Źle wdrożone EDR może nawet obniżyć poziom bezpieczeństwa

Średnio około 82 proc. specjalistów ds. bezpieczeństwa z Europy i USA uznało, że podstawowe znaczenie w niwelowaniu skutków cyberataku ma czas reakcji. Najwięcej takich głosów pochodzi z Włoch, USA, Francji i Wielkiej Brytanii. Według opinii szefów działów bezpieczeństwa, czas ma istotne znaczenie przy:

• identyfikacji incydentu i czynnościach zapobiegających jego eskalacji (68 proc.)
• analizowaniu sposobu dokonania ataku (55 proc.)
• ocenie strat i skutków ataku (51 proc.).

Opóźniona reakcja na incydent cybernetyczny może również utrudnić:

• precyzyjne określenie czasu (w którym atak się rozpoczął) i ram czasowych całego incydentu (30 proc.)
• zrozumienie motywacji hakera (19 proc.)
• ulepszenie procedur reagowania na następne możliwe incydenty (17 proc.).

Wśród najważniejszych czynników mających wpływ na podwyższenie bezpieczeństwa cybernetycznego firmy, na drugim miejscu – tuż za poprawą ochrony danych (51 proc.) – wymieniany jest czas potrzebny do wykrycia incydentu i zareagowania na zdarzenie (prawie połowa ankietowanych).

Należy jednak mieć świadomość, że algorytmy EDR nie uwzględniają priorytetów zagrożeń i mogą często wzbudzać fałszywe alarmy o trywialnych bądź nieistotnych zagrożeniach. Takie sytuacje mogą nadmiernie angażować personel IT zajmujący się bezpieczeństwem sieciowym i prowadzić do spowolnienia procesu wykrywania rzeczywistych zagrożeń.

Generowane przez EDR alarmy powinny być poddawane wnikliwej analizie która wyodrębni te zdarzenia, które są istotne dla bezpieczeństwa infrastruktury IT. Tradycyjne narzędzia EDR mogą wydawać się pomocne dla zapewnienia bezpieczeństwa cybernetycznego, jednak w przypadku braku dodatkowej analizy przez wysokokwalifikowanych specjalistów ds. bezpieczeństwa, nie podniosą w znaczącym stopniu poziomu bezpieczeństwa organizacji, a w skrajnym przypadku nawet ten poziom obniżą –   komentuje Błażej Pilecki, Bitdefender Product Manager z firmy Marken.

W przeciwdziałaniu procederowi naruszania danych podstawowe znaczenie ma szybkość reakcji. Główną zaletą istotnych alarmów EDR jest to, że prowadzą do wczesnego wykrycia zagrożenia i szybkiego rozpoczęcia przeciwdziałań.

Szybkie wykrywanie naruszenia bezpieczeństwa ma podstawowe znaczenie dla organizacji. Umożliwia natychmiastowe uruchomienie procedur reagowania na incydenty i w rezultacie tłumienie ich w zarodku i w konsekwencji uniknięcie strat finansowych. – mówi Liviu Arsene, Analityk Globalnego Bezpieczeństwa Cybernetycznego z Bitdefender.

W sytuacji spóźnionej reakcji, szkody spowodowane naruszeniem bezpieczeństwa danych mogą eskalować, powodując znacznie większe straty w infrastrukturze organizacji. Niepowodzenie w detekcji zagrożenia natychmiast po jego wystąpieniu może doprowadzić do kompletnego załamania infrastruktury, nieodwracalnej utraty danych i reperkusji finansowych, po których część firm nigdy nie zdoła się podnieść

Ataki cybernetyczne są coraz bardziej wyrafinowane i zaawansowane technologicznie, ich częstość i skala ciągle rosną. Natomiast organizacje, w swoich staraniach o bezpieczeństwo cybernetyczne, nadal postępują zgodnie ze schematem ustaw-i-zapomnij (ang. set it and forget it). Oznacza to, że wprawdzie wprowadzane są narzędzia (mechanizmy) bezpieczeństwa, ale potem zaniedbuje się konieczności ich stałego nadzoru i uaktualniania; jak również ciągłego dostosowywania scenariusza postępowania (w przypadku zagrożenia) do nieustannie zmieniającego się otoczenia. Najskuteczniejszym sposobem ochrony bezpieczeństwa jest zastosowanie modelu warstwowego, wspieranego przez nową generację narzędzi typu wykryj-i-zareaguj, które precyzyjnie przechwycą potencjalne próby naruszenia danych, jeżeli takie się pojawią. Opierając się na wynikach ankiety można podsumować, że przedsiębiorstwa nie mogą sobie pozwolić na brak odpowiednich narzędzi nadzorujących ich bezpieczeństwo cybernetyczne, a w konsekwencji również – bezpieczeństwo ich biznesu.