В корпоративной инфраструктуре до сих пор живет опасное заблуждение: если антивирус не сигналит, а EDR не выдает тревог — значит, всё в порядке. На практике всё чаще происходит иначе: средства защиты установлены, политики настроены, агенты работают — а первая новость о взломе приходит от клиентов, обнаруживших утечку данных, или от самого злоумышленника с требованием выкупа.

Современные атаки давно перестали быть «шумными». Классический антивирус ориентирован на сигнатурный анализ: увидел знакомый хэш — остановил. Но злоумышленники используют легитимные инструменты (living off the land), действуют медленно, растягивая атаку на недели и месяцы, и обходят традиционные методы обнаружения. Именно поэтому сегодня нужен другой подход: глубокий сбор событий, поведенческий анализ и возможность расследовать инцидент, даже если он уже произошел.

MaxPatrol Endpoint Security — это полноценная платформа защиты конечных устройств, которая включает два ключевых продукта.

MaxPatrol EPP (Endpoint Protection Platform) — базовая защита. В основе — собственный антивирусный движок Positive Technologies (разработан совместно с VirusBlockade, переработан экспертной лабораторией). Он обнаруживает и устраняет известное вредоносное ПО.

MaxPatrol EDR (Endpoint Detection and Response) — защита от более сложных угроз. За счет большого количества модулей сбора, обнаружения и реагирования продукт выявляет многоэтапные атаки, которые не замечает классический антивирус, и помогает в расследовании инцидентов. EPP и EDR — две составляющие единой платформы. Можно начать с базовой антивирусной защиты и постепенно подключать модули EDR.

Продукт состоит из трех компонентов: управляющий сервер (центральный элемент), сервер агентов (доставка модулей и управление политиками) и сами агенты на конечных устройствах (Windows, Linux, серверы, ноутбуки, ВМ).

Ключевая особенность — модульность агента. Модули делятся на три категории:

• Модули сбора — поставка событий, сканирование журналов, флагирование.
• Модули обнаружения — статический и динамический анализ, поведенческий коррелятор.
• Модули реагирования — действия по блокировке угроз прямо с агента.

Драйвер самозащиты — защищает не только службы сбора от «ослепления» хакерами, но и сам агент: пользователь с правами администратора не сможет просто так выключить службу.

Поддерживается целый набор источников событий:

• Windows: Sysmon, Advanced Audit Policy.
• Linux: AuditD, ETW-провайдеры, eBPF (появился недавно).

Мы комбинируем эти методы для выявления самых сложных угроз и постоянно расширяем перечень (в планах — собственный драйвер сбора событий). Настройка централизованная: с сервера управления, с мониторингом конфигураций. Не нужно вручную следить за Sysmon или AuditD на тысячах устройств.

Что именно собирается? Файловые операции, процессы, планировщик задач, автозагрузка, участие в группах (особенно админских), события входа-выхода. Разносторонний взгляд на действия пользователей и ОС.

Статический анализ — классическая сигнатурка, но не только хэши: эмулируем поведение ВПО, сигнатуры динамические.

Динамический анализ — яро-сканирование (глубокая проверка) и коррелятор (поведенческий анализ, который раскрывается именно на EDR-агенте). Поведенческий анализ важен для атак, растянутых во времени: злоумышленник заходит с одной точки, через неделю загружает нагрузку, коммуницирует с C2, проводит рекогносцировку. Ключевое преимущество: все технологии работают прямо на агенте. Даже без сети, в командировке или на удаленке защита не ослабевает.

Аналитик SOC видит грид событий. Например, «Register Key Disable UAC» — отключение защиты учетных записей Windows. Это лишь атомарное событие, часть цепочки. На тестовом стенде симулирована атака из 18 этапов: фишинг → докачка нагрузки → закрепление → отключение UAC (7-й этап) → отключение Windows Defender → добавление в автозагрузку → Mimikatz. Все события видны в интерфейсе, высокоприоритетные требуют немедленного реагирования.

EDR невозможен без реагирования. Всего в продукте — 40 действий реагирования. На уровне EPP: завершение процессов, отправка в карантин, сетевая изоляция. В EDR — все 40, включая экстравагантные методы.

• Удаленная работа с файлами — просмотр и удаление файлов на удаленном устройстве без доступа к IT-службе.
• Remote Shell — выполнение команд PowerShell или Bash из единой консоли, в том числе на группе устройств.
• Изоляция устройств — по кнопке, частичная или полная, с восстановлением после инцидента.
• Работа с учетными записями — отключение локальных админских/пользовательских учеток на время или постоянно. Агент имеет приоритет над попытками обхода.

Реагировать можно из карточки события, из карточки агента, на группе агентов или через API (интеграция с SOAR/IRP).

Частый страх: «еще один агент — убьется производительность». Базовые шаги:

1. Автоматизированная установка — скрипты Ansible для массовой раскатки (Windows/Linux).
2. Группировка агентов — по типу устройства, функции, критичности. Разные политики для разных групп.
3. Автоматизация сопровождения — задачи на удаление, перемещение, обновление по расписанию.
4. Совместимость с другими антивирусами — исключения директорий и файлов в исключениях на обоих продуктах. Внутри самого продукта уже есть готовые шаблонные исключения.
5. Настройка частоты сканирования — не запускать яро-сканирование каждые 15 минут. Критичные активы — чаще, остальные — раз в день или реже.
6. Архитектура: сервер агентов поближе — серверы агентов не лицензируются, можно ставить сколько угодно. Не допускайте ситуации, когда сервер во Владивостоке, а агент в Москве.

MITRE ATT&CK mapping — все атомарные события маппятся на техники MITRE, высокоприоритетные события сразу показывают технику.

Сбор данных о состоянии системы (форензика) — модуль, который при атаке сразу собирает дамп окружения: сетевые соединения, учетные записи и т. д. Даже если хакеры потом потрут логи, следы останутся. Реальный кейс: при развертывании агента на 300-м устройстве обнаружили APT-группировку — форензика помогла сразу начать вычищение. Архив запаролен, можно передать интегратору или третьей стороне для расследования.

Актуальная версия — 9.1.1. Релиз 10-й версии — середина июня. Ключевые новшества:

• Усиление EPP — контроль приложений и контроль устройств.
• Расширение сбора событий — файловые операции, развитие eBPF, собственный драйвер сбора.
• Интеграция с NGFW (PT NAD) — реагирование по аномальной активности в сети без переключения между консолями.
• Упрощенное распространение агентов — доставка агентов прямо из интерфейса, без Ansible-скриптов.
• Унификация распространения политик — одна политика на все серверы агентов.

Классический антивирус и даже EDR могут быть установлены везде, но не видеть сложных многоэтапных атак. Современные злоумышленники действуют медленно, используют легитимные инструменты, растягивают атаку во времени. Нужна комплексная платформа, которая:

• собирает события из множества источников (Sysmon, AuditD, eBPF);
• анализирует статически и динамически прямо на агенте (даже без сети);
• обнаруживает аномальное поведение, а не только известные хэши;
• предоставляет 40+ действий реагирования — от изоляции хоста до удаленного шелла;
• помогает расследовать инцидент с помощью форензики и MITRE-маппинга;
• не убивает производительность при правильной настройке.

Ключевой принцип MaxPatrol Endpoint Security: защита не должна ослабевать, когда устройство вне сети. Все технологии анализа работают на агенте автономно. Переход от подхода «надеемся, что антивирус всё поймает» к подходу «мы видим, что происходит на каждом конечном устройстве, и можем мгновенно отреагировать» — это и есть реальная защита в современных условиях.