Лучшие решения по безопасности устройств: обзор по версии Gartner(EDR & EPP)

26 мая 2021

Консалтинговая компания Gartner опубликовала рейтинг поставщиков ПО, предоставляющих лучшие решения систем безопасности конечных устройств. В обзоре представлены системы, которые отслеживают информацию с датчиков, встроенных в ПК, серверы и предоставляющие защиту от вредоносных программ. Такие системы защищают от угроз, вредоносных программ, использующих файловые и бесфайловые методы считывания информации. Они собирают и составляют отчеты об устройстве и об их управлении, о контроле уровня безопасности ОС, например, о шифровании диска и локального брандмауэра. Системы сообщают и устраняют проблемы с безопасностью, сигнализируют об активностях в Интернете для получения дополнительной информации о потенциальной вредоносной активности.

Если у вас нету времени на прочтение всей статьи, вы можете сразу перейти и узнать о победителях по версии компания Gartner в 2021 году

В статье расскажем об основных компаниях, которые предоставляют лучшие решения по системам безопасности, и именно этим представителям рынка доверяют потребители.

Bitdefender

Bitdefender – нишевый игрок рынка, в 2021 году компания представлена в Magic Quadrant. Она разработала платформу GravityZone, основные функции платформы - обнаружение и реагирование на конечные точки (EDR) и сетевой анализ в виде облачного или локального решения. Bitdefender также предлагает услугу управляемого обнаружения и реагирования (MDR). В Bitdefender работает многочисленная команда разработчиков, которая занимается исследованием угроз и является постоянным лидером в тестах по защите от файловых и бесфайловых вредоносных программ.

Сheck Рoint

Сheck Рoint – нишевый представитель в Magic Quadrant. В начале 2021 года Checkpoint провела ребрендинг решения It's SandBlast Agent под брендом Harmony. Harmony обеспечивает автоматизированное устранение обнаруженных угроз и возможности защиты, включая машинное обучение, поведенческий анализ и автоматизированный анализ. Недавняя разработка улучшила интеграцию с брандмауэром Check Point, объединив мониторинг и поиск угроз в нескольких продуктах.Check Point присутствует во всех регионах, а ее продукты подходят для всех типов организаций, которые являются существующими клиентами Check Point.

Fortinet

Fortinet – также нишевый участник в этом магическом квадранте. Fortinet является поставщиком платформ для обеспечения безопасности межсетевых экранов, защиты электронной почты, песочниц и программного обеспечения для защиты конечных точек и т. д. Приобретение в 2019 году компании enSilo обеспечило столь необходимую возможность EDR с телеметрией для расширения возможностей XDR. Инвестиции в 2019/2020 годах были направлены на усовершенствование приобретенной системы EDR enSilo, интеграцию в Fortinet Security Fabric и внедрение FortiXDR. Усовершенствования FortiEDR включают сокращение поверхности атаки, сканирование уязвимостей и инструменты обнаружения приложений/предприятий Интернета вещей (IoT). Компания Fortinet представлена во всем мире, ее продукты хорошо подходят для организаций типа B и типа C, которые ищут интегрированную платформу безопасности XDR. Клиенты, использующие несколько продуктов Fortinet, получают единую консоль для мониторинга и управления различными устройствами Fortinet. FortiClient легко интегрируется в эту экосистему.

ESET

ESET является претендентом в Magic Quadrant. Коллекция продуктов ESET включает в себя системы защиты конечных точек (EPP), Enterprise Inspector (EDR), Dynamic Threat Defense (песочница), Threat Intelligence и управляемые услуги. Флагманский продукт ESET, ESET PROTECT Enterprise, был дополнен функциями управления облаком, защиты браузера от несанкционированного доступа, сканирования Windows Management Instrumentation (WMI) и управления шифрованием Apple FileVault 2. ESET понравится в основном небольшим организациям типа B и типа C, которые ищут надежное решение EPP и EDR с легким агентом, которым можно управлять с локальных серверов. ESET содержит в себе надежный механизм защиты от вредоносного ПО, который показывает стабильно высокие результаты тестирования эффективности вредоносного ПО. Компания была одним из первых разработчиков методов машинного обучения.

Symantec

Компания Symantec относится к категории Visionary в Magic Quadrant. Позиция Symantec отражает ее стратегию выхода на рынок, тысячи ее клиентов были вынуждены искать поддержку или альтернативы. Сфокусировавшись на крупнейших клиентах, Symantec добилась определенного успеха, предлагая крупным предприятиям более широкий набор продуктов. В обслуживании клиентов малого и среднего бизнеса (SMB) компания опирается на глобальную сеть партнеров. Флагманские решения Symantec, Symantec Endpoint Security Enterprise (SESE) и Symantec Endpoint Security Complete (SESC), предоставляют управляемые из облака EPP и EDR. Многие решения Symantec имеют общую облачную консоль.

F-Secure

F-Secure еще один нишевый представитель Магического квадранта. F-Secure имеет опыт предоставления защиты конечных точек с помощью экспертных управляемых услуг, добавив EDR и услугу Countercept MDR в 2018 году и внедрив поиск угроз в 1 квартале 20 года. Основным рынком F-Secure является регион EMEA, компания представлена во всех остальных регионах мира. Клиентами F-Secure обычно являются средние и малые предприятия типов B и C, а клиентами Countercept MDR service и Consulting - крупные предприятия. Компания F-Secure внесла дополнительные улучшения в защиту Linux, использование ресурсов агентами и варианты развертывания в своем облачном решении. Агенты для Windows и Mac теперь имеют дополнительные возможности реагирования, включая автоматизацию, более широкие возможности обнаружения для Mac и Linux, а также улучшенное управление обновлениями. Защита серверов также была усилена, обеспечивая контроль приложений, защиту от несанкционированного доступа и вымогательства в комплексе DataGuard, а также гибкие ежемесячные подписки на основе использования.

В лидеры Magic Quadrant попали SentinelOne, McAfee, Microsoft, Sophos, CrowdStrike.

CrowdStrike

CrowdStrike изобрел платформу Falcon, она включает продукт EDR, с помощью которого выявляются и устраняются современные угрозы. CrowdStrike инвестирует в дополнительные функции, например, благодаря приобретению компаний Preempt Security и Humio для своей платформы, внедрила расширенное управление брандмауэром, а также опции защиты мобильных устройств. CrowdStrike представлена в основном в Северной Америке и регионе EMEA. Продукты подходят для организаций типов A и B, при этом организации типа C.

Sophos

Sophos Central - это единая консоль для EPP, EDR и MTD, обеспечивающая лучшую видимость, более простое управление и повышенное обнаружение угроз на всех типах конечных точек. Она также управляет шифрованием дисков, защитой серверов, межсетевыми экранами и шлюзами электронной почты. Sophos лучше всего подходит для организаций типа A и B, а также для организаций типа C, не имеющих сотрудников службы безопасности. Клиенты в основном находятся в Северной Америке и регионе EMEA. Sophos был одним из первых производителей, предложивших интеграцию инструментов безопасности в стиле XDR. В результате приобретения Rook Security в июне 2019 года компания Sophos предлагает расширенные возможности MDR (Managed Threat Response). Sophos добавила улучшенные возможности поиска угроз, специально ориентированные на крупных корпоративных клиентов. Sophos не участвовала в первой и второй сериях оценок MITRE ATT&CK.

Теперь представим вашему вниманию тройку лучших в сегменте лидеров Magic Quadrant – SentinelOne, McAfee и Microsoft.

SentinelOne

Платформа Singularity компании SentinelOne, ее решение XDR, была запущена в первом полугодии 2020 года. Она добавляет сторонние интеграции к существующим системам EDR и поиска угроз, размещенным на новой облачной платформе и озере данных. Дальнейшее усовершенствование решения XDR стало возможным после недавнего приобретения компании Scalyr. Рынки Северной Америки и EMEA являются основными для SentinelOne, планируется расширение в Индию и на Ближний Восток. В каждом из этих регионов у компании есть варианты, подходящие для всех типов организаций.

Преимущества SentinelOne

• Клиенты SentinelOne отмечают простоту развертывания, отличную своевременность и качество поддержки клиентов, а также эффективную защиту. Все эти факторы получили высокую оценку в этом анализе, что отражено в рейтинге продуктов и услуг компании в " Magic Quadrant" этого года.
• Поскольку решение было перестроено на использование архитектуры микросервисов, это обеспечивает гибкие возможности хостинга для всех клиентов и быстрое/частое обновление функциональности.
• SentinelOne добавил поддержку контейнеров и бессерверных рабочих нагрузок, особенно динамических рабочих нагрузок Kubernetes, с дополнительной защитой во время выполнения и упрощенным развертыванием для них. - компания продемонстрировала высокие результаты в оценках MITRE Phase 2, последовательно выявляя тактики и методы, а также высокую частоту обнаружения при небольшом количестве промахов.

Предостережения:

• несмотря на то, что SentinelOne сосредоточился на интеграции сторонних устройств в консоль Singularity, его собственный набор датчиков не столь обширен, как у других платформ XDR, и у SentinelOne нет собственных источников сетевой безопасности, которые можно было бы добавить, хотя у него есть обнаружение устройств через Ranger.
• Хотя у SentinelOne есть собственное решение Vigilance MDR, сторонние поставщики управляемых услуг (MSP) и расширенная сеть перекупщиков, компания пока не имеет таких высоких оценок, как некоторые лидеры Магического квадранта, по диапазону и охвату своих управляемых услуг.

McAfee

Еще один представитель лидеров в этом Magic Quadrant. McAfee разработала свою новую стратегию MVISION, чтобы связать портфель McAfee в решение XDR. Стандартное предложение McAfee для конечных точек сочетает в себе расширенные возможности защиты, такие как откат вымогательских программ, с возможностями родной ОС. Премиальный пакет MVISION EDR от McAfee теперь включает MVISION Insights, который определяет приоритетность угроз и мер противодействия и направляет ответные действия соответствующим образом. Продукты, представленные в основном в Северной Америке и регионе EMEA, подходят для организаций типа A и типа B, а также для организаций типа C, не имеющих сотрудников службы безопасности.

Преимущества

• McAfee MVISION Insights является приятным дополнением к основному предложению платформы и позволяет пользователям управлять поверхностью атаки и предупреждать атаки до их возникновения. Это обеспечивает дифференцированный набор функций, не встречающийся в других решениях.
• MVISION EDR теперь сопоставляет угрозы с MITRE ATT&CK Framework, что помогло McAfee последовательно выявлять методы в оценках MITRE; кроме того, возможности автоматизированного расследования с помощью искусственного интеллекта используют MITRE ATT&CK Framework для более быстрой и простой сортировки предупреждений.
• MVISION EDR включает в себя широкие возможности по устранению последствий, а также усовершенствованную функцию рабочего процесса SOC. Пользовательский интерфейс прост в использовании, а функции EDR теперь соответствуют ведущим на рынке аналогам.
• McAfee продолжает обеспечивать широкую поддержку ОС, особенно для тех клиентов, которым все еще нужны агенты для старых и устаревших ОС и/или все еще требуется локальное решение или дополнительные функции, такие как контроль приложений. Хорошая оценка за операционную деятельность в 2021 году присуждается за широкий спектр служб поддержки клиентов и учебных центров во всех регионах.

Предостережения:

• Компания McAfee медленно переводит свою традиционную базу пользователей на MVISION. Многие из ее клиентов по-прежнему используют локальные версии McAfee ePolicy Orchestrator (ePO) и McAfee Endpoint Security (ENS).
• Обновление с более старых версий McAfee ePO и McAfee VirusScan Enterprise до McAfee ENS все еще продолжается для некоторых клиентов McAfee. Усилия разработчиков и продажи сосредоточены на облачных решениях, а локальным клиентам следует обновляться как можно скорее.

Microsoft

Microsoft оже относится к лидерам в своём Magic Quadrant. Microsoft Defender for Endpoint (MDE) предоставляет интегрированный и полный набор возможностей EPP, EDR и поиска угроз с единой облачной консоли и озера данных. Встроенные средства защиты и предотвращения, предоставляемые антивирусом Defender в ОС Windows, широко используются и пользуются популярностью у клиентов. Они также используются другими поставщиками в этом Магическом квадранте. В 2020 году Microsoft инвестировала в покрытие своих ОС, представив новые возможности защиты macOS и Linux, а также разработав средства управления угрозами и уязвимостями и уменьшения поверхности атаки. Microsoft также добавила покрытие для устройств Android и iOS. Microsoft привлекает все типы организаций на глобальном уровне, особенно крупные предприятия.

Преимущества:

• В этом году компания Microsoft продолжает получать высокие оценки за понимание рынка и инновации. И Defender for Endpoint, и механизмы защиты, встроенные в Windows 10, развивались в течение года, наряду с добавлением новых возможностей в каждом выпуске Windows для создания целостного набора уровней безопасности.
• Операционные системы macOS и Linux также теперь имеют функции защиты конечных точек и управления угрозами и уязвимостями, полностью интегрированные в одну консоль управления и отчетности.
• Все продукты Defender имеют общую консоль, размещенную в облаке, базовое озеро данных и API, что позволяет унифицировать поиск угроз, отлично автоматизировать и создать настоящую платформу XDR.
• Microsoft унифицировала консоль Defender 365, обеспечив скоординированное предотвращение, автоматическое устранение и поиск угроз для всех продуктов Defender. Среди других новых дополнений - отчеты об анализе угроз и учебный центр, который значительно упрощает поиск обучения по продуктам.

Предостережения

• Microsoft не предоставляет поддержку для устаревших систем Windows, которые достигли конца жизненного цикла поддержки, несмотря на то, что многие организации все еще владеют значительным количеством таких систем. Отсутствие поддержки устаревших систем означает, что баллы за отзывчивость рынка для Microsoft ниже.
• Для организаций, которые поддерживают воздушные сети и/или не подключают напрямую рабочие нагрузки (например, серверы или рабочие станции) к Интернету, решение на базе облака непрактично, поскольку нет возможности разместить консоль на месте.

Заключение

Итак, подведем итоги - в обзоре участвовали основные представители четырех сегментов Magic Quadrant: Лидеры, претенденты, визионеры и нишевые игроки.

Лидеры демонстрируют сбалансированный и последовательный прогресс и усилия во всех категориях исполнения и видения. Все чаще лидеры предлагают целостные платформы XDR, которые позволяют клиентам объединить другие инструменты и принять решение от одного поставщика. У претендентов есть надежные продукты для защиты от вредоносного ПО, а также надежные средства обнаружения и реагирования, которые могут удовлетворить потребности массового рынка в безопасности.

Претенденты часто опаздывают с новыми возможностями, им не хватает некоторых передовых возможностей или отсутствует полностью конвергентная стратегия, что влияет на полноту их видения по сравнению с лидерами.

Визионеры предоставляют передовые функции, которые будут важны в следующем поколении продуктов, и дают покупателям быстрый доступ к улучшенной безопасности и управлению. Визионеры могут влиять на ход развития технологий на рынке, но пока не демонстрируют последовательного исполнения и могут не иметь достаточной доли рынка.

Нишевые игроки предлагают надежные решения для защиты от вредоносных программ и базовые возможности EDR, но редко лидируют на рынке по характеристикам или функциям.