Защитите свои конечные точки с помощью Transparity и Microsoft
transparity, защита, защита данных, информационная безопасность, кибербезопасность
Защитите свои конечные точки с помощью Transparity и Microsoft
Шон Уилкин Руководитель службы безопасности, Transparity
Эта запись в блоге является частью серии гостевых блогов Microsoft Intelligent Security Association . Узнайте больше о MISA
Платформы защиты конечных точек (EPP) мертвы, и их уже недостаточно для защиты вашей организации, верно? Неверно.
Когда дело доходит до кибербезопасности, способность нормализовать и сопоставлять разрозненные журналы с разных устройств, устройств и ресурсов имеет ключевое значение, а также способность быстро реагировать на атаки. Чем быстрее вы сможете отреагировать и исправить ситуацию, тем меньше будет радиус поражения и влияние на вашу организацию. В этом сообщении блога мы исследуем важность EPP как важного компонента вашей стратегии безопасности, важность защиты ваших конечных точек и эволюцию EPP в обнаружение и реагирование на конечные точки (EDR) и расширенное обнаружение и реагирование (XDR). Мы также обсудим управляемое обнаружение и реагирование (MDR) и ценность, которую может принести опытный поставщик услуг управляемой безопасности. Служба безопасности Transparity Cyber Managed Security использует целостный подход к кибербезопасности и использует EPP, EDR,
Узнайте, что могут значить для вас EPP, EDR, XDR и MDR, и как сервисы Microsoft Cloud Security работают вместе, чтобы обеспечить комплексную основу безопасности.
Как облачный EPP помогает нейтрализовать современные угрозы
Традиционные EPP, такие как антивирусы и антивредоносные программы, защищали конечные точки, идентифицируя и блокируя известные, распространенные и легко обнаруживаемые угрозы, используя сигнатуры и пассивную эвристику (сопоставление шаблонов или подпрограмм). Этот тип EPP уже недостаточен для защиты конечной точки, и его можно легко обойти, используя даже базовые методы уклонения от защиты.
Современная защита конечных точек добавляет множество уровней защиты помимо того, что предлагалось ранее, и является неотъемлемой частью структуры защиты конечных точек. Этот тип EPP обнаруживает вредоносную активность с помощью анализа перед выполнением, поведенческого анализа, активной эвристики и песочницы.
Многие антивирусные продукты следующего поколения включают в себя функции пассивной защиты, такие как брандмауэры на базе хоста и шифрование данных.
Важной особенностью EPP, которую следует учитывать, является отказ от традиционного сервера управления в пользу платформы, управляемой из облака. Облачное управление позволяет собирать данные телеметрии и обеспечивает непрерывный мониторинг, а также возможность управлять конечной точкой, даже если организация находится вне прямой видимости.
EPP следующего поколения в Microsoft Defender для конечной точки предоставляет облачные возможности защиты от вредоносных программ, которые используют встроенный искусственный интеллект для блокировки программ-вымогателей, известных и неизвестных вредоносных программ и других угроз на их пути. Это решение также обеспечивает возможности сокращения направлений атак, которые укрепляют устройство, помогая предотвратить эксплойты нулевого дня, а также предлагают детальный контроль над доступом и поведением на конечной точке. Организации, стремящиеся улучшить свой подход с нулевым доверием , будут рады узнать, что Defender for Endpoint Plan 1 обеспечивает дополнительный уровень защиты данных и предотвращения нарушений с условным доступом на основе устройства.
Для организаций, стремящихся получить еще больше пользы от защиты конечных точек Майкрософт, Defender для конечных точек, план 2, сочетает в себе все возможности предотвращения, доступные в плане 1, с функциями EDR, такими как инструменты автоматического расследования и исправления, основные функции управления угрозами и уязвимостями, а также расширенный поиск угроз. . Объединив EPP с EDR, организации могут реализовать более полное решение для защиты конечных точек, способное справиться с меняющимся ландшафтом угроз.
Элементы как EPP, так и EDR необходимы для обеспечения всеобъемлющей платформы защиты конечных точек. EPP и EDR должны дополнять друг друга, а не заменять.
Используйте EDR для анализа устройств и поведения пользователей
Обнаружение конечной точки и ответ основаны на протоколе EPP, но не заменяют его. Оба необходимы для правильной защиты конечной точки.
EDR значительно расширяет область защиты конечных точек, позволяя комплексно обнаруживать угрозы и реагировать на них во всех конечных точках, тем самым устраняя слепые зоны. Если угроза обнаружена на одной конечной точке, автоматический ответ немедленно защищает, локализует и удаляет угрозы со скомпрометированного устройства и начинает расследование аналогичного поведения на всех подключенных устройствах.
В отличие от EPP, EDR фокусируется на поведении устройств и пользователей для обнаружения аномальных и гнусных действий. Это означает, что EDR может обнаруживать сложные атаки, направленные на то, чтобы избежать обнаружения, что является основным элементом цепочки уничтожения кибератак.
Defender for Endpoint обрабатывает значительный объем данных телеметрии с устройств (более 24 триллионов сигналов анализируется каждые 24 часа), чем EPP, что позволяет специалистам по безопасности выполнять поиск угроз и криминалистические операции на всех устройствах одновременно, обогащая контекст данных. [1]
Анализируя поведение атаки, а не конкретную полезную нагрузку или предопределенный шаблон атаки, EDR может обнаруживать сложные атаки, такие как безфайловые, живущие за пределами земли, полиморфные вредоносные программы и другие сложные постоянные угрозы (APT). Любые первоначально необнаруженные атаки также могут быть автоматически устранены после компрометации, оглядываясь назад во времени, чтобы определить начало атаки до того, как она стала вредоносной, например, путем удаления внедренных ключей реестра, служб или запланированных задач.
Машинное обучение и аналитика угроз играют ключевую роль в обеспечении защиты на основе поведения и обеспечении немедленного реагирования на активные угрозы.
Используйте XDR, чтобы соединить точки, скрывающиеся за угрозой
В то время как EDR основывается на возможностях EPP, XDR основывается на управлении защитой и безопасностью EDR. XDR предназначен для получения сигналов, журналов и данных телеметрии из разрозненных каналов и соединителей и предоставления аналитикам безопасности дополнительного расширенного представления о состоянии безопасности и ландшафте организации.
Путем получения каналов от облачных и локальных рабочих нагрузок, брандмауэров, прокси-серверов, кибер-ИИ, анализа поведения пользователей и объектов, брокера безопасности облачного доступа, платформы как услуги, программного обеспечения как услуги, границы службы безопасного доступа, событий безопасности, домена Система имен, беспроводные контроллеры, активный каталог, доменные службы Active Directory и Microsoft Azure Active Directory, приложения, аналитика угроз, аналитика безопасности, системный журнал, общий формат событий, управление угрозами и уязвимостями и многое другое, XDR может расширить видимость за пределами отдельных инструментов безопасности. и платформы для корреляции атак. Например, аналитики безопасности могут быть предупреждены об атаке через EPP или EDR, но потенциально могут определить первоначальный вектор атаки и отследить его боковое движение через XDR.
Эта возможность значительно сокращает время на выявление угрозы, ее сдерживание и устранение. Вышеупомянутый поиск угроз и криминалистическая экспертиза также теперь выходят за пределы конечных точек и могут выполняться на всей территории.
Microsoft расширяет возможности защитников, предоставляя нужные инструменты и интеллектуальные данные нужным людям, объединяя информацию о безопасности и управление событиями и XDR для повышения эффективности и результативности при защите вашего цифрового имущества. Получите ценную информацию по всей организации с помощью нашей облачной SIEM Microsoft Sentinel . Используйте интегрированный автоматизированный XDR для защиты своих пользователей с помощью Майкрософт 365Defender и защитите свою инфраструктуру с помощью Microsoft Defender для облака .
MDR расширяет возможности реагирования на угрозы и управления
Как обсуждалось в предыдущих разделах, EPP, EDR и XDR предоставляют аналитикам безопасности расширенные данные для поиска угроз и судебной экспертизы. Служба MDR использует эти данные для выполнения этих функций, а также для реагирования на инциденты и управления ими, а также для сокращения среднего времени обнаружения (MTTD) и среднего времени реагирования (MTTR). Чем быстрее и точнее сможет отреагировать служба безопасности, тем меньше радиус поражения и влияние на организацию.
MDR — это не продукт или технология, это услуга. Эта услуга обеспечивает лучшее в своем классе обнаружение угроз и реагирование на них, а высококвалифицированные специалисты по безопасности круглосуточно работают для защиты организаций. Обычно используется термин «глубокоэшелонированная защита», и наличие нескольких уровней защиты — лучший способ смягчить различные векторы атак; однако наличие группы опытных инженеров для сопоставления этих данных может иметь решающее значение для обеспечения того, чтобы организации максимально эффективно использовали свой стек безопасности.
Кто такая Transparity?
Transparity является членом MISA и золотым партнером Microsoft pureplay, основанным в 2015 году и состоящим из семьи специализированных членов, включая специализированный бренд безопасности Transparity Cyber . Обладая уникальной культурой и стремлением к выдающемуся обслуживанию и опыту, единым для всей семьи, Transparity работает вместе в координации между дисциплинами, чтобы обеспечить лучшее в облачных технологиях Microsoft.
В компании Transparity работают опытные специалисты по облачным технологиям с многолетним опытом работы. Компания гордится тем, что имеет 16 аккредитаций Microsoft Gold Partner, статус поставщика управляемых услуг (MSP) Azure Expert и 11 расширенных специализаций. Transparity Cyber каждый день поддерживает этот стандарт качества. В дополнение к аккредитации Microsoft Gold Security они придерживаются нескольких элитных стандартов, что дает организациям уверенность в том, что они работают с партнером по безопасности, который стремится быть лучшим.
Transparity гордится тем, что стала финалисткой конкурса Microsoft Security Excellence Awards 2022 .
Служба управляемой безопасности предлагает постоянную сквозную защиту с упреждающим подходом к кибербезопасности. Руководствуясь принципами Zero Trust, эксперты Transparity в первую очередь занимаются защитой и профилактикой, а также выполняют действия по обнаружению, реагированию и восстановлению. Благодаря упреждающему поиску угроз и управлению уязвимостями среда клиентов защищена с первого дня, а мы постоянно укрепляем и развиваем их систему безопасности.
Transparity каждый месяц управляет и реагирует на тысячи инцидентов, напрямую угрожающих средам клиентов, помогая обеспечивать безопасность их организаций и пользователей. С декабря 2021 года по июнь 2022 года сервис ежемесячно защищал клиентов от более чем 1000 угроз .
Узнать больше
Найдите Transparity на коммерческом рынке Microsoft .
Чтобы узнать больше о MISA, посетите наш веб-сайт MISA , где вы можете узнать о программе MISA, интеграции продуктов и найти участников MISA. Посетите список воспроизведения видео , чтобы узнать о сильных сторонах интеграции участников с продуктами Microsoft.
Узнайте больше о службах Microsoft Cloud Security .
Чтобы узнать больше о решениях Microsoft Security, посетите наш веб-сайт . Добавьте блог о безопасности в закладки , чтобы быть в курсе наших экспертных материалов по вопросам безопасности. Кроме того, следите за нами на @MSFTSecurity , чтобы быть в курсе последних новостей и обновлений в области кибербезопасности.
1 Отчет Microsoft Digital Defense , Microsoft. Октябрь 2021.
Рубрика:
Информационная безопасность, Ассоциация интеллектуальной безопасности Майкрософт