edr

Gotowa ochrona w postaci usługi

Ochrona jako usługa to przyszłość bezpieczeństwa informacji.

Alexander Erofeev
22/05/2020

Od jakiegoś czasu pracujemy w modelu oprogramowania jako usługi (ang. Software-as-a-Service, SaaS) i coraz bardziej angażujemy się w podobne schematy dostarczania całych infrastruktur (IaaS) i platform (PaaS). Uważamy, że to dobry kierunek dla organizacji na całym świecie; dzięki gotowym rozwiązaniom firmy mogą skupić się na swoich głównych zadaniach. Jednak czy można dać dużym przedsiębiorstwom w pełni zintegrowaną ochronę w modelu Security-as-a-Service?

Jak my postrzegamy gotową ochronę

Aby odpowiedzieć na to pytanie, najpierw należy wyjaśnić, co według nas oznacza w pełni zintegrowana ochrona. Jeśli mówimy o korporacjach, oznacza to ochronę infrastruktury na wszystkich etapach reagowania na ochronę:

Na etapie ochrony przed incydentami — używanie rozwiązań dla punktów końcowych na punktach końcowych.
Na etapie wykrywania zagrożeń — monitorowanie i analizowanie danych, które przepływają z rozwiązania po stronie klienta do centrum operacji bezpieczeństwa (SOC).
Na etapie polowania na zagrożenia ochrona obejmuje sprawdzanie hipotez dotyczących nowych zagrożeń i przeprowadzanie skanowania retrospektywnego danych historycznych dla nowych oznak włamania i wskaźników ataku (IoCs/IoAs).
Na etapie oceny zagrożenia zespół SOC określa, czy konkretne podejrzane wydarzenie stanowi prawdziwe zagrożenie, czy jest legalnym działaniem (fałszywy alarm).
Na etapie reakcji na incydent — tworzymy ponownie łańcuch ataku i zapewniamy zalecenia leczenia.

Rozwiązania klasy Endpoint Protection Platform and Endpoint Detection and Response (EDR) są odpowiedzialne za pierwszy etap w trybie automatycznym. Na kolejnych etapach konieczny jest udział ekspertów SOC. Jednak nie każda firma może pozwolić sobie na zatrudnienie osób tworzących zespół SOC.

Firmy, w których nie ma zespołu SOC

Zorganizowanie zespołu SOC działającego wewnątrz organizacji nie jest warunkiem koniecznym do zapewnienia kompleksowej ochrony. W rzeczywistości większość dużych firm go nie ma — działa on w zaledwie 20% firm, jeśli porównamy ogólną liczbę opinii dla platform typu Endpoint Protection z liczbą opinii dla rozwiązań klasy EDR (które zakładają dostępność zespołu SOC) opublikowanych na platformie Gartner Peer Insights.

Jak sobie radzi pozostałe 80%? Rozsądną opcją dla większości firm jest oddelegowanie funkcji bezpieczeństwa. Wyszukiwanie zagrożeń, ocena i potwierdzanie ich, a następnie reagowanie na incydenty może przeprowadzać dostawca zarządzanych usług bezpieczeństwa (MSSP) lub dostawca rozwiązań zabezpieczających, który przejmie część funkcji MSSP (nasz przypadek).

W tym podejściu klienci otrzymują zestaw rozwiązań oferujących znacznie szerszą funkcjonalność niż zwykłe rozwiązanie EDR. Obejmuje ona zarówno wykrywanie zagrożeń poprzez analizowanie anomalii w ruchu sieciowym (Network Detection and Response, NDR), jak i możliwość interpretowania informacji o incydencie przez ekspertów (Managed Detection and Response, MDR). Nasz zespół SOC jest unikatowy: eksperci mają szybki dostęp do informacji o incydentach i nowych zagrożeniach na całym świecie, na podstawie których mogą podjąć stosowne działania na rzecz klientów. I chociaż wykrywanie zagrożeń oraz proces reagowania (EDR + NDR = XDR) są już dość dobrze zautomatyzowane, nieustannie ulepszamy i rozwijamy ten obszar naszej działalności.

Metodologia ATT&CK Evaluation potwierdziła już skuteczność naszego podejścia. Ze względu na szczególną naturę tego podejścia edycja MITRE ATT&CK Evaluation Round 2 była skupiona wyłącznie na możliwościach wykrywania naszych rozwiązań. Wobec tego reagowanie na incydenty, zapobieganie im i polowanie na zagrożenia — w których nasi eksperci SOC mają unikatowe umiejętności — zostały celowo z niej wykluczone.

Nasze rozwiązanie EDR również wykazało się niezawodnym działaniem i okazało się odpowiednie zarówno dla wewnętrznych, jak i wynajmowanych zespołów SOC. Według wspomnianego wyżej portalu Gartner Peer Insights nasze rozwiązanie Kaspersky Anti Targeted Attack trafiło do grupy Top 3 i otrzymało wyróżnienie Wybór klientów dla rozwiązań typu Endpoint Detection and Response. Bardzo dziękujemy wszystkim naszym klientom, którzy poświęcili swój czas na napisanie swojej opinii.

Ogólny ranking rozwiązań EDR według Gartner Peer Insights. Źródło: Gartner

Podsumowując, wierzę, że przyszłość bezpieczeństwa informacji bez wątpienia należy do modelu Security-as-a-Service, ale z możliwością wybrania przez klienta stopnia automatyzacji konkretnego zestawu narzędzi i aktualizacji gotowego rozwiązania o dodatkowe funkcje.

Oceny społeczne — uważaj, co publikujesz w internecie

Nie udostępniaj wszystkiego w internecie, bo może to niespodziewanie zaszkodzić Ci w najmniej oczekiwany sposób.

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Gotowa ochrona w postaci usługi

Jak my postrzegamy gotową ochronę

Firmy, w których nie ma zespołu SOC

Jaka jest najskuteczniejsza strategia reakcji na incydent?

Jaka strategia bezpieczeństwa firmy jest wystarczająca?

Oceny społeczne — uważaj, co publikujesz w internecie

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog