| Критерий | AV (Антивирус) | EDR |
|---|
| Угрозы нулевого дня (0-day) | НЕТ только сигнатуры известных | ДА поведенческий анализ |
| Поведенческий анализ (Behavioral analysis) | НЕТ | ДА нестандартное поведение процессов |
| Возможность реагирования (Response capability) | Только блокировка вирусов | Изоляция конечной точки, завершение процесса (kill process), откат файлов |
| Криминалистика (Forensics) | Минимальный лог | Полная история действий процессов и пользователей |
| Поиск угроз (Threat hunting) | НЕВОЗМОЖЕН | ДА поиск IoC (Indicators of Compromise / индикаторы компрометации) по всему парку |
| Интеграция с SIEM | Базовая | Нативная (структурированные события) |
| Обнаружение бесфайловых атак (Fileless detection) | НЕТ нет файла = нет сигнатуры | ДА анализ памяти и поведения |
| Покрытие MITRE ATT&CK | 5-10% техник | 60-80% техник |
Карта покрытия (Coverage Map) парка конечных точек
20% слепые зоны (blind spots): устаревшие ОС, IoT, BYOD (Bring Your Own Device / использование личных устройств), контракторы
Большинство атак программ-вымогателей (ransomware) начались со слепой зоны (blind spot)
Покрытие MITRE ATT&CK (Coverage)
Начальный доступ (Initial Access)
СЛАБО
Выполнение (Execution)
ХОРОШО
Закрепление (Persistence)
ХОРОШО
Обход защиты (Def. Evasion)
ХОРОШО
Лат. перемещение (Lat. Movement)
ХОРОШО
Сбор (Collection)
ЧАСТИЧНО
Управление (C2)
ЧАСТИЧНО
Эксфильтрация (Exfiltration)
СЛАБО
Разведка (Discovery)
ЧАСТИЧНО
Учётные данные (Credential)
ЧАСТИЧНО
Эксфильтрация и начальный доступ нужны другие инструменты (DLP, NDR)
Стартап на 30 чел.
EDR как услуга (EDR-as-a-Service) от провайдера (CrowdStrike, Microsoft Defender for Business)
2-3 млн руб/год
Корпорация на 5000 чел.
Enterprise EDR с собственной командой администрирования
25-50 млн руб/год CAPEX (Capital Expenditure / капитальные затраты) + 10-15 млн руб/год OPEX (Operational Expenditure / операционные затраты)
ROI: 80% → 95% vs 95% → 100%
Переход с 80% на 95% покрытия даёт большую защиту. Переход с 95% на 100% стоит непропорционально дорого.
МИНИМАЛЬНАЯ ЖИЗНЕСПОСОБНАЯ БЕЗОПАСНОСТЬ (MINIMUM VIABLE SECURITY)
Если компания может выбрать только 3 контроля:
1. MFA (Multi-Factor Authentication / многофакторная аутентификация) 2. Резервное копирование (Backup) 3. EDR
EDR, один из самых эффективных контролей по соотношению стоимости и снижения риска. Но EDR без действующего процесса реагирования на алерты, дорогой логгер.