Sophos. Γιατί οι οργανισμοί χρειάζονται μία ευφυής λύση EDR
Για να κατανοήσετε την ανάγκη του Endpoint Detection and Response (EDR), ας αρχίσουμε με μία συζήτηση για το περιβάλλον κυβερνοασφάλειας.
Για να δώσουμε μία αίσθηση της κλίμακας, οι ειδικοί και οι εμπειρογνώμονες στην κυβερνοασφάλεια που εργάζονται στην SophosLabs επεξεργάζονται σε καθημερινή βάση 500 χιλιάδες πρωτοεμφανιζόμενων, άγνωστων δειγμάτων κακόβουλου λογισμικού (malware). Το 2018, σε έκθεση του, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) ανέφερε ότι ανακαλύφθηκαν 16451 ευπάθειες και κενά ασφάλειας λογισμικού. Η πρόκληση λοιπόν για τους αμυνόμενους γίνεται όλο και μεγαλύτερη, και οδηγεί στην επιθυμία για καλύτερες δυνατότητες ορατότητας και ανίχνευσης.
Οι οργανισμοί έχουν να αντιμετωπίσουν πολλαπλές απειλές που προσπαθούν να διεισδύσουν στο περιβάλλον τους σε καθημερινή βάση. Όπως είναι φυσικό, πολλές από αυτές τις απειλές σταματούν άμεσα από τις ισχυρές άμυνες κυβερνοασφάλειας. Αλλά εκείνες που είναι «evasive», ασυνήθιστες ή άγνωστες μπορεί να καταφέρουν να ξεγλιστρήσουν, και εκεί είναι που παίζει ρόλο το EDR, δηλαδή μία λύση ανίχνευσης και απόκρισης, που δημιουργήθηκε από την ανάγκη να συμπληρώσει τα υφιστάμενα εργαλεία προστασίας τερματικών συσκευών.
Για να καταστεί το παραπάνω ακόμα περισσότερο κατανοητό, ας χρησιμοποιήσουμε ένα οπτικό παράδειγμα:
1. Καλοπροαίρετα
Πρόκειται για ακίνδυνα προγράμματα που αποτελούν μέρος της καθημερινότητας στη συντριπτική πλειονότητα των οργανισμών, όπως είναι τα Microsoft Word, Outlook, Chrome κ.ά. Δεν θέλουμε να παρεμβαίνουμε στη λειτουργία τους, καθώς κάτι τέτοιο θα μπορούσε να προκαλέσει διαταραχές στην ευρύτερη λειτουργία της επιχείρησης.
2. Γκρίζα περιοχή ή «το κενό»
Αυτός ο τομέας αφορά στοιχεία που δεν είναι ξεκάθαρα καλοπροαίρετα ή κακοπροαίρετα και επομένως δεν είμαστε σε θέση να γνωρίζουμε αν πρέπει να τα αφήσουμε ή θα πρέπει να τα απαγορεύσουμε/ μπλοκάρουμε χωρίς περαιτέρω έρευνα χειροκίνητα.
Το EDR δημιουργήθηκε ακριβώς για αυτό το λόγο, για να διερευνά αυτή την γκρίζα περιοχή, αυτό «το κενό». Είναι πράγματι αυτά τα στοιχεία κακόβουλα ώστε να απαιτούν κάποια ενέργεια ή ανταπόκριση όπως η απομόνωση των συσκευών που έχουν προσβληθεί ή ο καθαρισμός τους; Είναι δυνητικά ανεπιθύμητες εφαρμογές (PUA) ή μήπως είναι κάτι καλοπροαίρετο που μπορεί να αγνοηθεί;
Καθώς οι απειλές εξελίσσονται, πολλές γίνονται όλο και λιγότερο ανιχνεύσιμες (είναι stealthier), χρησιμοποιώντας κάποιες ειδικές μεθόδους για να ξεγελούν τις λύσεις antivirus. Μία λύση EDR παρέχει στους οργανισμούς όλα τα εργαλεία που χρειάζονται για να ψάξουν για ύποπτους δείκτες παραβίασης (IOC, Indicators of Compromise) και να επισημάνουν τέτοιες αφανείς απειλές.
3. Κακοπροαίρετα
Τα κακοπροαίρετα αρχεία θα πρέπει να μπλοκάρονται άμεσα από ισχυρές άμυνες τερματικών συσκευών και διακομιστών. Τέτοια αρχεία καταδικάζονται ως κακόβουλα και δεν απαιτείται η ανθρώπινη αλληλεπίδραση. Δυστυχώς κάποια εργαλεία EDR αποτυγχάνουν σε αυτό το σημείο, αφήνοντας το malware να ξεγλιστρήσει την ώρα που έπρεπε να είχε μπλοκαριστεί. Αυτό οφείλεται στο γεγονός ότι τα δυνατά τους σημεία εντοπίζονται στην μετά το συμβάν ανίχνευση, παρά στην προληπτική προστασία τους.
Τι να κοιτάξετε σε μία λύση EDR
Τα εργαλεία EDR μπορούν να διαφέρουν ποικιλοτρόπως όσον αφορά στο πόσο λεπτομερή ανάλυση πραγματοποιούν και πόσο εύχρηστα είναι. Τα βασικά ερωτήματα που πρέπει να τεθούν κατά την αξιολόγηση μίας λύσης EDR είναι:
- Χρειάζονται πρόσθετοι πόροι ή μπορείτε να αποκομίσετε αξία από τη λύση EDR με την τρέχουσα ομάδα σας;
- Σας βοηθά να θέσετε προτεραιότητες στο διαθέσιμο χρόνο σας, δείχνοντάς σας τα πιο ύποπτα στοιχεία;
- Μπορείτε να δείτε πώς έφτασε η πιθανή απειλή και με τι αλληλοεπίδρασε;
- Λαμβάνετε πληροφορίες σχετικά με το ύποπτο στοιχείο, όπως από τη μηχανική εκμάθηση ή από ειδικούς στην κυβερνοασφάλεια;
- Είναι εύκολο να αναλάβετε δράση όταν έχετε λάβει μια απόφαση; Για παράδειγμα, να αποκλείσετε μια απειλή ή να απομονώσετε μια συσκευή;
Διαβάστε το whitepaper της Sophos, «Top 5 Reasons You Need EDR»για να μάθετε περισσότερες λεπτομέρειες για το EDR και για ποιους λόγους έγινε μία αναγκαιότητα για τους περισσότερους οργανισμούς. Στη συνέχεια, ρίξτε μια ματιά στο Sophos Intercept X with EDR που συνδυάζει την κορυφαία προστασία της βιομηχανίας με ισχυρές, και απλές στην χρήση, δυνατότητες EDR.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.