Nowy sposób na hakerów – technologia EDR

Bartosz Martyka
Bartosz Martyka - Redaktor naczelny Brandsit
4 min

Technologia EDR (Endpoint Detection and Response) wykrywająca cyberataki we wczesnej fazie ma być skuteczną bronią przeciw hakerom.

W ostatnim czasie jesteśmy świadkami coraz liczniejszych cyberataków. Wycieki danych dotyczą nawet wielkich korporacji. Poufne dane firm oraz ich klientów trafiają w niepowołane ręce. Wyrafinowane ataki, czasami nawet sponsorowane przez państwa, to  crème de la crème szkodliwego oprogramowania.  Antywirusy coraz słabiej radzą sobie z nasilającymi się  cyberatakami. Organizacje sięgają po inne produkty chroniące punkty końcowe – np. anti-exploity, a także wykorzystują technologie maszynowego uczenia. Niestety, hakerzy często omijają również tego typu zabezpieczenia.

Jedną z najnowszych technologii mających powstrzymać cyberprzestępców jest EDR. Jej założenia sprowadzają się do tego, że nie można zapobiec w 100 proc. wszystkim zagrożeniom. EDR koncentruje się na wykrywaniu incydentu na jego wczesnym etapie, kiedy hakerzy nie przedostali się do sieci i nie zdążyli dokonać szkód. To świeże podejście do ochrony danych. Gdzie i w jaki sposób można ją zastosować?

EDR dla wszystkich

Czy EDR może zastąpić inne rozwiązania przeznaczone do zabezpieczania punktów końcowych?

Absolutnie nie. To tak jakby skierować jednostkę GROM do walki z ulicznymi przestępcami.  Takie rozwiązanie byłoby kosztowne, a po drugie odwróciło uwagę od zagrożeń wymagających szczególnej uwagi – wyjaśnia Mariusz Politowicz – certyfikowany inżynier rozwiązań Bitdefender w Polsce.

Przedsiębiorcy próbują wdrażać pakiet różnych rozwiązań. Jednym ze sposobów jest umieszczenie  warstwy EDR przed antywirusami, a także narzędziami typu anti exploit i agentami zainstalowanymi na urządzeniach końcowych. Czasami taka metoda zdaje egzamin. Jednak zazwyczaj dotyczy to większych organizacji korzystających z SOC – operacyjnych systemów bezpieczeństwa. W innych przypadkach pojawiają się problemy związane z zarządzaniem złożonym środowiskiem, a tym samym wzrasta ryzyko podejmowania nieuzasadnionych decyzji o śledzeniu incydentów.

- Advertisement -

Specjaliści z Bitdefender znaleźli sposób, żeby wykorzystać technologię w mniejszych firmach, które nie posiadają zaawansowanych systemów przeznaczonych do zarządzania produktami bezpieczeństwa. Nie ulega wątpliowości, że EDR nie może działać bez wsparcia innych aplikacji chroniących sieć i zasoby organizacji.  Dlatego optymalną metodą jest podejście bazujące na stworzeniu kilku ścieżek, zawierających mechanizmy kontrolne i zapobiegawcze, takie jak  uczenie maszynowe czy monitoring  behawioralny we wstępnym cyklu obserwacji ataku. To pozwoli skoncentrować się systemowi EDR na bardziej efektywnym wyszukiwaniu anomalii i naruszeń bezpieczeństwa.

Innymi słowy, żeby wyprzedzić wyrafinowane i często nieuchwytne zagrożenia przechwytywane przez EDR, konieczna jest integracja rozwiązań przeznaczonych do prewencji, monitoringu i wykrywania incydentów – wyjaśnia Mariusz Politowicz –certyfikowany inżynier rozwiązań Bitdefender w Polsce.

Nowy system Bitdefendera

Firma opracowała platformę GravityZone XDR, która łączy bezobsługowe mechanizmy prewencji i kontroli z  wczesnym wykrywaniem i możliwością reakcji – wszystko dostępne za pośrednictwem jednej konsoli i agenta.  Bitdefender promuje swój produkt jako „EDR dla wszystkich”

GravityZone XDR, będąca część pakietu GravityZone Ultra,  bazuje na zintegrowanym podejściu do ochrony punktów końcowych.

Prewencja:  blokuje wszystkie znane zagrożenia i znaczny procent tych nieznanych w warstwie wykonawczej, dzięki temu silnik EDR nie jest niepotrzebnie absorbowany przez  alerty  o incydentach.

Wykrywanie: proces wspierany przez wbudowaną inteligencję pochodzącą z silnika detekcji zagrożeń oraz analizy zdarzeń behawioralnych.

Dochodzenie: proces wspomagają kontekstowe informacje o wykrytej klasy zagrożeń (za pomocą wbudowanej inteligencji), przyczynach wykrycia ( za pomocą narzędzi do analityki zagrożeń) i ostateczny werdykt (zintegrowany sandbox)

Odpowiedź: system wykorzystuje kompleksową warstwę zarządzania,  dzięki czemu można podjąć natychmiastowe działania zaradcze w całym przedsiębiorstwie.

Rozwój: system uczy się na podstawie wykrytych ataków i wykorzystują swoją inteligencję w celach przyszłej profilaktyki.

Udostępnij
Leave a comment

Dodaj komentarz

- REKLAMA -