ESET Inspect – primena EDR/XDR rešenja bez doktorske disertacije
Mada EDR (Endpoint Detection and Response) i XDR (eXtended DR) rešenja čak i za hobiste u sajberbezbednosti već neko vreme nisu neka novost, još uvek nisu postala sveprisutna u firmama na način na koji je, na primer, već dugo prisutna klasična endpoint antivirusna zaštita radnih stanica i servera.
To nije posebno čudno, iz više razloga… Ako imate dovoljno godina, znaćete da se, dok ste još bili mladi, ni endpoint AV zaštita nije podrazumevala na svakom računaru (trebalo je vremena i par ozbiljnih incidenata da se prihvati).
Drugi i ozbiljniji razlog je taj što se EDR pozicionira kao alat za vrhunske analitičare i stručnjake za sajberbezbednost, a svi znamo da je ponuda takvih ljudi vrlo oskudna u skoro svim našim firmama. Zašto bismo ga, uostalom, kupili ako nemamo jednog takvog koji bi znao da ga upotrebi, sasvim je legitimno pitanje, bez dileme.
Međutim, ljubopitljiv čovek bi se s pravom zapitao da li smo svi stručnjaci za viruse, crve, trojance, dropere i slične digitalne napasti? Sigurno da nismo. Ali to nas i dalje ne sprečava da srećno i bezbrižno koristimo endpoint AV zaštitu na svakom našem računaru, zar ne? Štaviše, ne znamo do detalja ni kako radi mobilni telefon, Internet, računar i brojni drugi kompleksni uređaji koje svakodnevno koristimo… Pošto ransomware napadi ne pokazuju znake slabljenja, odnoseći i javno i tajno „velike skalpove“ i u našoj zemlji, mogli bismo da iz krajnje praktičnog ugla pogledamo šta dobar XDR alat može da uradi za našu bezbednost.
Raznovrsni napadi
Da krenemo od početka. Dobar i promišljen ransomware napad uvek ima brojne korake koji prethode onome što na kraju svi vide kao rezultat napada – kriptovane fajlove i traženje otkupa uz pretnju kompromitovanja firminih podataka.
ESET Inspect vam, na primer, može reći da je neko ušao u vaše IT dvorište, u kratkom periodu iza toga pod validnim nalogom vaše sekretarice pokrenuo par zanimljivih inače benignih alata koji skeniraju mrežu
U tim koracima, digitalni otmičari često koriste mešavinu tehnika, procedura i alata, od kojih jedan deo čini maliciozne programe (lak obrok za dobru endpoint AV zaštitu) dok drugi deo čine potpuno legitimni alati i postupci koje upotrebljava svaki administrator u svom poslu. Upotrebu tih alata ne detektuje nijedna endpoint AV zaštita (pajser je istovremeno i oružje i alat, zavisno od raspoloženja rukovaoca) i to i otmičari i eksperti za bezbednost odlično znaju.
Ako sretnemo u pola noći u mračnom hodniku našeg stana čoveka sa fantomkom i pajserom u ruci, jako su skromne šanse da je to komšija s trećeg sprata svratio na kafu i rakiju. E, to je oblast u kojoj naš XDR iskazuje svoj puni sjaj i značaj i gde dvoličnost pajsera mnogo lakše izlazi na videlo.
ESET Inspect vam, na primer, može reći da je neko ušao u vaše IT dvorište, u kratkom periodu iza toga pod validnim nalogom vaše sekretarice pokrenuo par zanimljivih inače benignih alata koji skeniraju mrežu, a zatim pokušao da pokrene nekoliko sumnjivih operacija koje po memoriji traže tragove lozinki ljudi sa sistemskim privilegijama u vašoj firmi. Dok vi mirno sedite za računarom u blaženom neznanju, stručnjaku za sajberbezbednost koji bi ovo gledao na ESET Inspect ekranu bi već srce uveliko tuklo kao ludo – neko s fantomkom je u našem hodniku i zamahuje IT štanglom za napad!!!
Inspektor za IT infrastrukturu
Kako je to ESET Inspect znao? Dobar inspektor (kako mu i samo ime kaže), zna odlično kako lopovi i otmičari najčešće ulaze u kuće i stanove. ESET-ovi stručnjaci su napravili više od hiljadu pravila za detekciju sumnjivih ponašanja na računarima i serverima, koja mogu ukazivati na to da postoje nezvani gosti u vašoj mreži. U svakoj fazi napada se koriste određene tehnike, koje same po sebi mogu biti legitimne aktivnosti, ali nekoliko njih u zbiru može i treba da privuče pažnju prilježnog administratora.
Koje su to faze? Inicijalni pristup (ili preko ranjivosti u nekoj aplikaciji, ili preko klasičnog phishing-a, gde više ni dvofaktorska autentifikacija nije potpuno sigurna), istraživanje lokalne mreže, potraga za kredencijalima, eskalacija privilegija, instaliranje alata za stalni daljinski pristup, uklanjanje zaštitnog softvera, kopiranje vaših podataka, kriptovanje fajlova – traženje otkupa… Puno je to posla za loše momke, da malo razuverimo one koji veruju da je otmičarima hleb lak. Za svaku od ovih faza se koristi relativno ograničen skup sličnih tehnika i alata čije prepoznavanje čini suštinu operativnog posla u ESET Inspect-u, pre svega preko definisanih pravila (koje ESET redovno ažurira), a zatim i preko aktivnosti koje Inspect u saradnji sa svojim najboljim endpoint drugom, policajcem po zanimanju, ESET Protect-om, sprovodi s ciljem da što pre izbaci nezvane goste s mreže.
Dobro, da ne kažemo skoro pa odlično… Nego, da li ja moram da znam sva ta pravila? Bilo bi to vredno i korisno znanje za svakog, bez dileme, kao što bi bilo korisno da svako ko voli noćne izlaske zna kung-fu. Ali da se vratimo na početak – pravila je pravio tim ljudi u ESET-u koji mnogo znaju, ESET Inspect treba da vam javi da se nešto potencijalno loše dešava u vašoj mreži, nešto što bez njega teško da biste sami otkrili dok ne bude prekasno.
Kako će mi javiti? Pa onako kako ga podesite… Ili klasičnom e-mail notifikacijom ili za velike ljubitelje MS Teams-a, može poslati i poruku na MS Teams kanal na kom komunicirate s vašim kolegama administratorima na temu vaše bezbednosti u mreži ili na bilo koji servis koji podržava Webhook (npr. Slack, Viber, neki SIEM alati…) Pravdi za volju, treba reći da ESET Inspect neće samo javiti da je nešto našao nego će i preduzeti akciju i neutralisati pretnju ako je to tehnički moguće i definisano pravilima. U ovim situacijama, makijavelistički prvo pucati pa onda proveriti šta je u žbunu može imati prizvuk opravdanog čina, posebno za često prenapetog sistem administratora.
Moćni alati u saradnji
Zvuči gotovo prelako, nešto nam sigurno nisi rekao. Tako je, ali sam planirao da kažem. Jedan od solidnih izazova u XDR svetu su takozvane lažne prijave (false positives), odnosno došao je komšija da nam pozajmi pajser koji smo mu juče tražili ili je kolega administrator, rešavajući problem kod sekretarice na računaru, pod njenim nalogom pokrenuo par admin komandi…
ESET Inspect neće samo javiti da je našao nešto sumnjivo, nego će i preduzeti akciju i neutralisati pretnju ako je to tehnički moguće i definisano postojećim pravilima
Ovaj izazov se ublažava u toku inicijalne postavke, gde Inspect „upoznajete“ s vašom mrežom i aplikacijama, praveći referentnu sliku vašeg okruženja kreiranjem izuzetaka u odnosu na postojeća pravila kako bi kasnije Inspect lakše mogao da uoči anomalije koje zahtevaju vašu pažnju, što je i poenta celog rešenja.
Od velike koristi u ovom procesu vam može biti i ESET LiveGrid, ESET-ov sistem baziran na reputaciji u kome dobrovoljno učestvuju milioni korisnika, koji vam može reći koliko je često neki izvršni fajl prisutan na računarima drugih korisnika na svetu.
Hm… A šta ako zapnem s tim pravilima ili, ne daj Bože, shvatim da je neko nezvan u hodniku firme? Ovo je solidan trenutak da se setite da možda znate nekoga ko zna, i proverite koliko vam zaista vredi ruka podrške partnera i proizvođača u pokušaju da vas izvuče iz hladne, mutne vode, pruži vam neki topli napitak i pokaže put u neke vedrije i sunčanije krajeve…
Autor: Bojan Miljković, CEO, Extreme d.o.o.
