Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz
Wróć do Aktualności

02 października 2022

Ochrona punktów końcowych: niezbędna, lecz niepozbawiona ograniczeń

Zapobieganie i blokowanie nie wystarczą

Dzisiejsze rozwiązania typu Endpoint Protection (EPP) od czołowych producentów rozwiązań bezpieczeństwa są na coraz wyższym poziomie. W porównaniu z wcześniejszymi rozwiązaniami, nowoczesne narzędzia EPP zatrzymują więcej złośliwego oprogramowania i bardziej zróżnicowane rodzaje zagrożeń niż kiedykolwiek wcześniej. Najlepsi producenci wdrożyli sztuczną inteligencję (AI), uczenie maszynowe (ML) i adaptacyjną heurystykę, które wykraczają daleko poza statyczne i łatwe do obejścia “sygnatury wirusów” z przeszłości.

Wykrywanie przed uruchomieniem, blokowanie w chwili uruchomienia, a nawet zakończenie po uruchomieniu są obecnie powszechnymi funkcjami najlepszych produktów EPP. Ogólnie zmniejsza się liczba fałszywych alarmów, poprawia się szybkość i precyzja wykrywania, dostępne są też lepsze objaśnienia dotyczące wykrytych zagrożeń i ich przyczyn. Jednak EPP jako kategoria produktów ma fundamentalne ograniczenia, które każdy administrator powinien mieć na uwadze. Kiedy na szali jest bezpieczeństwo Twojej firmy, nie możesz stracić z oczu tego, co jest niewidoczne dla narzędzi Endpoint Protection.

Dlaczego ochrona punktów końcowych bywa niewystarczająca

Zapobieganie atakom poprzez wykrywanie i blokowanie na samym początku każdego ataku wydaje się być idealnym rezultatem, który chciałby osiągnąć każdy zespół InfoSec, ale jak pokazuje historia od czasów pierwszych wirusów komputerowych w połowie lat 80-tych, jest to cel trudny do osiągnięcia. Zapobieganie nigdy nie było możliwe w 100%, a ” idealne zabezpieczenie” jest praktycznie nieosiągalne. Ataki bez plikowe i exploity przeglądarek nie wykorzystują plików, które można zablokować, a wiele zaawansowanych wieloetapowych i wielowektorowych ataków przebiega w sposób, który czyni je wyjątkowo trudnymi, jeśli nie niemożliwymi do powstrzymania. Ograniczenia EPP obejmują w
szczególności:

  1. Zbyt mało, za późno: Wykrycie potrafi nastąpić dopiero wówczas, gdy złośliwe oprogramowanie osiągnie całkowity lub połowiczny sukces, a maszyna docelowa została zainfekowana przy zablokowaniu tylko jednego z elementów ataku.
  2. Brakujące powiązania: Wiele alarmów może być generowanych przez EPP bez oczywistych wspólnych wątków łączących je ze sobą. Analitycy nie mogą zobaczyć kompletnych incydentów lub łańcuchów powiązanych zdarzeń.
  3. Brakujące powiązania: Wiele alarmów może być generowanych przez EPP bez wyraźnych powiązań między nimi. Analitycy nie mogą zobaczyć pełnego obrazu zdarzenia lub łańcucha powiązań.

phishing

Dlaczego zespoły ds. bezpieczeństwa potrzebują EDR

Usunięcie istotnych luk w zabezpieczeniach

Ochrona punktów końcowych jest niezbędna dla zachowania zgodności z normami oraz do ochrony przed złośliwym oprogramowaniem i typowymi zagrożeniami, jednak nie jest wystarczająca do obrony przed zaawansowanymi, złożonymi lub ukierunkowanymi atakami. Jeśli Państwa własność intelektualna, dane PII/PHI, dane klientów lub dane finansowe są narażone na ryzyko, EDR nie jest zbędnym luksusem — jest koniecznością.

Niewystarczająca ochrona przed zaawansowanymi zagrożeniami

Sama ochrona punktów końcowych zazwyczaj nie zapewnia wystarczającej ochrony przed zaawansowanymi
zagrożeniami. Złożone ataki często rozpoczynają się od nieszkodliwych lub standardowych oznak aktywności – otwarcia dokumentu, nawiązania połączenia zdalnego, pobrania zasobu z internetu itp. Dopiero później pojawiają się sygnały mówiące o podejrzanym lub szkodliwym działaniu.

Brak możliwości analizy i reagowania na alerty

Ochrona punktów końcowych generuje wiele alertów, jednak nie uwzględnia każdego elementu danego ataku. Mimo, że każdy alert reprezentuje realne zagrożenie, które zostało zablokowane, mogą być konieczne dalsze kroki w celu analizy i podjęcia działań naprawczych, wykraczających poza usunięcie wykrytych niebezpiecznych plików z systemu organizacji. Od czego zatem zacząć?

Powolna reakcja na wykryte zagrożenia

EPP dostarcza niewielu sygnałów wczesnego ostrzegania przed atakiem i nie wprowadza odpowiedniego rozróżnienia na kategorie typu “szkodliwy” i “nieszkodliwy”, przy niewielkiej ilości szczegółów dotyczących oceny zagrożenia. Użytkownik może zauważyć nieprawidłowe działanie komputera, inżynier sieciowy może spostrzec nietypowy ruch sieciowy lub skokowy przepływ danych, jednak nie są dostępne żadne szczegóły dotyczące przyczyn takich zdarzeń.

Brak możliwości identyfikacji pierwotnej przyczyny i zapobiegania ponownym atakom

Załóżmy, że Twoje rozwiązanie EPP coś zablokowało. Nie ciesz się jednak przedwcześnie. Czy jesteś przekonany, że powstrzymano cały atak, czy tylko jeden jego element? Czy inne aspekty ataku skutecznie uniknęły wykrycia? Co było źródłem zagrożenia? Skąd się wzięło? Jak zlikwidować tę podatność, aby atak się nie powtórzył?

Brak wglądu w taktyki, technik i procedur (TTP) / wskaźników naruszenia bezpieczeństwa (IOC) stosowane w całej organizacji

Czy było to jednorazowe zdarzenie, czy też ma ono charakter systemowy i dotyczy wielu maszyn w przedsiębiorstwie? Czy atak tego typu lub podobny wystąpił w przeszłości wielokrotnie? Czy atak ma nadal miejsce na innych maszynach w organizacji? Czy możesz zidentyfikować pojedynczy wskaźnik ataku lub zagrożenia i przeszukać pod jego kątem cały system?

Brak zaleceń dotyczących proaktywnego zwiększania poziomu bezpieczeństwa

Jak możesz poprawić swoją politykę bezpieczeństwa i wzmocnić obronę przed przyszłymi atakami? Czy potrafisz zidentyfikować błędną konfigurację systemu operacyjnego, luki w aplikacjach i ludzkie czynniki behawioralne, które zwiększają ryzyko dla Twojej organizacji? Czy po ich zidentyfikowaniu jesteś w stanie zmierzyć i ocenić postępy w zakresie poprawy bezpieczeństwa?

cyber_security

Czynniki warunkujące skuteczność EDR

Oto główne przesłanki ekonomiczne, które przemawiają za wprowadzeniem EDR do arsenału obronnego Twojej organizacji:

  1. Nie możesz zapewnić 100% ochrony przed zaawansowanymi atakami, które pozwalają intruzom pozostać w Twoich systemach
  2. Nie można zakończyć podejrzanej aktywności lub odizolować zainfekowanych maszyn po wykryciu potencjalnych wskaźników naruszenia bezpieczeństwa
  3. Brakuje Ci informacji, na podstawie których można podjąć działania lub wskazówek, jak krok po kroku postępować w przypadku zidentyfikowania naruszenia
  4. Brak scentralizowanej bazy danych o zagrożeniach dla potrzeb skoordynowania analizy ataków i działań naprawczych we wszystkich systemach
  5. Nie są Ci znane ryzyka systemowe, na które narażona jest Twoja infrastruktura, ani sposoby proaktywnego zwiększania poziomu bezpieczeństwa.

Zalety samodzielnego rozwiązania EDR

Endpoint Detection and Response wnosi dodatkową wartość i działa niezależnie, oddzielnie i komplementarnie względem ochrony punktów końcowych. Traktując te dwa rozwiązania niczym tandem typu “pas i szelki” chroniący przed najtrudniejszymi atakami, których celem jest uniknięcie pierwszej linii obrony. Możesz też nadal korzystać z dotychczasowego rozwiązania EPP i rozszerzyć swoją ochronę o EDR.

Jak oceniasz swoje narzędzia EPP?

Wszystkie rozwiązania EPP mają wady i zalety oraz pociągają za sobą konieczność kompromisów. Które stwierdzenie najlepiej opisuje Państwa przypadek?

  1. Jestem zadowolony z mojego rozwiązania EPP, ale dostrzegam jego ograniczenia w zakresie diagnostyki i działań naprawczych
  2. Jestem niezadowolony z obecnego rozwiązania EPP, ale do końca obowiązywania umowy zostało jeszcze trochę czasu
  3. Mam wątpliwości co do mojego obecnego rozwiązania EPP, ale wdrożenie innego narzędzia byłoby zbyt kłopotliwe.

Niezależnie od tego jak oceniasz swoje rozwiązanie EPP, zobacz jak samodzielne rozwiązanie EDR może okazać się najprostszym i zarazem najistotniejszym uzupełnieniem Twojego systemu zabezpieczeń. To prostsze i bardziej opłacalne niż mogłoby się wydawać.

Kiedy samodzielne rozwiązanie EDR jest dobrymwyborem?

Osoby zarządzające bezpieczeństwem mogą uznać samodzielne rozwiązanie EDR za istotne uzupełnienie EPP w następujących okolicznościach:

  1. Analitycy bezpieczeństwa nie mają wglądu w podejrzaną i niebezpieczną aktywność w punktach końcowych i w sieci
  2. W istniejącym rozwiązaniu EPP brakuje łatwych, przydatnych opcji dodania EDR opartego na chmurze, EDR+EPP lub MDR
  3. Potrzebna jest zdolność wykrywania i raportowania incydentów, która byłaby możliwa do pogodzenia z dotychczasowym rozwiązaniem EPP
  4. Poszukiwana jest chmurowa platforma reagowania na incydenty z prostym i lekkim agentem, który jest łatwy do wdrożenia i zarządzania
  5. Potrzeba uproszczonych, funkcjonalnych schematów postępowania metodą “krok po kroku” dla analizy zagrożeńi naprawy skutków w punktach końcowych

Bitdefender Endpoint Detection and Response

Bitdefender Endpoint Detection and Response zapewnia połączenie detektywistycznych, śledczych i naprawczych mechanizmów bezpieczeństwa, które pozwalają naszym klientom lepiej zrozumieć typowe alerty z systemów zapobiegania. Wykorzystuje najnowsze i aktualne technologie, aby zapewnić większą widoczność oraz zbierać i skorelować informacje o zagrożeniach. Jednocześnie stosuje analitykę i automatyzację do wykrywania podejrzanych zdarzeń.

Widoczność TTP atakujących

Bitdefender Endpoint Detection and Response dostarcza zaawansowanych funkcji wykrywania i reagowania na ataki, których zespoły ds. bezpieczeństwa nie mają do dyspozycji w konwencjonalnych narzędziach ochrony punktów końcowych. Tradycyjne produkty nie zapewniają wglądu w taktyki, techniki i procedury wykorzystywane do przeprowadzania ataków na stosowane przez nie systemy. Nie dostarczają również analitykom wskazówek dotyczących konkretnych kroków zaradczych, jakie należy podjąć, ani narzędzi niezbędnych do bezpośredniego reagowania na te ataki.

Techniki MITRE ATT&CK

Mapowanie w oparciu o globalny standard bezpieczeństwa, aby mieć wgląd w wykryte zdarzenia i indywidualne alertydla każdej fazy ataku, w tym: wykonania (Execution), uzyskania trwałej obecności (Persistence), eskalacji uprawnień(Privilege Escalation), omijania zabezpieczeń (Defense Evasion), rozpoznanie uwierzytelnionego dostępu (Credentialed Access Discovery), ruch boczny (Lateral Movement), gromadzenie danych (Collection), zdalna kontrola (Command& Control) oraz eksfiltracja (Exfiltration). Przy zastosowaniu innych narzędzi, które również mapują techniki MITREATT&CK, otrzymasz kompletny obraz ataku, wraz z wszelkimi pozostałymi “lukami” w widoczności lub zasięgu, któremogą wymagać jeszcze naprawy.

Wyszukiwanie i korelacja IOC / IOA

Jakich znaków ostrzegawczych należy szukać, aby sprawdzić, czy maszyna została zaatakowana lub zainfekowana? Zespoły InfoSec mogą wyszukiwać indywidualne wskaźniki ataku (IOA) i wskaźniki naruszenia bezpieczeństwa (IOC)w całej organizacji w celu znalezienia narażonych maszyn, które mogą nie generować żadnych zewnętrznych oznaknaruszenia ani dla użytkowników, ani dla administratorów bezpieczeństwa.

Pełna wizualizacja ataku z analizą przyczynowo-skutkową

Sekwencje zdarzeń krok po kroku od początkowego wektora ataku pocztą elektroniczną do infekcji pierwszego klienta, eskalacji przywilejów, rozpoznania środowiska, przemieszczania się po zasobach, gromadzenia danych i eksfiltracji.

Zapobiegaj ponownemu wystąpieniu ataku

Przeanalizuj drogi jakimi przebiegały skuteczne (i częściowo skuteczne) ataki i określ sposoby eliminacji tych luk i punktów dostępu w przyszłości dla powtarzających się ataków tego samego lub podobnego rodzaju.

bezpieczenstwo

Narzędzia EDR vs. SIEM

EDR zoptymalizowany dla średniej wielkości zespołów

EDR stanowi “płaszczyznę pośrednią” pomiędzy ochroną punktów końcowych a kompleksowym systemem zarządzania informacjami i zdarzeniami bezpieczeństwa(SIEM). Narzędzia SIEM są rozbudowane i pełnią cenną rolę w większych przedsiębiorstwach. Są one jednak drogie — początkowo w zakupie, a na bieżąco pod względem kadrowym, operacyjnym i eksploatacyjnym -co sprawia, że są one poza zasięgiem małych i średnich przedsiębiorstw i nie są odpowiednie dla małych i średnich przedsiębiorstw. Systemy SIEM zazwyczaj koncentrują się na określonych typach alarmów, pojedynczych zdarzeniach lub wskaźnikach — nie są zaprojektowane do kompleksowej obsługi incydentów, ataków lub kampanii, a także związków przyczynowych, przebiegu lub powiązań między zdarzeniami. Pozostawia to wykwalifikowanym analitykom możliwość wyciągnięcia własnych wniosków na temat tego, co dokładnie zawierają dane. Wizualizacje danych, które sugerowały by zależności między incydentami, muszą być opracowywane samodzielnie, co prowadzi do znacznego zróżnicowania wyników w poszczególnych zespołach.

Systemy SIEM nie dają możliwości podejmowaniadziałań. Agregują one wyniki jednokierunkowych przepływów danych bez możliwości odwołania się do systemów,z których pochodzą. Nie umożliwiają dokonywaniaaktualizacji, ani podejmowania bezpośrednich działańnaprawczych z poziomu narzędzia SIEM. Nowe zdarzeniasą po prostu zapisywane obok wcześniejszych. W rezultacie wykwalifikowani analitycy otrzymują mnóstwoinformacji wyjściowych, które mogą przeszukiwać,korelować i wyciągać własne wnioski — w zależności odswoich umiejętności i doświadczenia.EDR jest zaprojektowany pod kątem wykrywania i reagowania na incydenty. Automatycznie podnosi poziompojedynczych alarmów do rangi kompleksowych incydentów, pokazując łańcuch przyczynowo-skutkowy nawszystkich etapach ataku. Dzięki temu możliwe jestnatychmiastowe podjęcie działań śledczych i naprawczych bezpośrednio z poziomu konsoli. Ponadto, EDR jest”dla każdego”, ponieważ ułatwia wykrywanie i reagowaniemałym, średnio wykwalifikowanym zespołom InfoSec.

EDR (Endpoint Detection and Response)

  1. Zaprojektowany do monitorowania incydentów bezpieczeństwa punktów końcowych
  2. Dwukierunkowy przepływ danych do systemów źródłowych
  3. Gotowe pulpity reagowania na zagrożenia
  4. Czytelne wizualizacje łańcucha przyczynowo-skutkowego ataku
  5. Automatyczna analiza i priorytetyzacja incydentów
  6. Schematy postępowania i zalecenia dotyczące reagowania na zagrożenia
  7. Umożliwia bezpośrednie działania osobom odpowiedzialnym za bezpieczeństwo
  8. Zoptymalizowane dla specjalistów ds. bezpieczeństwa w mniejszych zespołach

SIEM (Security Information & Event Management)

  1. Agreguje ogólne zdarzenia i logi bezpieczeństwa
  2. Jednokierunkowy przepływ danych tylko z systemu źródłowego
  3. Analitycy muszą tworzyć własne pulpity.
  4. Brak wbudowanych wizualizacji łańcucha ataku
  5. Stopień zagrożenia jest określany przez analityka
  6. Analityk określa kroki i kolejność reakcji
  7. Nieprzydatne dla osób reagujących na zagrożenia
  8. Przeznaczone dla specjalistów ds. bezpieczeństwa w dużych zespołach

Dlaczego EDR to lepsze rozwiązanie

EDR jest oczywistym wyborem dla skutecznego wykrywania i reagowania na zagrożenia przez specjalistów ds. bezpieczeństwa w średniej wielkości zespołach InfoSec w małych i średnich przedsiębiorstwach. SIEM natomiast utrzymuje przewagę w zakresie analizy “big data” i korelacji alertów z wielu źródeł dla dużych zespołów wysoko wykwalifikowanych specjalistów ds. bezpieczeństwa.

  1.  EDR jest zaprojektowany w oparciu o incydenty, a nie alerty, dzięki czemu powiązane zdarzenia są uporządkowane tworząc całościowy obraz
  2. EDR zawiera gotowe, łatwe do wykorzystania pulpity nawigacyjne ułatwiające szybką reakcję na incydenty
  3. Osoby reagujące na incydenty mogą podejmować bezpośrednie działania naprawcze wprost z poziomu konsoli EDR
  4. Analitycy mogą analizować wyniki zapytań i powiązania pomiędzy IOC i IOA w całym przedsiębiorstwie
  5. Zespoły zajmujące się bezpieczeństwem mogą przeprowadzać analizy przyczyn źródłowych przy użyciu czytelnych wizualizacji łańcucha ataków
  6. Administratorzy mogą oszacować i zredukować ryzyko systemowe w systemach operacyjnych punktów końcowych, aplikacjach i w odniesieniu do zasobów ludzkich
  7. Osoby odpowiedzialne za reagowanie na incydenty mogą szybko oceniać i nadawać priorytety alertom,
    a następnie postępować zgodnie z przejrzystymi instrukcjami naprawczymi

Wykraczając poza EDR

Ochrona punktów końcowych jest niezbędna do zapewnienia zgodności z normami oraz do odpierania mało skutecznych tradycyjnych ataków, jednak ma swoje ograniczenia. Endpoint Detection and Response jest znacznie lepiej przystosowany do radzenia sobie z zaawansowanymi, wieloetapowymi i wielowektorowymi atakami, które są zaplanowane tak, aby omijać systemy pierwszej linii obrony.

Rozwiązanie Managed Detection and Response (MDR), przeznaczone dla menedżerów przedsiębiorstw zorientowanych na wyniki w zakresie bezpieczeństwa, a nie na narzędzia, zapewnia maksymalne wykorzystanie możliwościpakietu bezpieczeństwa dzięki optymalnej analizie i reakcji wykwalifikowanych ekspertów ds. bezpieczeństwapracujących przez całą dobę w wyspecjalizowanym Centrum Operacji Bezpieczeństwa (ang. Security OperationsCenter – SOC).

laptop

Co niesie przyszłość?

Network Detection and Response (NDR) przenosi EDR na wyższy poziom, wykorzystując analizę ruchu sieciowego generowanego przez tradycyjne punkty końcowe, jak również urządzenia IoT, w celu stworzenia kompleksowego obrazu aktualnego środowiska zagrożeń. Ponadto funkcja rozszerzonego wykrywania i reagowania (XDR) automatycznie gromadzi i koreluje dane z wielu obszarów kontroli bezpieczeństwa przedsiębiorstwa – poczty elektronicznej, punktów końcowych, serwerów, systemów chmurowych i sieci – dzięki czemu zagrożenia mogą być szybciej wykrywane, a analitycy bezpieczeństwa mogą skrócić czas dochodzenia i reakcji we wszystkich obszarach bezpieczeństwa. To ujednolicone podejście do bezpieczeństwa zapewnia pełną widoczność modeli danych i zdarzeń w sieciach, chmurach, punktach końcowych i aplikacjach, jednocześnie wykorzystując analitykę i automatyzację do wykrywania, analizowania, tropienia i usuwania zaawansowanych zagrożeń w całym przedsiębiorstwie. W tym kierunku zmierza przyszłość portfolio bezpieczeństwa Bitdefender.

Najlepsza ochrona

Endpoint Detection And Response

Dane kontaktowe:

Sklep internetowy

sklep@bitdefender.pl

Pomoc techniczna

pomoc@bitdefender.pl

Marketing

promocje@marken.com.pl

Centrala

kontakt@marken.com.pl

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy