственностью и попробуем проанализировать события фильтруя все события с уязвимостями софта на хостах.
Это карточка предотвращённого действия исполняемым файлом IAProvider.exe к процессу winlogon.exe

1612039250956.png


Тут мы видим замаскированный хеш исполняемого файла, место расположения, размер, причину - он не чистый и без подписи сертификатом производителя, хеш дочернего процесса как я понимаю тоже замаскированный, размер и место расположения исполняемого файла.
Детали таковы - он запускался под системой

1612039270183.png


О боже, при нажатии на стрелочку с иконкой синенького компьютера мы можем посмотреть на "трассировку"

1612039281848.png


Чтобы понять эту "схему распайки", нужно отфильтровать наверное или потыкать на красные кнопочки на временной шкале. Фильтрация очень наглядная, тут только плюс.

1612039294731.png


Да и прошу обратить внимание, каждый раз при взаимодействии с интерфейсом он долго о чем то думает и появляется индикатор загрузки и вуаля страница перезагружается выдавая нам чудесное ничего

1612039336716.png


Это невероятно увлекательно - потратить 10 минут, чтобы увидеть такое!
Давайте еще посмотри на "траекторию девайса", о боже, что мы видим! ... - ничего интересного, расходимся

1612039347392.png


Потыкаем еще по менюшкам выпадающим на главном экране Analysis > Prevalence, я так понял это сбор всех исполняемых файлов на хостах пользователей. Если бы не было с чем сравнивать по функционалу, я бы вопел овациями, но увы Касперский со своим KSC давным-давно порвал шаблоны...

1612039359345.png


Можно посмотреть "трассировку"

1612039372576.png


Зачем Вы это делаете с людьми? Зачем вы вгоняете внутрь, чтобы показать то же самое что есть на главном экране?

1612039384528.png


Нашел саму красивую вкладку Overview и увидел процесс управления уязвимости ПО на хостах аля Qualys или Nessus.

1612039400378.png


MDM для iOS?

1612039416685.png


А вот меню настройки модулей, по функционалу это сервис класса EPP но никак не EDR!!!

1612039436845.png


При активации модуля TETRA компьютер превратился в кирпич...

Да уж господа из циска, Вы точно понимаете что от Вас ждут при продаже продукта? Мне кажется "это" было сделано просто из-за необходимости следовать тренду и красивым словосочетаниям EDR, но никак не по назначению. Увы, это не продукт, посмотрите выше на 2 продукта этого класса и просто сравните. Я не спорю, что возможно в продукте заложено нечто совершенно невероятное. До чего мой мозжечок не в состоянии дойти без процесса обучения и демонстрации сильных сторон, но как говорил мне батя мой - не можешь сделать - не мучай мозг, значит это не твоё!

Ну и вердикт, продукт этого класса подойдет не всем компаниям и использовать его вне умелых руках смогут не каждые подразделения. Как я отмечал в начале, для выбора такого продукта, компания должна прийти к определенной стадии "зрелости", а лишь потом брать на вооружение EDR. Так же хочу отметить, что в рамках поверхностного анализа, по другому я не могу назвать свои изыскания, не проверялась возможность мультивендорной интеграции продуктов, ведь это самая важная часть процесса, потому как "строить с нуля" процессы безопасности никто не будет и в средних и крупных компаниях сложился ряд продуктов по тем или иным причинам и как с них забирать данные остается загадкой для меня лично. Ведь все вендоры заявляют о поддержк и интеграции своих продуктов, а в реалиях бизнеса - поменять все - значит умереть на рынке.

Из анализируемых продуктов, больше всех понравился фортик и это моё личное мнение, которое я не навязываю. Нужно взять на пилот и понять что из себя представляет этот продукт. Вот Вам сравнение ожиданий и реальности из жизни, пусть очередное, но все таки полезное, как я считаю. Решили обойтись "малой кровью" и взять фортиклиентов для установки на пользовательские хосты дабы обезопасить себя в режиме удаленки от дырявейших компов пользователей дома, в том числе обеспечить безопасное подключение через этих же агентов, "убить 2-х зайцев" как говорится. Взяли мы в пилот фортиклиенты и консоль управления и жутко разочаровались в продукте, консоль сырая, продукт на хостах очень мало видит из даже уязвимостей софта на хосте (сравнивали сканом квалиса и несуса), в консоли не отображен процесс обновления в хронологии, видно только в консоли клиентов и многие другие аспекты, которые привели нас в упадок и решению не использовать продукт и пока даже не смотреть на него.

По поводу "квадранта гартнера" - к моему удивлению мои тесты с мнением квадранта

За сим, прошу любить и жаловать очередные не лесные и порой не уместные, но все же полезные вердикты, ставьте лайки, оставляйте комментарии.
 

Вложения

  • 1612037626327.png
    1612037626327.png
    79,1 КБ · Просмотры: 291
Последнее редактирование:

DeathDay

Green Team
18.04.2019
149
1 095
BIT
1
Кстати, если есть возможность, можно было бы уменьшить слегка картинки некоторые, уж слишком огромные. А так статья шик.
 
  • Нравится
Реакции: Mogen

Fo_nix

Grey Team
21.10.2020
19
102
BIT
13
Мощная и очень информативная статья, автору большое спасибо!
 

Polyglot

Green Team
25.02.2020
44
59
BIT
154
Спасибо за статью, видно что пришлось немало интернет лопатить
картинка Гартнера относится к Endpoint Protection к которому максимум Forticlient отнести можно, поэтому форти там так низко, на EDR у гартнера пока нет квадрата вообще. Пока много путаницы что есть ЕДР а что EPP но у NSS Labs есть отчёт AEP 2020 можно легко найти , там форти выглядит достойно.
фортиЕДР был куплен в 2019 фортинетом как ensilo который и сам уже имел хорошую репутацию.
Сравнивать скорее с SentinelOne , Crowdstrike, Cybereason стоит все таки EDR и EPP две большие разницы.
Мне тоже фортиЕДР понравился, из недостатков пожалуй один - цена как у Боинга :)
И да фортиклиент под управлением EMS так себе удовольствие , как бы работает но не впечатляет.
 
  • Нравится
Реакции: clevergod

clevergod

Platinum
22.04.2017
119
673
BIT
10
Спасибо за статью, видно что пришлось немало интернет лопатить
картинка Гартнера относится к Endpoint Protection к которому максимум Forticlient отнести можно, поэтому форти там так низко, на EDR у гартнера пока нет квадрата вообще. Пока много путаницы что есть ЕДР а что EPP но у NSS Labs есть отчёт AEP 2020 можно легко найти , там форти выглядит достойно.
фортиЕДР был куплен в 2019 фортинетом как ensilo который и сам уже имел хорошую репутацию.
Сравнивать скорее с SentinelOne , Crowdstrike, Cybereason стоит все таки EDR и EPP две большие разницы.
Мне тоже фортиЕДР понравился, из недостатков пожалуй один - цена как у Боинга :)
И да фортиклиент под управлением EMS так себе удовольствие , как бы работает но не впечатляет.
И не только интернет лопатить в желании разобраться что же все таки этот EDR. Как выяснилось, сами вендоры делают так, как им вздумается и отчасти придумывают, видимо потому, что у них нет четкого понимания. В гартнере я смотрел именно Endpoint Detection and Response Solutions, выше есть линк. А вот картинки с EPP и AV для понимания шагов поиска инфы и вендоров. Да к сожалению продукты этого класса очень даже дороги, произвести оценку продуктов этого класса и обосновать ценник будет очень сложно. Циска пошли по другому пути, они не стали "выдумывать велосипед", а попросту назвали свой EPP как EDR, немного подняли цену и вуаля.
Статью делал именно потому, что вендоры циски и их представители, в том числе сами "цисковики" на рабочих местах бъют в себя в грудь, что у них есть EDR и закройте все рты, а я решил понять что есть EDR и сравнить функционал и не более того.
 

Notsaint

Green Team
21.02.2020
6
0
BIT
20
Могу только сказать огромное спасибо за предоставленный обзор / разбор. Сейчас нахожусь именно в стадии принятния решения по внедрению целого комплекса продуктов, включая EDR.

Рассматривал те же самые - Forti, Cisco, CheckPoint. Пока все показывает в сторону "Феди" (хотя бы даже из-за того, что осуществить интеграцию с уже имеющимися системами того же "Феди".
 

goldshady

New member
12.11.2021
2
-3
BIT
3
1. Уже больше полугода нет такого продукта Cisco AMP, он называется Cisco Secure Endpoint
2. Автор не разобрался в функционале продуктов и сделал субъективные выводы о работе продуктов.
3. Аргументы высосаны из пальцы и не соответствуют действительности.
 
  • Не нравится
Реакции: Polyglot

Сергей Попов

Кодебай
30.12.2015
4 694
6 591
BIT
373
Уже больше полугода нет такого продукта Cisco AMP, он называется Cisco Secure Endpoint
Дата публикации статьи 30.01.2021. Ваши пункты 2 и 3 опубликованы как констатация фактов без приведения аргументов. Есть что добавить по существу?
 
Последнее редактирование:
  • Нравится
Реакции: clevergod

clevergod

Platinum
22.04.2017
119
673
BIT
10
1. Уже больше полугода нет такого продукта Cisco AMP, он называется Cisco Secure Endpoint
2. Автор не разобрался в функционале продуктов и сделал субъективные выводы о работе продуктов.
3. Аргументы высосаны из пальцы и не соответствуют действительности.

Статье больше года точно.
1. Не нужно заявлять таких фактов ибо данный продукт до сих пор продаётся и продляется лицензия на уже купленный.
2. автор имеет огромный 20 летний стаж работы не просто с программно-аппаратными комплексами, доменами, сетями и тп, мало того ещё и знает как эти все средства защиты обходятся не понаслышке.
3. Это не аргументы и не слова а факты с пруфами, которые подтвердят десятки профессионалов, которые вынуждены работать с подобными недопродуктами.

Поэтому когда делаете субъективные выводы, просьба объективно доказывать фактами обратное.
 
  • Нравится
Реакции: AnonymousAlmaty

goldshady

New member
12.11.2021
2
-3
BIT
3
Что мы можем узнать нажимая на стрелочки? Не смейтесь, это циско-удобство и наверное нужно получить 3 сертификата от вендора, чтобы понять логику... Продукт за деньги проверяет линки и файлы на Virus total, это гениально!
Untitled.jpg
Cisco Secure использует множество движков обнаружения, TETRA, MAP, Exploit Prevention, Script Control, Behavioral Protection и так далее.
Да и прошу обратить внимание, каждый раз при взаимодействии с интерфейсом он долго о чем то думает и появляется индикатор загрузки и вуаля страница перезагружается выдавая нам чудесное ничего
Capture.PNG
Продолжать, или вы поймете, что статья не грамотно написана?
 

clevergod

Platinum
22.04.2017
119
673
BIT
10
Cisco Secure использует множество движков обнаружения, TETRA, MAP, Exploit Prevention, Script Control, Behavioral Protection и так далее.

Продолжать, или вы поймете, что статья не грамотно написана?
Ок, когда контраргументы основываются на не ясных для простых смертных картинках и попытках доказать исключительность продуктов какого-то конкретного вендора - "как действующему Cisco CCNA и CCNP тренеру" скажу я тебе такие вещи:
Во первых в начале статьи есть примечания для "представителей вендоров или людей с отдельным устройством души и тела"
1653635926426.png
Во вторых, не нужно навязывать свой взгляд на безопасность, удобство и в целом КПД продукта основываясь на "своей вере в продукт", если есть желание пояснить массам об исключительности продукта и его невероятном превосходстве на рынке - напиши статью, приведи аргументы и пусть грамотные люди оценят.
В третьих, не люблю спорить с людьми работающими с "циска-продуктами", люблю показывать картинки и вот еще один пример, и пожалуйста оцени подход вендора и аргументируй такое поведение:
Постоянная нагрузка на ЦПУ, которую специалисты с сертификатами CCNA, CCNP и с представителями циски не в состоянии решить уже больше 4 лет, почти каждый день открывая новые и новые тикеты, общаясь по телефону, делая регулярные митапы с 1-2 линиями поддержки
1653636316144.png


Вот еще один пример "превосходства" продукта перед другими:
Обновили в начале года циско-специалисты АМП с 7.4.5.20701 до версии 7.5.1.20813, после обновления ампа, путь до исполняемого файла в свойствах службы указывал на путь до старой версии, которая автоматически удаляется при удалении...
Соответственно если служба смотрит туда где ничего нет, то и запуститься не может и это признали только пару месяцев спустят как баг апдейта и таких случаев настолько много, что считать это системой защиты и предовращения попросту нельзя:

1653638570491.png

В том числе данный продукт достаточно легко байпасится и даже легко отключается и удаляется если перезагрузить хост в безопасном режиме, при условии если есть права админа на хосте.

Вот пример как я это делал легко и не принужденно на момент написания статьи:
Положим всем известный nc.exe в папку, предположим C:\Bombyao\
  1. Открываем powershell
  2. Переходим в нашу папку
    Код:
    cd C:\Bombyao\
  3. Пишем слудеющее
    Код:
    add-content '.\nc.exe' `0

    Запоминаем такое значение `0 Жмякаем на ентер
    Все! Cisco AMP не предотвратит и даже не залогирует это.
`0 -- Null
`a -- Alert
`b -- Backspace
`n -- New line
`r -- Carriage return
`t -- Horizontal tab
`' -- Single quote
`" -- Double quote

Вот DLL Hijacking

Давайте остановим этот не понятный и мне лично не нужный спор пожалуйста и каждый продолжит заниматься своим любимым делом.
 
  • Нравится
Реакции: Ioann

clevergod

Platinum
22.04.2017
119
673
BIT
10
Вот пруфы
1653641052910.png

1653641083005.png



Ну или невероятное количество FP
1653640521155.jpeg


1653640530034.jpeg

1653640593696.jpeg


И так можно продолжать бесконечно долго
Вы поймите, что посыл был статьи направлен на то, что нельзя "бить себя в грудь" со стороны вендора, а делать работу над ошибками и постоянно развивать продукт прислушиваясь к пользователям, называть нельзя продукт EDR когда это даже не AV и делать консоли удобочитаемыми и не нагроможденными не нужными данными для тех же аналитиков L1
И это еще раз повторюсь мой личный взгляд на вещи, на удобство пользования и защиту, которую не сложно обойти. Хотел сюда добавить еще и KATA/KEDR но увы времени нет столько и вендору направлены замечания по продукту и тот же Kasperky адекватно воспринял факты и признал и обещал провести работу над ошибками.

За сим я отклоняюсь от дальнейших обсуждений 2-х годовалой статьи...
 

Вложения

  • 1653640997325.jpeg
    1653640997325.jpeg
    36 КБ · Просмотры: 103
  • Нравится
Реакции: Ioann

AnonymousAlmaty

Platinum
18.11.2020
1
2
BIT
0
Вы поймите, что посыл был статьи направлен на то, что нельзя "бить себя в грудь" со стороны вендора, а делать работу над ошибками и постоянно развивать продукт прислушиваясь к пользователям, называть нельзя продукт EDR когда это даже не AV и делать консоли удобочитаемыми и не нагроможденными не нужными данными для тех же аналитиков L1
И это еще раз повторюсь мой личный взгляд на вещи, на удобство пользования и защиту, которую не сложно обойти. Хотел сюда добавить еще и KATA/KEDR но увы времени нет столько и вендору направлены замечания по продукту и тот же Kasperky адекватно воспринял факты и признал и обещал провести работу над ошибками.

За сим я отклоняюсь от дальнейших обсуждений 2-х годовалой статьи...
Это просто AV с ретроспективой. Но к сожалению, как постоянный пользователь/администратор этого "продукта" в компании, могу сказать, что во время инцидента, не получилось найти траектории запуска exe файлов. Просто провалы во временной шкале.
Да, возможно, когда-нибудь AMP или Secure Endpoint станет полноценным продуктом... и их экосистема SecureX и ThreatResponse станут действительно корпоративного уровня. Но на данный момент продукты сырые и неоправданно дорогие. Если уж платить деньги за подобный класс решений, лучше внимательней изучить рынок на момент выбора, сравнить с замечаниями описанными в интернете 1-3 года назад и понять, насколько интенсивно развивается продукт, чтобы быть уверенным, что проблемы с ним будут решаться оперативно, а не через год-два.
 
  • Нравится
Реакции: clevergod и Ioann
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!