Откривањето и одговорот на крајната точка (EDR), познато и како откривање и одговор на крајната точка на закана (ETDR), е интегрирано безбедносно решение на крајната точка што комбинира континуирано следење и собирање податоци во крајната точка во реално време, со автоматизирани способности за одговор и анализа базирани на правила. Терминот беше предложен од Anton Chuvakin од Gartner за да ги опише новите безбедносни системи кои откриваат и истражуваат сомнителни активности на домаќините и крајните точки, користејќи висок степен на автоматизација, со цел да им овозможат на безбедносните тимови брзо да ги идентификуваат и да одговорат на заканите.
Примарните функции на безбедносниот систем EDR се:
- Следење и собирање на податоци за активностите од крајните точки што може да укажат на закана
- Анализа на овие податоци за да ги идентификувате моделот на заканите
- Автоматска реагикција на идентификуваните закани за нивно отстранување или задржување и известење на лицата за безбедносност
- Форензика и алатки за анализа за истражување на идентификуваните закани и пребарување на сомнителни активности
Усвојување на EDR решенија
Се предвидува дека усвојувањето на EDR значително ќе се зголеми во текот на следните неколку години. Според Stratistics MRC’s Endpoint Detection and Response – Global Market Outlook (2017-2026), продажбата на EDR решенија – како во локалните, така и во клауд базираните средини – се очекува да достигне 7,27 милијарди долари до 2026 година, со годишна стапка на раст од речиси 26%.
Еден од факторите кои го поттикнуваат порастот на усвојувањето на EDR е зголемувањето на бројот на крајните точки прикачени на мрежите. Друг главен двигател е зголемената софистицираност на сајбер нападите, кои често се фокусираат на крајните точки како полесни цели за инфилтрирање во мрежата.
Клучни компоненти на ЕДР безбедносните решенија
EDR има интегриран центар за собирање, корелација и анализа на податоците од крајните точки, како и за координирање на предупредувањата и одговорите на непосредните закани. EDR алатките имаат три основни компоненти:
- Агенти за собирање на податоци на крајната точка. Софтверските агенти спроведуваат мониторинг на крајните точки и собираат податоци – како што се процеси, врски, обем на активност и пренос на податоци – во централна база на податоци.
- Автоматски одговор. Однапред конфигурираните правила, EDR решенијата може да препознаат кога дојдовните податоци укажуваат на познат тип на нарушување на безбедноста и активираат автоматски одговор, како на пример да се одјави крајниот корисник или да се испрати предупредување до член на персоналот.
- Анализа и форензика. Системот за откривање и одговор на крајната точка може да вклучи и аналитика во реално време, за брза дијагноза на заканите што не се вклопуваат сосема со претходно конфигурираните правила, и форензички алатки за лов на закани или спроведување на постмортална анализа на напад.
Аналитичкиот мотор во реално време користи алгоритми за оценување и корелација на големи количини на податоци, барајќи шеми.
Алатките за форензика им овозможуваат на професионалците за ИТ безбедност да ги истражат минатите прекршувања за подобро да разберат како функционира експлоитот и како влегол. Професионалците за ИТ безбедност, исто така, користат форензички алатки за да пребаруваат закани во системот, како што се малициозен софтвер или други експлоатирања што може да демнат неоткриени на крајните точки.
Новите EDR способности ја подобруваат интелигенцијата за закани.
Новите функционалности и услуги ја прошируваат способноста на EDR решенијата да откриваат и истражуваат закани.
На пример, разузнавачките служби за закани од трети страни, како што е Trellix Global Threat Intelligence, ја зголемуваат ефикасноста на безбедносните решенија за крајните точки. Разузнавачките служби за закани им обезбедуваат на компаниите глобален фонд на информации за тековните закани и нивните карактеристики. Таа колективна интелигенција помага да се зголеми способноста на EDR да идентификува експлоатирања, особено повеќеслојни и Zero day. Многу EDR решенија нудат претплати за разузнавање за закани, како дел од нивното безбедносно решение за крајните точки.
Дополнително, новите истражувачки способности во некои решенија за EDR можат да ја искористат вештачката интелигенција и машинското учење, за да ги автоматизираат чекорите во истражниот процес. Овие нови способности можат да ги научат основните однесувања на организациите и да ги користат овие информации, заедно со различни други извори на разузнавачки закани, за да ги толкуваат наодите.
MITRE ATT&CK
Друг тип на разузнавање за закани е Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) кој е во тек во MITRE, непрофитна истражувачка група која работи со американската влада. ATT&CK е база на знаење, изградена на проучување на милиони сајбер напади во реалниот свет.
ATT&CK ги категоризира сајбер-заканите според различни фактори, како што се тактиката што се користи за инфилтрирање во ИТ систем, видот на искористените слабости на системот, користените алатки за малициозен софтвер и криминалните групи поврзани со нападот. Фокусот на работата е на идентификување на обрасци и карактеристики кои остануваат непроменети без оглед на малите промени на експлоатацијата. Деталите како што се IP адресите, клучевите во регистарот и броевите на домени може често да се менуваат. Но, методите на напаѓачот – или „modus operandi“ – обично остануваат исти. ЕДР може да ги користи овие вообичаени однесувања за да ги идентификува заканите што можеби биле изменети на други начини.
Бидејќи професионалците за ИТ безбедност се соочуваат со сè покомплексни сајбер-закани, како и со поголема разновидност во бројот и типовите на крајните точки што пристапуваат до мрежата, им треба поголема помош од автоматизираната анализа и одговор што ги обезбедуваат решенијата за откривање и одговор на крајната точка.
