|
Цитата:
Первично информацию использовал со старинной статьи 2017 года Обзор рынка Endpoint Detection and Response (EDR) Почему возникла эта статья, что побудило меня к написанию - все просто, удалёнка побудила задуматься, вендоры присели на уши руководству, а процессы компании перевалили за "воронку не возврата", так я называю точку во времени, за которую поступает такое количество журналов событий, когда твой мозг просто не успевает переварить и обработать эту информацию и ты начинаешь относиться к этому как "матричному коду", а корреляция событий превращается в адские муки и просто хочется увидеть в действии новые технологии. https://forum.antichat.xyz/attachmen...2037479093.png В современном понимании, сложившемся в мире бизнеса, из-за смены векторов атак и возникающих угроз, вендоры были вынуждены объединять часть функционала различных линеек продуктов в единую платформу. На смену разрозненным сервисам, таким как AV, EPP, IPS, IDS и иногда даже DLP - пришел продукт класса EDR. Но первичное восприятие говорит о том, что данный продукт решает основную проблему в подразделениях SOC - это самое важное - то самое время, затрачиваемое на расследование инцидента, время на обнаружение угрозы, время на локализацию и предотвращение, в том числе автоматизация процессов реагирования на неизвестные угрозы 0-day. Продукт по описанию производителей, позволяет автоматизировать процесс обнаружения и реагирования без необходимости привлечения различных групп реагирования, без сбора коллегиальной комиссии без которой осуществить реальную защиту не в состоянии по требованиям регуляторов рынка или ВНД компаний. Проанализировав Gartner Magic Quadrant for Endpoint Protection Platforms, 2018 года, я увидел большой список продуктов. Ничего специального я не искал, кроме фразы "gartner EDR" в картинках гугла. https://forum.antichat.xyz/attachmen...2037520735.png Fortinet в яме в 2018 году, Kaspersky в 5-ке лидеров, Cisco 3-е с конца, но дальше мы рассмотрим все эти "высокие" позиции глазами SOCa Смотрим еще одну The Forrester Wave: Endpoint Security Suites, Q2 2018 https://forum.antichat.xyz/attachmen...2037540792.png Не берусь судить за позиции антивирусных вендоров, т.к. ранее делал наглядный разбор жизненных проблематик на основании анализа ежедневного использования 2-х доступных Антивирусных вендоров Kaspersky vs ESET (если будет интересно, пишите в комментах, выложу). Да и прошу заметить, что антивирусный движок одна из основополагающих процесса "отделения зернышек от мыльных пузырей", поэтому не маловажно обращать внимание на такие детали как:
!Нет, конечно же я не призывают людей отказываться от Cisco потому, что за последние 2,5 года этот вендор просто погряз в процессы устранения уязвимостей в своих продуктах с оценкой CVE более 5 балов и рекордным количеством уязвимостей с оценкой от 8 до 9 с хвостиком по CVE, у Касперского и других вендоров мелькали различные проблемы, но это в свою очередь является показателем того, каким "решетом" Вы будете обеспечивать безопасность своей компании. Все наверное сталкивались с проблемами при обновлении на новейшие прошивки устройств и не забываем про "святое правило" - пропускаем пару апдейтов, потому что может упасть и не подняться. По маркетплейсу то "гиганты" все на местах в очень тесной близости в IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017 https://forum.antichat.xyz/attachmen...2037591779.png Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018 https://forum.antichat.xyz/attachmen...2037603613.png Fortinet и Kaspersky делают большие шаги по улучшению позиций, а в 2020 году вообще являются лидерами по опросу квадранта, но в "топчике" совсем не те продукты, которые мы будем рассматривать. Попробуем сравнить ряд продуктов класса EDR на том же "эталонном" гартнере. Cisco vs Fortinet vs Check Point: Gartner Peer Insights 2021 и поймем, эти данные реальны или больше маркетинга. https://forum.antichat.xyz/attachmen...2104842541.png Но эти наблюдения не играют никакой абсолютно роли по функциональным возможностям, удобности использования, гибкости интеграции и показательности результатов продукта, а лишь на ценообразование к сожалению. Самое интересное, что по факту EDR не заменяют функционал EPP, что показано на презентации, слайды из которой я приведу в пример: https://forum.antichat.xyz/attachmen...2037643343.png Функционал EPP https://forum.antichat.xyz/attachmen...2037654889.png Функционал EDR https://forum.antichat.xyz/attachmen...2037668751.png В обоих решениях единственное общее - это антивирусный движок, что в нашем случае не более чем вспомогательный элемент защиты, но не основной, как показывает практика. И отдельно этот класс продукта не представляет собой ничего иного, как система первичного обнаружения и ликвидации распространения заражения! И если посмотреть на изображение ниже, то становится четко и ясно, для чего изначально разрабатывался EDR. Но в презентациях Check Point немного иначе ставится акцент. EDR & NGAV это средства выявления и предотвращения именно атак нулевого дня, а в совокупности с антивирусным движком это есть продукт SandBlast: https://forum.antichat.xyz/attachmen...2037690101.png Дальше чекпоинт приводит пример того, чем занимается EDR на рабочих станциях, консолидируя эти данные в БД - это и есть SOC: https://forum.antichat.xyz/attachmen...2037699966.png Ну это видимо вообще собрано для визуального восприятия не сведущих и выглядит мягко говоря броско https://forum.antichat.xyz/attachmen...2037739262.png А вот это именно то, на что тратится основное время аналитиков L1, L2 и иногда L3 SOC при расследовании - зарисовка цепочки кибератаки и именно для такой наглядности нужен инструмент позволяющий в единой консоли увидеть все те необходимые данные происхождения и действий зловреда при атаках, которые в обыденной жизни собираются часами, а порой и днями. https://forum.antichat.xyz/attachmen...2037751258.png Тут мы можем заметить, что вся проблематика всех типов целевых атак или заражений - это нанесение вреда при продвижении процесса внедрения зловреда в корпоративную сеть. И отсюда выстраивается график, на котором видно, что при достижении основной цели злоумышленника Получение управления и Выполнение действий - несут за собой основной вред, в то же время становятся практически не заметными в рамках анализа сотрудников SOC и уже необходимо прибегать к средствам форензики для поиска заражения, что увеличивает временные затраты в разы и приходится прибегать к десяткам, а то и сотням продуктов. EDR же в свою очередь не дает зловреду/злоумышленнику пройти стадию эксплуатации или очень оперативно и наглядно отражает сам процесс доставки и эксплуатации, что позволяет своевременно отреагировать и осуществить меры воздействия. Что и отражено ниже и построенной на основании Cyber Kill Chain как часть модели Intelligence Driven Defense или по простому 7 шагов для достижения цели https://forum.antichat.xyz/attachmen...2037774499.png https://forum.antichat.xyz/attachmen...2037793319.png И основная задача продуктов класса EDR - это наглядно и быстро отразить (прошу заметить, именно отразить, а не дать возможность "порыться в логах") весь процесс Cyber Kill Chain Зачем все это, спросите Вы?! Я Вам отвечу как работник SOC - чтобы экономить время и соответственно деньги на устранение последствий. К примеру, при отсутствии продуктов такого класса, SOC видит и фильтрует самостоятельно все эти действия с помощью SIEM систем и Лог-коллекторов, что при современных реалиях и масштабах компаний практически не представляется возможным, в том числе оперативно отреагировать и осуществить линии защит. Тут или покупать SIEM с шилдиком "next generation", к каким я могу смело отнести продукт Positive SIEM, в которых объединена часть функционала других продуктов, ну или приобретать и затем пытаться интегрировать продукты класса EDR. В противном случае SOC будет "утопать" в неинформативном море журналов событий со всех информационных систем в сети. Указанные временные затраты в презентации Fortigate (изображение ниже) мягко говоря не соответствуют реальностям и направлены на стандарты MITRE по времени реагирования. В настоящей реальности все состоит гораздо хуже в части трудозатрат и задействовании человеко-ресурсов и среднее время отработки одного лишь сценария может доходить до нескольких суток, что неоднократно проверено на кибер-учениях The Standoff (это крупнейший киберполигон, виртуальная копия нашего мира, в которой воссозданы производственные цепочки, бизнес-сценарии и технологический ландшафт, характерные для различных отраслей экономики компанией Positive Technologies) с привлечением опытных команд защитников коммерческих SOC и нападающих на рынке СНГ. Статистически было установлено, что среднее время расследования одной лишь атаки, составляет 10 часов и 19 минут и это только потому, что рекордное время расследования у одного из SOC составило 2 часа 57 минут. И лишь 39% всех бизнес рисков реализованных 30 командами атакующих были расследованы 6 командами защитников за 5 суток или 123 часа https://forum.antichat.xyz/attachmen...2037837495.png https://forum.antichat.xyz/attachmen...2037854237.png https://forum.antichat.xyz/attachmen...2037873720.png А вот из собранной статистики динамики обнаружения уязвимостей на кибер-учениях The Standoff 2020 видно, что основной проблемой для всех SOC является как раз таки первые минуты/часы/сутки, затем по графику снижения активности заметно, как различные команды SOC либо адаптируются к однотипным атакам и находят методы задержки во времени атакующих, либо не могут ничего предпринять, о чем говорит второй график. (представленный график не имеет отношения к будним реалиям и типам компаний). Несмотря на активное участие подразделений/сервисов/вендоров защиты в первые дни противостояния, количество реализованных бизнес-рисков было показательным, в том числе в последующие дни, когда сервисы защиты отключались вовсе. https://forum.antichat.xyz/attachmen...2037897199.png https://forum.antichat.xyz/attachmen...2037911512.png Ниже как раз приведено сравнение в качестве рекламного продвижения своего продукта компанией Fortigate с неавтоматизированным EDR и среднее время на весь процесс от обнаружения до устранения. https://forum.antichat.xyz/attachmen...2037941686.png Теперь поясню, что такое время в рамках обыдённой жизни на работе и к чему может привести промедление, на примере того же The Standoff 2020. 14 Бизнес-Рисков было реализовано за одну лишь ночь, один бизнес риск это не просто успешная атака на уязвимый или халатно настроенный хост или сервис, а именно комбинация больших и "шумных процессов" (со стороны реагирования), таких, как анализ окружения, активные атаки по закреплению в системе, поиск цели, попытка авторизации, множественные попытки эксплуатации бизнес-риска и лишь затем успешная эксплуатация. https://forum.antichat.xyz/attachmen...2038099793.png Итак от слов к делу: Презентуя свои продукты, вендоры всегда знают преимущества своих продуктов и умело демонстрируют именно их. В рамках предоставленных демонстраций от вендоров, покажу Вам интерфейсы 3-х рассматриваемых продуктов и попробую разобраться с удобоваримостью дашбордов для неподготовленного глаза (всех глаз кроме самих вендоров) и показать, что действительно важно, а к чему вендор подошел мягко говоря наплевав на любимый нам бест-практис. !Так же прошу заметить, что для простоты и красочности, вендоры используют в презентациях уже готовые ролики демонстрирующие единичный случай атаки или заражения, без миллионов событий, которые происходят в обычной жизни, поэтому для оценки в адекватных условиях, скорее всего лучше брать пилот продуктов и производить наглядное сравнение и оценивать продукт по личностным критериям. #Check Point SandBlast Forensics К слову, скриншоты сделаны из презентации представителя продукта на онлайн конференции "Код ИБ Форензика" 27.01.2021 г. И эта тематика немного сбила с толку пришедших на конференцию ребят, которые считали, что форензика почему-то затрагивает часть расследований работы сотовых операторов, вышек, фемтосот и мобильных телефонов и сим карт и массово посваливали, ну чтож дело "школьников" играть в фортинайты и чекиниться... Основной дашборд достаточно информативен и на 90% наглядно отображает весь процесс, но иногда глаза разбегаются в разные стороны. https://forum.antichat.xyz/attachmen...2038120143.png В данной вкладке нет ничего выдающегося, все просто и лаконично. https://forum.antichat.xyz/attachmen...2038132596.png И вот то, ради чего мы сегодня собрались, убейте свои глаза полностью https://forum.antichat.xyz/attachmen...2038149793.png Это тот случай, когда можно сказать 50/50 потому, как информативность процесса заражения вроде бы отображено древовидно и видны основные аспекты и настолько сыро это сделано, что хочется сказать вендору, Вы чего творите? Текст наслоен друг на друга, какие-то нелепые стрелки, экран полупустой, нет первоначальных фаз и информация основная присутствует только на первом скрине. В жизни прыгать между вкладками и окнами при сличении данных - самое ужасное, что мог придумать хомо сапиенс. Я правда негодую, что это за стрелочки указывающие к небесам? Мы же не в игры играем ей Богу. О наболевшем - Это как IBM QRadar, чтобы сопоставить кучу данных, нужно открыть такую же кучу вкладок в браузере, потом в неком текстовике все это консолидировать и лишь затем открывать карточку инцидента, а потом при перепроверке делать это снова и снова. Лицензирование и цена всех продуктов этого вендора - просто космос и не каждая "зрелая" компания в состоянии купить весь перечень продуктов, а тем более их легко и быстро интегрировать. Немного отвлечёмся, чтобы Вы поняли почему very expensive и too hard pilot отталкивают нас, потребителей. Так же из жизни, был случай, когда в одной страховой компании нужно было срочно найти замену старенькому и почти бездыханному шлюзу Zyxel 310. Вызвали интеграторов, которые предложили целый букет продуктов, из всего множества выбор пал на Kerio, Check Point, Fortigate. Kerio отмели сразу по целому ряду причин, хотя продукт в свое время был просто крутой и невероятно простой в эксплуатации, но все же мы рассматривали продукты именно класса NGF(Next Generation Firewall). Заказали пилот Check Point, восторгались консолью администрирования, вырубило понятие отдельных правил NAT, интегратор не справился за несколько дней с настройкой ряда правил организованных VPN-туннелей, привлек вендора, еще 3-4 дня и ничего, в итоге взяли "работу на дом" и пошли думать. Пока чеки думали, мы решили взять на пилот фортик. Единственная доступная модель из наличия, на тот момент времени была 90D. Привезли, потыкали консоль, немного покрутив увидели ряд плюсов и ряд минусов, в целом настроили почти все необходимые в работе правила и даже воткнули его в продакшн на ночь без привлечения кого-либо со стороны интегратора или вендора. Уточняю нужду на тот момент - ~500 пользователей и десяток групп доступа в интернет, 17 VPN с регионами, 4 различных "хитрых" VPN-туннеля с "дочерними организациями" и регуляторами, 3 интернет провайдера 1- проводной 100 мб.с, 2- релейка 30 мб.с, 3- проводной 300 мб.с для "верха". Модель 90D работала в 80% нагрузке в пиках, но ее сняли дав нам на замену 30E, мы мягко говоря удивились, когда сохранили конфиги с прошлого пилота и накатили их на новую модельку - все заработало и не нужно было руками крутить снова правила. Затем поискав нужную нам модель, перелопатив уйму моделей и тех.спек к ним, мы выбрали модель 60E которая полностью покрывала нам все потребности по железу с учетом двухкратного роста в будущем. Запросили цены модели чекпоинта, которую нам выбрал поставщик (ей богу не помню модель), но вот цена отложилась в голове 3 785$ на 2017 год против ~1 100 $ у фортика за модель 60E без жесткого диска и 50 агентов FortiClient в подарок на год и облачный анализатор логов на 6 месяцев. Вот Вам и разница в цене и подход к процессу. К слову интеграторы и представители фортика на тот момент тоже были немного озадаченны рядом просьб от нас, с которыми так и не справились, но мы самостоятельно нашли решение. Действительно мало было продемонстрировано и уверяю Вас продукт намного богаче и приятнее, но что увидел то и показал. #FortiEDR Эти скриншоты взяты с презентации продукта 28.01.2021 г. от вендора, ссылку на которую дал мне мой коллега и так уж сошлись карты и я специально ничего не искал. На текущем главном экране мы видим немного другой подход к процессу, тут отображен именно общий свод поступаемых данных, деление происходит посекционно и не напрягает глаза. https://forum.antichat.xyz/attachmen...2038184253.png Вот тот же интерфейс только уже при практической демонстрации единственного экземпляра заразы https://forum.antichat.xyz/attachmen...2038195687.png Вот как в "фортике (он же Федя)" отображаются события (очень походит на PT SIEM) в том числе отображено линейно - что, от чего, и куда: https://forum.antichat.xyz/attachmen...2038221107.png Еще один наглядный пример того, что сделает жизнь аналитиков L2 такой же наглядной и простой, как у аналитиков L1 с настроенными PlayBook'ами https://forum.antichat.xyz/attachmen...2038233140.png Та же цепочка, только уже в подробностях https://forum.antichat.xyz/attachmen...2038260802.png Отмечу, что легко и доступно показан процесс и его порождения, в том числе и исполняемые команды, что невероятно важно для понимания типов атак, построения методов защиты или даже для написания PlayBook'ов. А кто любит читать и валидировать все порождения - есть подробности https://forum.antichat.xyz/attachmen...2038273461.png Удивило, что можно тут же сделать дамп памяти с удаленного устройства, что невероятно сокращает форензическую составляющую процесса расследования и даст возможность аккумулировать, разбирать и предотвращать намного качественнее. https://forum.antichat.xyz/attachmen...2038286433.png Вот он дамп https://forum.antichat.xyz/attachmen...2038297397.png Ну самое сладенькое - процесс предотвращения не вставая с кресла и не в отдельном окне или вкладке, а именно в том же окне https://forum.antichat.xyz/attachmen...2038307824.png Статистика https://forum.antichat.xyz/attachmen...2038324752.png Удивил функционал, позволяющий контролировать не только процессы поступающих угроз, но и исходящих во вне. К примеру был продемонстрирован процесс блокировки трафика на устройстве с уязвимого и очень старого по версии веб-браузера Mozilla Firefox. Это не просто поведенческий анализ, а именно защита 21 века! Вот консоль с правилами: https://forum.antichat.xyz/attachmen...2038337149.png Вот то, как это видит пользователь: https://forum.antichat.xyz/attachmen...2038346299.png Естественно все рассматриваемые комплексы интегрируются с продуктами своего вендора, но то как это реализовано у чек-поинта говорить не приходится, они основоположники единой консоли и тесной интеграции своих продуктов, фортик не отстает и тоже демонстрирует интеграцию EDR со своим шлюзом https://forum.antichat.xyz/attachmen...2038361417.png https://forum.antichat.xyz/attachmen...2038375053.png https://forum.antichat.xyz/attachmen...2038406710.png Лицензирование простое https://forum.antichat.xyz/attachmen...2038426838.png #Cisco Advanced Malware Protection (AMP) Вступлю с того, что все мои "умозаключения" это не более чем моё восприятие реальности, не более чем практический анализ в сравнении 3 продуктов. Главный экран "циски" вгоняет в ступор https://forum.antichat.xyz/attachmen...2038453498.png Теперь я приведу Вам аналогию и Вы сразу поймете о чем я, просто сравните и найдите 10 отличий: https://forum.antichat.xyz/attachmen...2038470146.png https://forum.antichat.xyz/attachmen...2038481605.png Интерфейс стиля 1996 года, как впрочем и у продуктов IBM. Ну Вы что господа создатели, совершенно не хотите делать продукты пригодными и информативными? Нет слов... Но это не самое главное, ужасает то, что интерфейс подсветил красным подразделение SOC при тестировании на одном из которого, осуществлялась ручная попытка блокировки запуска по хешу. Вот так происходит поиск хеша https://forum.antichat.xyz/attachmen...2038560312.png Вот она информативность 21 века. 2 исполняемых файла справа это как раз таки блокируемые ручным методом по хешу исполняемые файлы на хосте, 2 линка на http на которые 10 Windows сам ходит за обновлениями и один IP адрес и это за 2 года накоплений друзья... https://forum.antichat.xyz/attachmen...2039018419.png Что мы можем узнать нажимая на стрелочки? Не смейтесь, это циско-удобство и наверное нужно получить 3 сертификата от вендора, чтобы понять логику... Продукт за деньги проверяет линки и файлы на Virus total, это гениально! https://forum.antichat.xyz/attachmen...2039034251.png А вот информация при нажатии на подробности о "заразе". Очень важный момент - при нажатии на любой линк или кнопку меню, вся страница перезагружается сама для того, чтобы отобразить контент (F5 | ctrl+R) убейте себя об стену кто это придумал. https://forum.antichat.xyz/attachmen...2039205585.png События https://forum.antichat.xyz/attachmen...2039223006.png Вы чего с дубу рухнули чтоли? Что за значки бензозаправки, молнии, 66 страниц уязвимостей софта на хостах, мы же не про процесс проверки уязвимостей тут говорим, а про инциденты. "Все смешалось в доме Облонских" https://forum.antichat.xyz/attachmen...2039238252.png Давайте "ковырнем" это чудо технологий (Илон Маск закрой глаза и Тони Старк ты не зря умер). Подойдем со всей ответственностью и попробуем проанализировать события фильтруя все события с уязвимостями софта на хостах. Это карточка предотвращённого действия исполняемым файлом IAProvider.exe к процессу winlogon.exe https://forum.antichat.xyz/attachmen...2039250956.png Тут мы видим замаскированный хеш исполняемого файла, место расположения, размер, причину - он не чистый и без подписи сертификатом производителя, хеш дочернего процесса как я понимаю тоже замаскированный, размер и место расположения исполняемого файла. Детали таковы - он запускался под системой https://forum.antichat.xyz/attachmen...2039270183.png О боже, при нажатии на стрелочку с иконкой синенького компьютера мы можем посмотреть на "трассировку" https://forum.antichat.xyz/attachmen...2039281848.png Чтобы понять эту "схему распайки", нужно отфильтровать наверное или потыкать на красные кнопочки на временной шкале. Фильтрация очень наглядная, тут только плюс. https://forum.antichat.xyz/attachmen...2039294731.png Да и прошу обратить внимание, каждый раз при взаимодействии с интерфейсом он долго о чем то думает и появляется индикатор загрузки и вуаля страница перезагружается выдавая нам чудесное ничего https://forum.antichat.xyz/attachmen...2039336716.png Это невероятно увлекательно - потратить 10 минут, чтобы увидеть такое! Давайте еще посмотри на "траекторию девайса", о боже, что мы видим! ... - ничего интересного, расходимся https://forum.antichat.xyz/attachmen...2039347392.png Потыкаем еще по менюшкам выпадающим на главном экране Analysis > Prevalence, я так понял это сбор всех исполняемых файлов на хостах пользователей. Если бы не было с чем сравнивать по функционалу, я бы вопел овациями, но увы Касперский со своим KSC давным-давно порвал шаблоны... https://forum.antichat.xyz/attachmen...2039359345.png Можно посмотреть "трассировку" https://forum.antichat.xyz/attachmen...2039372576.png Зачем Вы это делаете с людьми? Зачем вы вгоняете внутрь, чтобы показать то же самое что есть на главном экране? https://forum.antichat.xyz/attachmen...2039384528.png Нашел саму красивую вкладку Overview и увидел процесс управления уязвимости ПО на хостах аля Qualys или Nessus. https://forum.antichat.xyz/attachmen...2039400378.png MDM для iOS? https://forum.antichat.xyz/attachmen...2039416685.png А вот меню настройки модулей, по функционалу это сервис класса EPP но никак не EDR!!! https://forum.antichat.xyz/attachmen...2039436845.png При активации модуля TETRA компьютер превратился в кирпич... Да уж господа из циска, Вы точно понимаете что от Вас ждут при продаже продукта? Мне кажется "это" было сделано просто из-за необходимости следовать тренду и красивым словосочетаниям EDR, но никак не по назначению. Увы, это не продукт, посмотрите выше на 2 продукта этого класса и просто сравните. Я не спорю, что возможно в продукте заложено нечто совершенно невероятное. До чего мой мозжечок не в состоянии дойти без процесса обучения и демонстрации сильных сторон, но как говорил мне батя мой - не можешь сделать - не мучай мозг, значит это не твоё! Ну и вердикт, продукт этого класса подойдет не всем компаниям и использовать его вне умелых руках смогут не каждые подразделения. Как я отмечал в начале, для выбора такого продукта, компания должна прийти к определенной стадии "зрелости", а лишь потом брать на вооружение EDR. Так же хочу отметить, что в рамках поверхностного анализа, по другому я не могу назвать свои изыскания, не проверялась возможность мультивендорной интеграции продуктов, ведь это самая важная часть процесса, потому как "строить с нуля" процессы безопасности никто не будет и в средних и крупных компаниях сложился ряд продуктов по тем или иным причинам и как с них забирать данные остается загадкой для меня лично. Ведь все вендоры заявляют о поддержк и интеграции своих продуктов, а в реалиях бизнеса - поменять все - значит умереть на рынке. Из анализируемых продуктов, больше всех понравился фортик и это моё личное мнение, которое я не навязываю. Нужно взять на пилот и понять что из себя представляет этот продукт. Вот Вам сравнение ожиданий и реальности из жизни, пусть очередное, но все таки полезное, как я считаю. Решили обойтись "малой кровью" и взять фортиклиентов для установки на пользовательские хосты дабы обезопасить себя в режиме удаленки от дырявейших компов пользователей дома, в том числе обеспечить безопасное подключение через этих же агентов, "убить 2-х зайцев" как говорится. Взяли мы в пилот фортиклиенты и консоль управления и жутко разочаровались в продукте, консоль сырая, продукт на хостах очень мало видит из даже уязвимостей софта на хосте (сравнивали сканом квалиса и несуса), в консоли не отображен процесс обновления в хронологии, видно только в консоли клиентов и многие другие аспекты, которые привели нас в упадок и решению не использовать продукт и пока даже не смотреть на него. По поводу "квадранта гартнера" - к моему удивлению мои тесты с мнением квадранта совпали За сим, прошу любить и жаловать очередные не лесные и порой не уместные, но все же полезные вердикты, ставьте лайки, оставляйте комментарии. |
Кстати, если есть возможность, можно было бы уменьшить слегка картинки некоторые, уж слишком огромные. А так статья шик.
|
Цитата:
|
Мощная и очень информативная статья, автору большое спасибо!
|
Зацените, нашел фри EDR
GitHub - ComodoSecurity/openedr: Open EDR public repository Open EDR public repository. Contribute to ComodoSecurity/openedr development by creating an account on GitHub. github.com |
Спасибо за статью, видно что пришлось немало интернет лопатить
картинка Гартнера относится к Endpoint Protection к которому максимум Forticlient отнести можно, поэтому форти там так низко, на EDR у гартнера пока нет квадрата вообще. Пока много путаницы что есть ЕДР а что EPP но у NSS Labs есть отчёт AEP 2020 можно легко найти , там форти выглядит достойно. фортиЕДР был куплен в 2019 фортинетом как ensilo который и сам уже имел хорошую репутацию. Сравнивать скорее с SentinelOne , Crowdstrike, Cybereason стоит все таки EDR и EPP две большие разницы. Мне тоже фортиЕДР понравился, из недостатков пожалуй один - цена как у Боинга И да фортиклиент под управлением EMS так себе удовольствие , как бы работает но не впечатляет. |
Цитата:
Статью делал именно потому, что вендоры циски и их представители, в том числе сами "цисковики" на рабочих местах бъют в себя в грудь, что у них есть EDR и закройте все рты, а я решил понять что есть EDR и сравнить функционал и не более того. |
Могу только сказать огромное спасибо за предоставленный обзор / разбор. Сейчас нахожусь именно в стадии принятния решения по внедрению целого комплекса продуктов, включая EDR.
Рассматривал те же самые - Forti, Cisco, CheckPoint. Пока все показывает в сторону "Феди" (хотя бы даже из-за того, что осуществить интеграцию с уже имеющимися системами того же "Феди". |
1. Уже больше полугода нет такого продукта Cisco AMP, он называется Cisco Secure Endpoint
2. Автор не разобрался в функционале продуктов и сделал субъективные выводы о работе продуктов. 3. Аргументы высосаны из пальцы и не соответствуют действительности. |
Цитата:
|
| Время: 23:43 |