edr
Jeśli mowa o strategii bezpieczeństwa IT, firmy interesuje jedno: jakie środki są wystarczające? Przez długi czas powszechnie uważano, że wystarczy strategia pasywna, czyli ochrona obwodu sieci i stacji roboczych. Jednak firmy coraz częściej padają ofiarą ataków zaawansowanych i ukierunkowanych, wobec czego ochrona wymaga zastosowania nowych metod, takich jak EDR (Endpoint Detection and Response), czyli wykrywanie i reagowanie na punktach końcowych.
Dlaczego strategia pasywna nie wystarczy
Podejście pasywne sprawdza się w przypadku zagrożeń masowych, takich jak e-maile zawierające trojany, phishing, dobrze znane luki itd. Innymi słowy, podejście takie jest skuteczne, gdy atakujący rzucają szeroką sieć z nadzieją, że złapią w nią jak najwięcej osób. Ich działanie nie jest legalne, ale sprowadza się do powszechnej praktyki biznesowej polegającej na poszukiwaniu równowagi — w tym przypadku pomiędzy atakiem, stopniem złożoności (czyli kosztem) a oczekiwanym zyskiem.
Jeśli Twoja firma staje się interesującym celem (a im większa firma, tym większe prawdopodobieństwo, że przyciągnie uwagę), intruzi mogą szukać w niej określonych danych. Osoby atakujące firmę mogą być zainteresowane wieloma różnymi aspektami, takimi jak transakcje finansowe, tajemnice handlowe czy dane klientów. Ich celem może być także zwyczajnie sabotaż lub pomoc konkurencji. Dla innych opłacalne jest atakowanie podmiotów działających w tej właśnie branży.
W takiej sytuacji atakujący zaczynają inwestować w złożoność i ataki ukierunkowane. Sprawdzają, jakiego oprogramowania używa firma, szukają nieznanych jeszcze luk i przygotowują unikatowe exploity. Próbują przedostać się do firmy poprzez jej partnerów i dostawców, a także proponują łapówki byłym pracownikom. Mogą odszukać niezadowolonych pracowników i spróbować zorganizować atak od środka. W tym ostatnim przypadku przestępcy mogą działać bez użycia szkodliwego oprogramowania, polegając wyłącznie na legalnych narzędziach, których tradycyjny produkt zabezpieczający nie uzna za zagrożenie.
Dlaczego opóźnienia są takie niebezpieczne
Systemy pasywne mogą wykryć atak ukierunkowany lub powiązaną z nim aktywność, jednak na tym ich rola się kończy — wówczas nie można określić, co tak naprawdę się wydarzyło, które informacje wyciekły w ramach incydentu, jak go zatrzymać oraz jak sprawić, aby nie wydarzył się on ponownie.
Jeśli firma używa jedynie tradycyjnych narzędzi do zabezpieczania punktów końcowych, pracownicy działu odpowiedzialnego za ochronę nie zawsze będą gotowi zareagować na atak na czas. Oczekując na wystąpienie cyberincydentu, mają oni związane ręce. Co więcej, mogą oni przegapić najważniejszy incydent wśród setek mniejszych incydentów.
Z kolei analitycy zwykle uzyskują te dane jeszcze później. Tylko po dokładnej analizie, która zwykle obejmuje żmudną pracę ręczną, incydent może zostać zgłoszony ekspertom w celu podjęcia właściwej reakcji i rozpoczęcia procesu przywracania. W wielu przypadkach nawet w dużych firmach, posiadających rozbudowane centra reagowania, wszystkie trzy role — specjalisty ds. bezpieczeństwa, analityka i eksperta ds. reagowania — pełni jedna osoba.
Według naszych statystyk w przypadku dużych firm czas, jaki mija od momentu przedostania się złożonego zagrożenia do systemu do chwili jego wykrycia, wynosi średnio 214 dni. W najlepszej sytuacji specjaliści ds. bezpieczeństwa IT identyfikują ślady ataku w ostatnim etapie łańcucha ataku, jednak częściej pozostaje im tylko obliczanie strat i przywracanie systemów po fakcie.
Jak zminimalizować ryzyko i zoptymalizować bezpieczeństwo IT
Do ochrony własności intelektualnej, reputacji i innych kluczowych aktywów firmy należy zastosować nowe podejście adaptacyjne. Strategia ochrony obwodu sieci i stacji roboczych musi być odpowiednio dostosowana i wzmocniona poprzez użycie aktywnych narzędzi wyszukiwania, ujednoliconą analizę i reakcję na zagrożenia.
Strategia „True Cybersecurity” obejmuje wykorzystanie koncepcji aktywnego wyszukiwania, znanej jako polowanie na zagrożenia. Jest to stosunkowo trudne zadanie, które mogą ułatwić wyspecjalizowane narzędzia. Jednym z takich narzędzi jest EDR zorientowane na wykrywanie i reakcję na punktach końcowych. Umożliwia ono personelowi IT szybkie identyfikowanie zagrożeń na stacjach roboczych przy użyciu ujednoliconego interfejsu, a następnie automatyczne gromadzenie informacji i neutralizowanie ataku. Systemy EDR używają informacji o zagrożeniach, które wiele firm pobiera z różnych źródeł, aby kontrolować procesy zachodzące w obrębie sieci firmowej.
Teoretycznie polowanie na zagrożenia można przeprowadzić również bez narzędzia EDR — ręcznie, lecz jest ono wtedy znacznie droższe i mniej efektywne. Co więcej, może negatywnie wpłynąć na procesy firmy w takim stopniu, w jakim analityk ingerujący bezpośrednio w działanie wielu stacji roboczych.
Zasadniczo EDR daje ekspertom z centrum operacji bezpieczeństwa możliwość szybkiego zgromadzenia wszystkich niezbędnych informacji, przeanalizowanie ich (ręczne i automatyczne), podjęcie decyzji, a następnie zdalne usunięcie dowolnego pliku lub szkodliwego programu przy użyciu ujednoliconego interfejsu sterowania, umieszczenie dowolnego obiektu w kwarantannie i uruchomienie wszystkich procesów wymaganych do przywrócenia — a wszystko bez udziału użytkownika, gdyż nie wymaga to fizycznego dostępu do komputera czy wstrzymania działania firmy.
Pracowaliśmy nad takimi rozwiązaniami już od jakiegoś czasu; teraz uruchomiliśmy pilotażową wersję naszego własnego produktu EDR. Zachęcamy do dołączenia naszego programu pilotażowego EDR oraz uzyskania pozostałych informacji o produkcie.
Porady