Dlaczego zespoły ds. bezpieczeństwa potrzebują EDR

Ochrona punktów końcowych: niezbędna, lecz niepozbawiona ograniczeń

Zapobieganie i blokowanie nie wystarczą

Dzisiejsze rozwiązania typu Endpoint Protection (EPP) od czołowych producentów rozwiązań bezpieczeństwa są na coraz wyższym poziomie. W porównaniu z wcześniejszymi rozwiązaniami, nowoczesne narzędzia EPP zatrzymują więcej złośliwego oprogramowania i bardziej zróżnicowane rodzaje zagrożeń niż kiedykolwiek wcześniej. Najlepsi producenci wdrożyli sztuczną inteligencję (AI), uczenie maszynowe (ML) i adaptacyjną heurystykę, które wykraczają daleko poza statyczne i łatwe do obejścia “sygnatury wirusów” z przeszłości.

Wykrywanie przed uruchomieniem, blokowanie w chwili uruchomienia, a nawet zakończenie po uruchomieniu są obecnie powszechnymi funkcjami najlepszych produktów EPP. Ogólnie zmniejsza się liczba fałszywych alarmów, poprawia się szybkość i precyzja wykrywania, dostępne są też lepsze objaśnienia dotyczące wykrytych zagrożeń i ich przyczyn. Jednak EPP jako kategoria produktów ma fundamentalne ograniczenia, które każdy administrator powinien mieć na uwadze. Kiedy na szali jest bezpieczeństwo Twojej firmy, nie możesz stracić z oczu tego, co jest niewidoczne dla narzędzi Endpoint Protection.

Dlaczego ochrona punktów końcowych bywa niewystarczająca

Zapobieganie atakom poprzez wykrywanie i blokowanie na samym początku każdego ataku wydaje się być idealnym rezultatem, który chciałby osiągnąć każdy zespół InfoSec, ale jak pokazuje historia od czasów pierwszych wirusów komputerowych w połowie lat 80-tych, jest to cel trudny do osiągnięcia. Zapobieganie nigdy nie było możliwe w 100%, a ” idealne zabezpieczenie” jest praktycznie nieosiągalne. Ataki bez plikowe i exploity przeglądarek nie wykorzystują plików, które można zablokować, a wiele zaawansowanych wieloetapowych i wielowektorowych ataków przebiega w sposób, który czyni je wyjątkowo trudnymi, jeśli nie niemożliwymi do powstrzymania. Ograniczenia EPP obejmują w
szczególności:

1. Zbyt mało, za późno: Wykrycie potrafi nastąpić dopiero wówczas, gdy złośliwe oprogramowanie osiągnie całkowity lub połowiczny sukces, a maszyna docelowa została zainfekowana przy zablokowaniu tylko jednego z elementów ataku.
2. Brakujące powiązania: Wiele alarmów może być generowanych przez EPP bez oczywistych wspólnych wątków łączących je ze sobą. Analitycy nie mogą zobaczyć kompletnych incydentów lub łańcuchów powiązanych zdarzeń.
3. Brakujące powiązania: Wiele alarmów może być generowanych przez EPP bez wyraźnych powiązań między nimi. Analitycy nie mogą zobaczyć pełnego obrazu zdarzenia lub łańcucha powiązań.

Dlaczego zespoły ds. bezpieczeństwa potrzebują EDR

Usunięcie istotnych luk w zabezpieczeniach

Ochrona punktów końcowych jest niezbędna dla zachowania zgodności z normami oraz do ochrony przed złośliwym oprogramowaniem i typowymi zagrożeniami, jednak nie jest wystarczająca do obrony przed zaawansowanymi, złożonymi lub ukierunkowanymi atakami. Jeśli Państwa własność intelektualna, dane PII/PHI, dane klientów lub dane finansowe są narażone na ryzyko, EDR nie jest zbędnym luksusem — jest koniecznością.

Niewystarczająca ochrona przed zaawansowanymi zagrożeniami

Sama ochrona punktów końcowych zazwyczaj nie zapewnia wystarczającej ochrony przed zaawansowanymi
zagrożeniami. Złożone ataki często rozpoczynają się od nieszkodliwych lub standardowych oznak aktywności – otwarcia dokumentu, nawiązania połączenia zdalnego, pobrania zasobu z internetu itp. Dopiero później pojawiają się sygnały mówiące o podejrzanym lub szkodliwym działaniu.

Brak możliwości analizy i reagowania na alerty

Ochrona punktów końcowych generuje wiele alertów, jednak nie uwzględnia każdego elementu danego ataku. Mimo, że każdy alert reprezentuje realne zagrożenie, które zostało zablokowane, mogą być konieczne dalsze kroki w celu analizy i podjęcia działań naprawczych, wykraczających poza usunięcie wykrytych niebezpiecznych plików z systemu organizacji. Od czego zatem zacząć?

Powolna reakcja na wykryte zagrożenia

EPP dostarcza niewielu sygnałów wczesnego ostrzegania przed atakiem i nie wprowadza odpowiedniego rozróżnienia na kategorie typu “szkodliwy” i “nieszkodliwy”, przy niewielkiej ilości szczegółów dotyczących oceny zagrożenia. Użytkownik może zauważyć nieprawidłowe działanie komputera, inżynier sieciowy może spostrzec nietypowy ruch sieciowy lub skokowy przepływ danych, jednak nie są dostępne żadne szczegóły dotyczące przyczyn takich zdarzeń.

Brak możliwości identyfikacji pierwotnej przyczyny i zapobiegania ponownym atakom

Załóżmy, że Twoje rozwiązanie EPP coś zablokowało. Nie ciesz się jednak przedwcześnie. Czy jesteś przekonany, że powstrzymano cały atak, czy tylko jeden jego element? Czy inne aspekty ataku skutecznie uniknęły wykrycia? Co było źródłem zagrożenia? Skąd się wzięło? Jak zlikwidować tę podatność, aby atak się nie powtórzył?

Brak wglądu w taktyki, technik i procedur (TTP) / wskaźników naruszenia bezpieczeństwa (IOC) stosowane w całej organizacji

Czy było to jednorazowe zdarzenie, czy też ma ono charakter systemowy i dotyczy wielu maszyn w przedsiębiorstwie? Czy atak tego typu lub podobny wystąpił w przeszłości wielokrotnie? Czy atak ma nadal miejsce na innych maszynach w organizacji? Czy możesz zidentyfikować pojedynczy wskaźnik ataku lub zagrożenia i przeszukać pod jego kątem cały system?

Brak zaleceń dotyczących proaktywnego zwiększania poziomu bezpieczeństwa

Jak możesz poprawić swoją politykę bezpieczeństwa i wzmocnić obronę przed przyszłymi atakami? Czy potrafisz zidentyfikować błędną konfigurację systemu operacyjnego, luki w aplikacjach i ludzkie czynniki behawioralne, które zwiększają ryzyko dla Twojej organizacji? Czy po ich zidentyfikowaniu jesteś w stanie zmierzyć i ocenić postępy w zakresie poprawy bezpieczeństwa?

Czynniki warunkujące skuteczność EDR

Oto główne przesłanki ekonomiczne, które przemawiają za wprowadzeniem EDR do arsenału obronnego Twojej organizacji:

1. Nie możesz zapewnić 100% ochrony przed zaawansowanymi atakami, które pozwalają intruzom pozostać w Twoich systemach
2. Nie można zakończyć podejrzanej aktywności lub odizolować zainfekowanych maszyn po wykryciu potencjalnych wskaźników naruszenia bezpieczeństwa
3. Brakuje Ci informacji, na podstawie których można podjąć działania lub wskazówek, jak krok po kroku postępować w przypadku zidentyfikowania naruszenia
4. Brak scentralizowanej bazy danych o zagrożeniach dla potrzeb skoordynowania analizy ataków i działań naprawczych we wszystkich systemach
5. Nie są Ci znane ryzyka systemowe, na które narażona jest Twoja infrastruktura, ani sposoby proaktywnego zwiększania poziomu bezpieczeństwa.

Zalety samodzielnego rozwiązania EDR

Endpoint Detection and Response wnosi dodatkową wartość i działa niezależnie, oddzielnie i komplementarnie względem ochrony punktów końcowych. Traktując te dwa rozwiązania niczym tandem typu “pas i szelki” chroniący przed najtrudniejszymi atakami, których celem jest uniknięcie pierwszej linii obrony. Możesz też nadal korzystać z dotychczasowego rozwiązania EPP i rozszerzyć swoją ochronę o EDR.

Jak oceniasz swoje narzędzia EPP?

Wszystkie rozwiązania EPP mają wady i zalety oraz pociągają za sobą konieczność kompromisów. Które stwierdzenie najlepiej opisuje Państwa przypadek?

1. Jestem zadowolony z mojego rozwiązania EPP, ale dostrzegam jego ograniczenia w zakresie diagnostyki i działań naprawczych
2. Jestem niezadowolony z obecnego rozwiązania EPP, ale do końca obowiązywania umowy zostało jeszcze trochę czasu
3. Mam wątpliwości co do mojego obecnego rozwiązania EPP, ale wdrożenie innego narzędzia byłoby zbyt kłopotliwe.

Niezależnie od tego jak oceniasz swoje rozwiązanie EPP, zobacz jak samodzielne rozwiązanie EDR może okazać się najprostszym i zarazem najistotniejszym uzupełnieniem Twojego systemu zabezpieczeń. To prostsze i bardziej opłacalne niż mogłoby się wydawać.

Kiedy samodzielne rozwiązanie EDR jest dobrymwyborem?

Osoby zarządzające bezpieczeństwem mogą uznać samodzielne rozwiązanie EDR za istotne uzupełnienie EPP w następujących okolicznościach:

1. Analitycy bezpieczeństwa nie mają wglądu w podejrzaną i niebezpieczną aktywność w punktach końcowych i w sieci
2. W istniejącym rozwiązaniu EPP brakuje łatwych, przydatnych opcji dodania EDR opartego na chmurze, EDR+EPP lub MDR
3. Potrzebna jest zdolność wykrywania i raportowania incydentów, która byłaby możliwa do pogodzenia z dotychczasowym rozwiązaniem EPP
4. Poszukiwana jest chmurowa platforma reagowania na incydenty z prostym i lekkim agentem, który jest łatwy do wdrożenia i zarządzania
5. Potrzeba uproszczonych, funkcjonalnych schematów postępowania metodą “krok po kroku” dla analizy zagrożeńi naprawy skutków w punktach końcowych

Bitdefender Endpoint Detection and Response

Bitdefender Endpoint Detection and Response zapewnia połączenie detektywistycznych, śledczych i naprawczych mechanizmów bezpieczeństwa, które pozwalają naszym klientom lepiej zrozumieć typowe alerty z systemów zapobiegania. Wykorzystuje najnowsze i aktualne technologie, aby zapewnić większą widoczność oraz zbierać i skorelować informacje o zagrożeniach. Jednocześnie stosuje analitykę i automatyzację do wykrywania podejrzanych zdarzeń.

Widoczność TTP atakujących

Bitdefender Endpoint Detection and Response dostarcza zaawansowanych funkcji wykrywania i reagowania na ataki, których zespoły ds. bezpieczeństwa nie mają do dyspozycji w konwencjonalnych narzędziach ochrony punktów końcowych. Tradycyjne produkty nie zapewniają wglądu w taktyki, techniki i procedury wykorzystywane do przeprowadzania ataków na stosowane przez nie systemy. Nie dostarczają również analitykom wskazówek dotyczących konkretnych kroków zaradczych, jakie należy podjąć, ani narzędzi niezbędnych do bezpośredniego reagowania na te ataki.

Techniki MITRE ATT&CK

Mapowanie w oparciu o globalny standard bezpieczeństwa, aby mieć wgląd w wykryte zdarzenia i indywidualne alertydla każdej fazy ataku, w tym: wykonania (Execution), uzyskania trwałej obecności (Persistence), eskalacji uprawnień(Privilege Escalation), omijania zabezpieczeń (Defense Evasion), rozpoznanie uwierzytelnionego dostępu (Credentialed Access Discovery), ruch boczny (Lateral Movement), gromadzenie danych (Collection), zdalna kontrola (Command& Control) oraz eksfiltracja (Exfiltration). Przy zastosowaniu innych narzędzi, które również mapują techniki MITREATT&CK, otrzymasz kompletny obraz ataku, wraz z wszelkimi pozostałymi “lukami” w widoczności lub zasięgu, któremogą wymagać jeszcze naprawy.

Wyszukiwanie i korelacja IOC / IOA

Jakich znaków ostrzegawczych należy szukać, aby sprawdzić, czy maszyna została zaatakowana lub zainfekowana? Zespoły InfoSec mogą wyszukiwać indywidualne wskaźniki ataku (IOA) i wskaźniki naruszenia bezpieczeństwa (IOC)w całej organizacji w celu znalezienia narażonych maszyn, które mogą nie generować żadnych zewnętrznych oznaknaruszenia ani dla użytkowników, ani dla administratorów bezpieczeństwa.

Pełna wizualizacja ataku z analizą przyczynowo-skutkową

Sekwencje zdarzeń krok po kroku od początkowego wektora ataku pocztą elektroniczną do infekcji pierwszego klienta, eskalacji przywilejów, rozpoznania środowiska, przemieszczania się po zasobach, gromadzenia danych i eksfiltracji.

Zapobiegaj ponownemu wystąpieniu ataku

Przeanalizuj drogi jakimi przebiegały skuteczne (i częściowo skuteczne) ataki i określ sposoby eliminacji tych luk i punktów dostępu w przyszłości dla powtarzających się ataków tego samego lub podobnego rodzaju.