Как поменялись требования к сертификации средств защиты конечных устройств ✍ Мы запускаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель MaxPatrol EDR, подробно разберут, как устроена сертификация средств защиты конечных устройств по новым правилам (https://vk.cc/cPAqpg), в частности СОР — систем обнаружения и реагирования. Наша продуктовая команда и специалисты отдела сертификации вместе с регулятором участвовали в рабочей группе по формированию требований к СОР. Сейчас эти требования активно разрабатываются ФСТЭК России с привлечением производителей СЗИ. 👉 Один из пунктов сертификации, о котором мы расскажем сегодня, — это методы обнаружения кибератак на узлах. Изначально перед ФСТЭК стояла сложная задача —сохранить границы и контекст в рамках конкретного узла, что само себе крайне сложно в сфере кибербезопасности. Дело в том, что уже существуют требования к антивирусу (САВЗ), которые важно было сохранить независимыми, а EDR как решение может взаимодействовать с множеством других СЗИ. Важно было не приписать их функции EDR, а показать, что такая взаимосвязь — базовое требование для этого класса решений. Например, отправка в SIEM-системы, песочницу, работа с TI и антивирусами. В финальной версии требований мы увидели большой объем исправлений, который появился благодаря диалогу с вендорами. Это говорит о том, что к представителям индустрии прислушиваются и на выходе появляется документ, который отражает суть именно этого класса решений. 👀 В одном из требований нормативного документа есть предписание, что механизмы обнаружения должны позволять находить на узле признаки: • получения первоначального доступа; • внедрения и исполнения вредоносного программного обеспечения; • закрепления (сохранения доступа) с возможностью получения повторного доступа; • управления вредоносным программным обеспечением и его компонентами; • повышения привилегий доступа; • сокрытия действий; • сбора и вывода информации; • неправомерного доступа или воздействия. Этот список подтверждается на практике, а в нашем MaxPatrol EDR такие признаки полностью закрываются работой коррелятора. Кроме того, наши пользователи могут связать отдельные события обнаружения с этими признаками, используя разметку по MITRE ATT&CK Framework. 💡 Как правило, путь злоумышленника состоит из разведки, анализа в контексте узла и сетевого окружения, закрепления на узлах, дампа административных учетных записей, перемещения между узлами, эксфильтрации данных. Время нахождения злоумышленника в инфраструктуре может достигать 90 дней, и нужно уметь собирать все его шаги в цепочки. Так пользователь получит не множество отдельных событий, а комплексное понимание о тактиках и техниках атаки. За счет этого сертифицируемые решения становятся по-настоящему прикладными. ❗ Среди критериев оценки есть указание на типы данных мониторинга, которые должны собирать такие решения (посмотреть их можно здесь: https://vk.cc/cPAqmH). Для обнаружения угроз в MaxPatrol EDR (https://vk.cc/cPAqk0) поддерживаются не только эти типы данных наряду со стандартными для отрасли методами сбора, но и расширенные возможности, которые помогают нашим клиентам снижать количество ложноположительных срабатываний и оперативно обнаруживать киберугрозы на конечных устройствах. Все эти параметры можно увидеть в карточках активов, в событиях, они используются в правилах коррелятора и YARA. В следующих публикациях подробнее расскажем о требованиях к реагированию в СОР и кастомной экспертизе. Stay tuned! #MaxPatrolEDR #PositiveTechnologies