Większość rozwiązań ochronnych dla małych i średnich firm potrafi tylko blokować szkodliwym programom możliwość uruchamiania się na stacjach roboczych i serwerach — i przez wiele lat było to wystarczające. Dopóki organizacja mogła wykrywać cyberzagrożenia na urządzeniach końcowych, mogła powstrzymać rozprzestrzenianie się infekcji w sieci i dzięki temu chronić infrastrukturę firmy.
Czasy się jednak zmieniły. Dziś typowy atak nie jest pojedynczym incydentem na komputerze pracownika, lecz skomplikowaną operacją wpływającą na znaczną część infrastruktury. Z tego względu minimalizowanie szkód współczesnego cyberataku wymaga nie tylko zablokowania szkodliwego programu, ale także szybkiego zrozumienia, co się stało, jak do tego doszło i gdzie może się wydarzyć ponownie.
Co się zmieniło
Współczesne cyberprzestępstwa ewoluowały tak, że nawet mała firma może paść ofiarą wielofunkcyjnego ataku ukierunkowanego. W pewnej mierze wynika to z coraz większej dostępności narzędzi potrzebnych do przeprowadzenia skomplikowanego i wieloetapowego ataku. Ponadto przestępcy zawsze próbują jak najbardziej zwiększyć stosunek zysku do nakładu pracy, a operatorzy programów ransomware naprawdę się pod tym względem wyróżniają. Pojawiły się też prawdziwe badania i długie przygotowania do operacji ransomware. Czasami operatorzy czyhają w sieci docelowej tygodniami, eksplorując infrastrukturę i kradnąc ważne dane, zanim uderzą, zaszyfrują dane i zażądają okupu.
Mała firma może też służyć jako cel pośredni w ataku na łańcuch dostaw — atakujący czasami korzystają z infrastruktury wykonawcy, dostawcy usług online lub małego partnera, aby zaatakować większą organizację. W takich przypadkach mogą nawet wykorzystać luki w dnia zerowego, co zwykle jest kosztowne.
Zrozumienie tego, co się stało
Przerwanie złożonego, wielopoziomowego ataku wymaga szczegółowej wiedzy, w jaki sposób atakujący przeniknęli do infrastruktury, ile czasu w niej spędzili, do których danych mogli uzyskać dostęp i tak dalej. Samo usunięcie złośliwego oprogramowania byłoby jak leczenie objawów choroby bez zajęcia się jej przyczynami.
W korporacjach takie dochodzenia przeprowadza centrum operacji bezpieczeństwa lub firma zewnętrzna. Duże firmy wykorzystują do tego rozwiązania klasy EDR. Ograniczony budżet i personel zwykle sprawiają, że opcje te są poza zasięgiem małej firmy. Jednak one również potrzebują specjalistycznych narzędzi, które pomogą szybko zareagować na złożone zagrożenia.
Kaspersky Endpoint Security Cloud z funkcją EDR
Konfigurowanie naszego rozwiązania SMB z funkcją EDR nie wymaga eksperta w dziedzinie bezpieczeństwa — zaktualizowany Kaspersky Endpoint Security Cloud Plus zapewnia lepszą widoczność infrastruktury. Administrator może szybko zidentyfikować ścieżki rozprzestrzeniania się zagrożenia, wyświetlić szczegółowe informacje na temat komputerów, które ucierpiały, szybko wyświetlić szczegóły dotyczące szkodliwych plików i sprawdzić, gdzie jeszcze pliki te są obecnie używane. Pomaga to administratorom w sprawnym wykryciu wszystkich punktów aktywnych zagrożeń, zablokowaniu uruchamiania niebezpiecznych plików i odizolowaniu komputerów, których dotyczy problem, minimalizując w ten sposób potencjalne szkody.
Firma Kaspersky właśnie udostępniła funkcjonalność EDR na 2021 rok użytkownikom Kaspersky Endpoint Security Cloud Plus w trybie testowym. Aby dowiedzieć się więcej i zamówić wersję próbną, przejdź tutaj.