Šta je EDR i zašto je važan za sajberbezbednost?
Potreba sajberbezbednosti je rastuća na gotovo dnevnom nivou. Da bismo razumeli potrebu za detekcijom i odzivom krajnjih tačaka (EDR), započnimo s raspravom o okruženju sajberbezbednosti.
Da biste dobili osećaj razmera, reći ćemo da naši stručnjaci za sajberbezbednost u Sophos Labs svaki dan procesuiraju 500.000 nikada viđenih uzoraka zlonamernog softvera. Nacionalni institut za standarde i tehnologiju (NIST) objavio je prošle godine da je otkrivena 16.451 ranjivost softvera. Izazov za odbranu stalno raste, što vodi ka želji za boljom vidljivošću i mogućnostima otkrivanja.
Organizacije se svakodnevno suočavaju s višestrukim pretnjama koje pokušavaju da prodru u njihovo poslovno okruženje. Naravno, mnoge od njih zaustavljene su u potpunosti jakom cyber bezbednošću. Ali oni neuobičajeni ili nejasni mogu proći kroz odbranu, a to je mesto na kojem EDR ulazi u igru. EDR je nastao iz potrebe za dopunom postojećih alata za zaštitu krajnjih tačaka.
Da biste ovo lakše razumeli, uzmimo vizuelni primer:
1 Dobroćudan
Reč je o zlonamernim programima koji su deo svakodnevnog života ogromne većine organizacija, kao na primer Microsoft Word, Outlook ili Google Chrome. Ne želimo da se mešamo u njih, jer bi to moglo izazvati probleme širih razmera u preduzeću.
2 Siva oblast ili ‘jaz’
Ovo područje odnosi se na predmete za koje na prvi pogled ne možemo da utvrdimo da li su dobri ili loši, pa ne znamo da li je u redu ostaviti ih ili ih treba blokirati bez daljeg, ručnog ispitivanja.
EDR je razvijen kako bi istražio jaz. Jesu li te stavke zapravo zlonamerne, zahtevaju li akcije poput izolacije pogođenih uređaja ili obavljanja čišćenja? Radi li se o potencijalno neželjenim aplikacijama (PUA) ili je to nešto dobroćudno što se slobodno može zanemariti?
Kako se pretnje razvijaju, mnoge postaju nevidljive, koristeći posebne metode za zavaravanje antivirusnih rešenja. EDR daje organizacijama alate za lov na sumnjive pokazatelje kompromitovanja (IOC) i otkrivanje ovih skrivenih pretnji.
3 Zlonamerni
Zlonamerne datoteke moraju odmah biti zaustavljene jakom zaštitom na krajnjoj tački i odbranom servera. One su ocenjene kao zlonamerne i ne zahtevaju ljudsku interakciju. Nažalost, neki tradicionalni alati za EDR ovde padaju, propuštajući zlonamerni softver koji je morao biti uhvaćen. To se dešava zato što je njihova snaga u dokumentovanju nakon događaja, a ne u preventivnoj zaštiti.
Šta tražiti u EDR rešenju
EDR alati mogu dosta da se razlikuju u pogledu kompleksnosti korišćenja i preciznosti analize. Ključna pitanja koja treba postaviti prilikom procene EDR rešenja su:
- Da li su vam potrebna dodatna sredstva ili možete dobiti vrednost sa svojim trenutnim timom?
- Da li vam pomaže da prioritizujete svoje vreme pokazujući vam najsumnjivije predmete?
- Da li možete videti kako je potencijalna pretnja došla i čega se dotakla?
- Da li dobijate podatke o sumnjivim stavkama, poput mašinskog učenja ili stručnjaka za cyber bezbednost?
- Je li lako preduzeti akciju kada jednom donesete odluku? Na primer, blokiranje pretnje ili izolacija uređaja?
Autor: Nebojša Stankić