Miroslav-Koren-Kaspersky-Kabtel-Edr
Cybersecurity Interviews Solutions

Тренд на EDR решенија: Проактивна заштита на крајните точки

Автор: Мирослав Корен, генерален менаџер на Kaspersky за Источна Европа

Како ИТ менаџерите ги заштитуваат корпоративните мрежи од таргетирани напади?

Пaлетата на сајбер-закани помина низ драматични промени изминатите години, како резултат на претходно непознати закани, file-less напади, ransomware и крипто-рудари. Tаргетираните напади врз компаниите постојано се развиваат и стануваат сè поголема опасност. Освен тоа, напаѓачите го користат фактот дека многу компании не се способни да се справат со сложеноста на сопствената ИТ средина. Секој што ќе изгуби увид во ситуацијата, не може веднаш да ги анализира и да ги блокира нападите, како ни да ја елиминира штетата која може да настане.

Основното правило е дека ниедна компанија не е премногу мала за да биде нападната од сајбер криминалци. Малите и средните компании честопати не знаат на какви сè закани се изложени, додека истовремено нивните ресурси и експертизата за сајбер-одбрана често се доста ограничени, па тешко се справуваат со сложените закани.

Endpoint заштитата едноставно не е доволна

Општо земено, софтверот за безбедност кој се користи, мора да обезбеди сеопфатна заштита (за сите крајни корисници и сервери, било да е тоа Windows, Mac, Android или Linux), но мора да биде и интуитивен за користење. Сајбер криминалците се во можност системски да модифицираат хеш функции и да енкриптираат низи од знаци, откако креаторите на malware успеаја лесно да го заобиколат откривањето базирано на потпис и бинарни скенери. Освен тоа, се повеќе користат malware, кој не остава траги на хард дисковите и е активен само во меморијата. Таквите напади ќе останат неоткриени од традиционалните безбедносни решенија. Затоа не е доволно само да се блокираат заканите врз крајните корисници, туку денешните бизнис алатки овозможуваат детекција и одговор на најновите и најсофистицирани закани.

EDR е потребен додаток за проактивна заштита

Endpoint Detection and Response (EDR) е технологија за сајбер безбедност, која ја задоволува потребата за мониторинг во реално време и се фокусира на анализа и одговор на крајните точки. EDR овозможува целосна видливост на активноста кај секој краен корисник во инфраструктурата, која се менаџира од единствена централна конзола, во комбинација со квалитетни сигурносни фидови, кои ИТ експертите можат да ги користат за подлабински истражувања и за одговор на инцидентите. EDR е дизајниран проактивно да детектира нови и непознати закани и претходно идентификувани инфекции, кои се инфилтрираат во организациите директно преку крајните точки и серверите. Тоа се постигнува преку анализа на претходно неоткриени настани, кои не може да се класифицираат како “доверливи” или “дефинитивно злонамерни”.

Освен тоа, повеќе од една четвртина (28%) од компаниите кои имплементирале Endpoint Detection and Response (EDR) решение, можат да ги детектираат сајбер нападите за само неколку часа или речиси веднаш после некој инцидент.

EDR може да се користи за детектирање непознати zero-day малвери и APT напади, со користење на разни технологии за детекција како YARA, sandboxing, IoC  (индикација за комромитираност), скенирање или ретроспективна анализа во корелација со настаните, базирани на динамично машинско учење.

Endpoint решението и EDR мора да работат заедно, за да се осигура доверлива и ефективна заштита од софистицираните закани. На пример, решението EDR ќе препрати некој сомнителен документ кој е идентификуван и кој дефинитивно не може да се класифицира како малициозен и потоа го споделува со Sandbox. Оваа дополнителна алатка за беабедност потоа автоматски го активира сомнителниот документ во изолирана средина и го анализира дали е потенцијална закана. Така може да се утврди дали има некакви знаци на можен упад од страна на неовластени лица или неовластени активности од страна на вработените или партнерите. Потписите, правилата и рестрикциите порано биле доволни за спречување на таквите напади. Сепак, таквите мерки често повеќе не се доволни во оваа доба на таргетирани напади и напади на повеќе нивоа.

Интегрирана Endpoint заштита на Kaspersky

Kaspersky Endpoint Security for Business [2] е комбинација на заштита на крајни точки со EDR и Sandbox. Овој пристап 3-во-1 им овозможува на ИТ одделите и на администраторите да ги заштитат своите хетерогени мрежи од тековните и идните закани. Интреграцијата овозможува сомнителните документи автоматски да се активираат и да се анализираат во изолирана средина. Добиените информации можат понатаму да се збогатат со анализата направена од страна на Kaspersky EDR Optimum. Kaspersky EDR Optimum нуди повеќе опции за одговор за да се елиминираат заканите, како што е изолација на крајните точки со malware или ставање на сомнителните документи во карантин.

За да се осигураат дека заканата нема да се прошири на други компјутери, експертите за безбедност можат брзо и лесно да креираат индикатори на компромитирање (IoCs) кои укажуваат на напад на системот, без да мора да се закаже автоматска проверка на крајните точки за пребарување на malware. Освен тоа, може да се користат IoCs од други компјутери и скенирањето да се изврши со цел да се идентификуваат заразените крајни точки.

Outlook: Менаџирање со детекцијата и одговори на инцидентите

Во иднина, прифаќањето на полето на EDR ќе зависи од провајдерите и нивната способност да ја автоматизираат анализата, увидот и одговорот, и да ги спроведат без човечка интервенција. EDR решението e значајна можност, особено за средните компании. Тие обично немаат доволно искусни работници, а експертите за безбедност кои веќе ги имаат не можат да ги покријат сите фактори за сајбер безбедност, па ЕDR решенијата како менаџирана безбедносна услуга (MDR = managed detection & response) се решение. Безбедноста на компаниите се аутсорсира кон провајдери на услуги со фокус на безбедноста, па така и нивните ИТ оддели ќе можат да ги фокусираат ресурсите на основните активности на компаниите, без компромитирање на корпоративната безбедност. Се разбира, така се подобрува нивото на сајбер-безбедноста. Колку е подобра заштитата, повеќе време и ресурси ќе имаат на располагање експертите за справување со останатите активности.

[1] Kaspersky IT Security Risks Survey 2019 (https://go.kaspersky.com/rs/802-IJN-240/images/GL_Kaspersky_Report-IT-Security-Economics_report_2019.pdf)

[2] https://www.kaspersky.de/enterprise-security/endpoint