Вопрос или проблема
Существует множество различных Провайдеров управляемых услуг безопасности (MSSP), предлагающих управляемые услуги детекции и реагирования. Они, как правило, используют так называемый агент на конечном устройстве, в то время как только некоторые используют сетевое устройство в дополнение.
У нас есть маленькая офисная сеть с парой десятков конечных устройств. MSSP, которые мы рассматриваем, предлагают как агентов на конечных устройствах, предоставляющих Обнаружение и реагирование на угрозы на конечных устройствах (EDR), так и дополнительное сетевое устройство, действующее как Система обнаружения сетевых вторжений, или NIDS, подключенная к брандмауэру.
Рекомендуется приобрести как агентов на конечных устройствах, так и сетевое устройство, но второе имеет значительные дополнительные расходы.
Как нам определить, стоит ли сетевое устройство этих затрат или нет?
Дополнения в виде сетевых устройств, как правило, имеют преимущества, когда ваши меры контроля безопасности недостаточны.
Если ваша сеть управляется (на достаточном уровне), события собираются в SIEM, сетевое сегментирование реализовано, а контроль доступа основан на надежном механизме (например, сертификаты и без того, чтобы вас “заблокировали”), уровень сети все еще имеет некоторые преимущества, но не в такой степени.
Если ваши меры контроля безопасности на уровне сети вам не нравятся или недостаточны, сетевое устройство может помочь вам начать внедрение упомянутых мною мер контроля.
Лично я бы выбрал основанный на конечных устройствах подход и автоматически отключил все, что не имеет требуемых свойств, от своей сети.
Ответ или решение
Оценка необходимости сетевого устройства в контексте MDR-решений
При выборе между решениями Managed Detection and Response (MDR), которые предоставляют только агенты на конечных устройствах и теми, которые дополняются сетевыми устройствами, необходимо учесть несколько ключевых факторов, чтобы определить целесообразность вложения в сетевое устройство.
1. Функциональные особенности
Агенты на конечных устройствах (EDR) обеспечивают глубокую видимость и управление безопасностью на уровне каждого устройства. Они могут обнаруживать угрозы, реагировать на инциденты и обеспечивать защиту в реальном времени. С их помощью можно эффективно выявлять и локализовывать атаки на конечных устройствах, которые могут быть основным вектором проникновения.
Сетевые устройства (NIDS), в свою очередь, функционируют на более высоком уровне и способны отслеживать и анализировать трафик, проходящий через сеть в целом. Они могут обнаруживать аномалии и потенциальные угрозы, которого не видно на уровне одного устройства. Такие системы полезны для мониторинга сетевых потоков и могут выявлять угрозы, которые не были обнаружены на уровне конечных устройств.
2. Нужды вашего бизнеса
Уровень существующей безопасности. Если вы уже располагаете надежной защитой, включая управление событиями и инцидентами (SIEM), сегментацию сети и строгий контроль доступа, вероятность того, что дополнительное сетевое устройство станет значительным улучшением, снижается. В случае недостаточной защиты на уровне сети интеграция NIDS может стать важным шагом в обеспечении безопасности.
Размер и структура сети. Для небольших офисных сетей, содержащих всего несколько десятков конечных устройств, агрегация данных с помощью сетевого устройства может оказаться менее актуальной. Если сети малые и управляемые, возможно, будет достаточно сосредоточиться на EDR для обеспечения защиты.
3. Возврат инвестиций (ROI)
Стоимость и выгоды. Первоначальные вложения в NIDS могут быть значительными, поэтому важно оценить выгоды от внедрения такого устройства. Если ваше предприятие обрабатывает чувствительные данные или подвергалось атакам в прошлом, дополнительные средства на защиту могут быть оправданы. Но если ваша сеть хороша управляется, и риски минимальны, то экономия может перевесить потенциальные выгоды от NIDS.
Анализ затрат на интеграцию и обслуживание сетевого устройства также имеет значение. Будет ли производиться дополнительное обучение для вашего персонала или потребуется ли найм новых специалистов для управления и обслуживания? Эти аспекты необходимо учитывать при принятии решения.
4. Автоматизация и управление
Большинство современных решений EDR обладают возможностями автоматизации, которые позволяют отсекать соединения с устройствами, не соответствующими стандартам безопасности. Если ваша инфраструктура уже подразумевает автоматизацию управления инцидентами и минимизацию взаимодействия пользователя с потенциально небезопасными элементами, возможно, сетевое устройство станет менее критичным.
Заключение
Вопрос о необходимости сетевого устройства в дополнение к агентам на конечных устройствах следует рассматривать в контексте ваших специфических нужд и рисков. Если структура вашей сети хорошо управляется и представляет минимальный риск, вероятно, стоит остановиться на EDR. Однако, если ваша сеть подвержена угрозам, и вы не уверены в эффективности имеющихся средств защиты, интеграция NIDS может существенно повысить уровень вашей безопасности. Советуем не спешить с решением, а тщательно оценить все аспекты и возможные сценарии использования обоих решений.