84% крупных кибератак уже обходятся без «громкого» вредоноса и опираются на living-off-the-land-техники, то есть на легитимные инструменты внутри самой инфраструктуры. На этом фоне киберустойчивость EDR перестает быть вопросом покупки очередного агента на endpoint: для IT-команд это уже вопрос того, кто успеет отреагировать раньше атакующего, а не кто соберет больше телеметрии.
Об этом пишет The Hacker News в материале о том, как компании пересобирают свою endpoint-защиту в более жизнеспособную операционную модель. Главная мысль там довольно неприятная, но знакомая любому руководителю ИБ или IT-директору: наличие EDR еще не означает, что организация умеет быстро расследовать инциденты, отсеивать шум и сдерживать атаку до того, как она дошла до повышения привилегий, lateral movement и закрепления в системе.
Сама по себе логика бурного роста EDR за последние годы понятна. Классическая endpoint protection давно не закрывает весь спектр угроз: современные атаки двигаются быстрее, лучше обходят превентивные механизмы и все чаще маскируются под обычную административную активность. Поэтому компании и инвестировали в инструменты, которые дают постоянную видимость происходящего на хостах, показывают подозрительное поведение и помогают реагировать уже по ходу атаки. Проблема в том, что после покупки платформы начинается не магия, а рутина: мониторинг, триаж, расследования, приоритизация, containment. И вот здесь у средних компаний с компактными командами обычно заканчивается кислород.
В источнике перечислены довольно прозаические причины, почему EDR часто не доходит до полноценной эксплуатации: слишком много алертов, не хватает времени на непрерывный мониторинг, есть дефицит навыков в threat hunting и продвинутом response, а реактивный режим работы банально выжигает команду. В итоге у бизнеса вроде бы есть видимость по инцидентам, но нет стабильной зрелости реагирования. Для русскоязычной аудитории это особенно узнаваемый сценарий: бюджет на «коробку» еще можно согласовать, а вот бюджет на круглосуточный SOC, отдельную hunting-функцию и людей, которые не уволятся через полгода от alert fatigue, уже совсем другая история.
Давление на команды усиливает и новый слой угроз, связанный с ИИ. По данным 2025 Cybersecurity Assessment Report, 67% организаций сообщили о росте числа AI-powered атак. Это не обязательно означает появление какого-то фантастического автономного «суперхакера», но означает рост скорости, вариативности и масштаба атакующих сценариев. Если небольшая команда открывает алерт через час, а не через пять минут, злоумышленник за это время может пройти несколько критических стадий атаки. При таком темпе сама идея «сначала все увидим, потом спокойно разберемся» начинает выглядеть как роскошь, а не как рабочий процесс.
Особенно неприятно, что атакующие все реже полагаются на шумные и легко детектируемые техники. В материале приводится исследование Bitdefender, основанное на анализе более 700 тысяч инцидентов: 84% серьезных атак используют LOTL-подход. На практике это означает злоупотребление штатными административными средствами, украденными учетными данными и доверенными процессами. Для EDR это сложный режим, потому что система видит не только злоумышленника, но и обычную жизнь инфраструктуры, а граница между ними проходит не по имени файла, а по контексту. Если команда не может быстро и последовательно разбирать такие кейсы, телеметрия превращается в красивую диаграмму, а не в защиту.
Что предлагают вендоры вместо простого наращивания алертов
На этом фоне Bitdefender продвигает модель, в которой EDR дополняется двумя слоями: динамическим харденингом GravityZone PHASR и сервисом Managed Detection and Response. PHASR, как описывает источник, пытается уменьшить число эксплуатируемых условий еще до атаки: с помощью ИИ он адаптирует ограничения под поведение пользователя и сокращает рискованные действия, лишние привилегии и возможности злоупотребления легитимными инструментами без жестких статических запретов. MDR, в свою очередь, закрывает ту часть операционной нагрузки, которую внутренние команды часто не тянут: круглосуточный мониторинг, threat hunting, расследование и быстрое реагирование силами внешних специалистов.
Если отбросить маркетинговую упаковку, идея здесь здравая: киберустойчивость EDR строится не на том, чтобы поставить еще один экран с графиками, а на сочетании трех вещей. Первая: уменьшить поверхность атаки и число сценариев, которыми злоумышленник вообще может воспользоваться. Вторая: сохранить качественную видимость по endpoint-событиям. Третья: обеспечить непрерывную операционную способность реагировать, когда у штатной команды вечер, отпуск или просто двадцатый алерт подряд про одно и то же. Для бизнеса это важнее, чем гонка функций в продуктовых брошюрах, потому что атаки выигрываются или проигрываются в операционном цикле, а не в списке лицензированных модулей.
В материале отдельно подчеркивается, что компании, которые надстраивают EDR проактивным харденингом и MDR, получают не только более сильную защиту, но и вполне прикладные эффекты. Среди них снижение риска от техник, используемых в большинстве тяжелых атак, более быстрое обнаружение и сдерживание инцидентов, меньшая нагрузка на компактные команды, лучший возврат на уже сделанные инвестиции в EDR и более убедительная демонстрация зрелости ИБ для клиентов, партнеров, страховщиков и регуляторов. Последний пункт может показаться скучным, пока не приходит анкета на аудит или вопрос от крупного заказчика о том, кто именно и в каком режиме у вас закрывает incident response.
Что это значит для IT-рынка
Для разработчиков, продактов и IT-руководителей из этой истории следует неприятный, но полезный вывод: эпоха, когда endpoint security можно было считать решенной после внедрения инструмента, закончилась. Если у компании уже есть EDR, следующий вопрос должен звучать не «что еще купить», а «кто и как будет превращать сигналы в действие». Если ответа нет, значит организация купила наблюдаемость, но не киберустойчивость. А дальше рынок, похоже, будет делиться не на тех, у кого есть EDR, а на тех, кто умеет на его основе строить устойчивые процессы без перерасхода людей и нервов. И это уже не чисто ИБ-спор: это вопрос операционной зрелости бизнеса.