Trend EDR rešenja: Proaktivna zaštita krajnjih tačaka
Kako IT menadžeri štite korporativne mreže od targetiranih napada? Tokom prethodnih godina oblast sajber bezbednosti prošla je kroz dramatične promene, koje su posledica novih prethodno nepoznatih pretnji, file-less napada, ransomvera i kripto-rudara. Targetirani napadi na kompanije se konstantno razvijaju i postaju sve veća pretnja.
Osim toga, napadači koriste činjenicu da mnoge kompanije više ne mogu da izađu na kraj sa složenošču sopstvenog IT okruženja. Svako ko nije u toku sa trenutnom situacijom ne može momentalno da analizira i blokira napade, kao ni da eliminiše posledičnu štetu.
Osnovno pravilo je da ne postoji previše mala meta za sajber kriminalce. Za mala i srednja preduzeća izazov je to što često ne znaju kojim su sve pretnjama izloženi, dok su njihovi resursi i ekspertiza u oblasti sajber odbrane istovremeno često jako ograničeni, što otežava izlaženje na kraj sa složenim pretnjama.
Jednostavna endpoint zaštita više nije dovoljna
Uopšteno gledano, bezbednosni softver koji se koristi mora da pruži sveobuhvatnu zaštitu (za sve krajnje tačke i servere, bilo da se radi o Windows, Mac, Android ili Linux operativnom sistemu), ali takođe mora biti intuitivan za korićenje. Sajber kriminalci su uspeli da sistematično modifikuju heš funkcije i da šifriraju nizove znakova sve od kad su autori malvera uspeli lako da zaobilaze otkrivanje na osnovu potpisa i binarne skenere. Osim toga, oni sve više koriste specijalan malver zasnovan na memoriji koji ne ostavlja tragove na hard disku i aktivan je samo na memoriji.
Takve napade, stoga, tradicionalna bezbednosna rešenja generalno ne primećuju. Zato više nije dovoljno blokirati “samo” pretnje po krajnju tačku – ako je ovo uopšte moguće. Preduzećima su danas potrebni alati koji im omogućuju detekciju i odgovor na najnovije i najsofisticiranije pretnje.
EDR rešenje kao neophodan dodatak za proaktivnu zaštitu
Endpoint Detection and Response (EDR) rešenje predstavlja sajber-bezbednosnu tehnologiju koja adresira potrebu za nadgledanjem u realnom vremenu i fokusira se na analizu krajnje tačke i odgovaranje na incident. EDR rešenje pruža sveobuhvatnu vidljivost aktivnosti za svaku krajnju tačku u infrastrukturi kojom se upravlja sa jedne centralne konzole, u kombinaciji sa vrednim bezbednosnim fidovima koje IT bezbednosni profesionalci mogu da koriste za dodatno istraživanje i odgovor na incidente.
EDR rešenje je dizajnirano da proaktivno detektuje nove i nepoznate pretnje i prethodno neidentifikovane infekcije koje se u organizacije infiltriraju direktno putem krajnjih tačaka i servera. Ovo je postignuto kroz analizu prethodno nepriznatih događaja koji ne mogu biti klasifikovani kao “poverljivi” ili “definitivno maliciozni”.
Osim toga, više od četvrtine (28%) kompanija koje su implementirale Endpoint Detection and Response (EDR) rešenje mogle su da detektuju sajber napade u roku od samo nekoliko sati ili čak gotovo momentalno nakon što je došlo do incidenta.
EDR rešnje može biti korišćeno za detektovanje nepoznatih malvera u APT i napadima nultog dana, korišćenjem različitih naprednih tehnologija za detektovanje kao što su YARA, sandboxing, IoC (indikacija kompromitovanja) skeniranje, ili retrospektivna analiza sa korelacijom događaja zasnovana na dinamičnom mašinskom učenju.
Endpoint rešenje i EDR moraju da funkcionišu zajedno kako bi omogućili pouzdanu i efikasnu zaštitu od sofisticiranih pretnji. Na primer, EDR rešenje će proslediti bilo koji sumnjiv fajl koji je identifikovan i koji ne može definitivno biti klasifikovan kao maliciozan, i zatim ga podeliti sa sandbox rešenjem. Ovaj dodatni bezbednosni alat onda automatski pokreće sumnjivi fajl u izolovanom okruženju i analizira ga u potrazi za potencijalnim pretnjama. Na ovakav način se određuje da li postoje znakovi mogućeg upada od strane neautorizovanih osoba ili aktivnosti za koje zaposleni ili partneri nisu ovlašćeni. Potpisi, pravila i restrikcije su nekada bili dovoljni za borbu sa ovakvim napadima. Međutim, takve mere često više nisu dovoljne, posebno u vremenu targetiranih i višeslojnih napada.
Integrisana endpoint zaštita koju pruža kompanija Kaspersky
Kaspersky Endpoint Security for Business rešenje kombinuje endpoint zaštitu sa EDR i sandbox rešenjima. Ovaj 3-u-1 pristup IT odeljenjima i administratorima daje mogućnost da zaštite svoje sve heterogenije mreže od trenutnih i nadolazećih pretnji. Integracija omogućuje automatsko pokretanje sumnjivog fajla i njegovu analizu u izolovanom okruženju. Informacija koja se na ovaj način dobija može biti dodatno obogaćena analizom Kaspersky EDR Optimum rešenja. Kaspersky EDR Optimum rešenje nudi različite opcije odgovora kako bi se eliminisale petnje, kao što je izolovanje krajnje tačke sa potencijalnim malverom ili izolovanje sumnjivog fajla.
Kako bi obezbedili da ne dođe do širenja pretnje na ostale računare, stručnjaci za bezbednost mogu brzo i lako da kreiraju indikatore kompromitovanja (IoCs) koji ukazuju na povredu sistema bez potrebe za zakazivanjem automatskog pregledanja krajnjih tačaka u potrazi za malicioznim objektom. Osim toga, IoC tehnologije trećih strana mogu biti otpremljene, i može biti izvršeno skeniranje kako bi se identifikovale pogođene krajnje tačke.
Outlook: Upravljanje detekcijom i odgovorom na incidente
U budućnosti, prihvatanje u oblasti EDR zaštite će u velikoj meri zavisiti od dobavljača i njihove mogućnosti da automatizuju analizu, uvide i odgovor, i da ih sprovedu bez ljudske intervencije. EDR rešenje predstavlja značajnu mogućnost, naročito za preduzeća srednje veličine. S obzirom na to da su ovim preduzećima nedostaje dovoljno stručnog kadra i stoga ne mogu da pokriju sve faktore sajber bezbednosti sa stručnjacima unutar preduzeća, EDR rešenja kao upravljačka bezbednosna usluga (MDR = managed detection & response) pružaju rešenje.
Bezbednost krajnje tačke se prenosi na dobavljače usluge sa fokusom na bezbednost, što unutrašnjem IT sektoru omogućuje da svoje resurse fokusira na osnovne kompetencije bez ugrožavanja korporativne bezbednosti. Naravno, ovo takođe unapređuje sajber-bezbednosni položaj kompanije. Što je bolja zaštita, to je stručnjacima dostupno više vremena i resursa za bavljenje izazovnim zadacima.
