EDR-trend: a szimpla végpontvédelem többé már nem elég
Az elmúlt években drámai változásokat tapasztalhattunk a kiberfenyegetések területén, többek között az új, korábban ismeretlen fenyegetések, a fájlnélküli támadások, a zsarolóvírusok és a kriptobányászok miatt. Különösen a vállalatokat érő célzott támadások jelentenek egyre növekvő veszélyt. Aki itt nem ura a helyzetnek, az nem tudja azonnal elemezni és blokkolni a támadásokat, sem pedig elhárítani a következményes károkat.
Általános alapvetés, hogy egyetlen vállalat sem lehet olyan kicsi, hogy ne legyen kitéve a kiberbűnözők által elkövetett támadások veszélyének. Az egyik legnagyobb kihívás, hogy a kis- és középvállalkozások sokszor nem is tudják pontosan, hogy milyen fenyegetéseknek vannak kitéve, miközben sok esetben csak erősen korlátozott kibervédelmi erőforrásokkal és szakembergárdával rendelkeznek, ami megnehezíti számukra a komplex fenyegetések kezelését. Az egyszerű végpontvédelem egy ponton túl már nem elégséges - vélik a Kasperskynél.
Általánosságban elmondható, hogy a telepített biztonsági szoftvernek átfogó védelmet kell biztosítania (az összes végpont és szerver számára, legyenek azok akár Windows-, akár Mac-, akár Android- vagy Linux-alapúak), de ugyanakkor intuitívan használhatónak is kell lennie. A kiberbűnözők már azóta képesek a hashek szisztematikus módosítására és a karakterláncok titkosítására, amióta a rosszindulatú programok kitalálói könnyedén ki tudják játszani az aláírás-alapú észlelést és a bináris olvasókat.
PROAKTÍV VÉDELEMRE VAN SZÜKSÉG
Ráadásul egyre többször használnak olyan speciális memóriaalapú rosszindulatú programokat, amelyek nem hagynak nyomot a merevlemezen és csak a memóriában aktívak. Az ilyen támadásokat ezért aztán a hagyományos biztonsági megoldások általában nem is észlelik. Következésképpen már nem elegendő „csak” a fenyegetések blokkolása a végponton – amennyiben ez egyáltalán lehetséges. A vállalkozásoknak ma már olyan eszközökre van szükségük, amelyek lehetővé teszik számukra a legújabb és legkifinomultabb fenyegetések észlelését és azok elhárítását.
A végpontvédelem és válaszadás (EDR) egy olyan kiberbiztonsági technológia, amely kielégíti a valósidejű megfigyelés igényét, és a végpontelemzésre, valamint az incidenselhárításra fókuszál. Az EDR egyetlen központi kezelőfelületről vezérelve átfogó rálátást biztosít az infrastruktúra minden végpontjának tevékenységére, emellett értékes biztonsági adatfolyamokkal is szolgál, amelyek alapján az informatikai biztonsági szakemberek további vizsgálatokat és elhárítást végezhetnek.
Az EDR proaktívan észleli az új és ismeretlen fenyegetéseket, valamint a korábban nem azonosított fertőzéseket, amelyek a végpontokon és a szervereken keresztül hatolnak be a szervezetek rendszereibe. Mindez a korábban hozzá nem rendelt, „megbízható” vagy „határozottan kártékony” kategóriába nem besorolható események elemzésével történik. Az EDR segítségével a nulladik napi és az APT-támadásokban alkalmazott ismeretlen rosszindulatú programok is észlelhetők a különféle fejlett észlelési technológiákkal, mint például a YARA, az IoC-vizsgálat (IoC = behatolásra utaló jelek), vagy a dinamikus gépi tanulásra épülő eseménykorrelációs visszamenőleges elemzés.
A Kaspersky EDR Optimum többféle elhárítási opciót kínál a fenyegetések kiküszöböléséhez, például izolál egy potenciális malware-rel fertőzött végpontot, vagy karanténba helyez egy gyanús fájlt. Annak érdekében, hogy a fenyegetés ne terjedjen át más gépekre, a biztonsági szakemberek könnyen és gyorsan hozhatnak létre rendszerbe történő behatolásra utaló IoC-ket (behatolásra utaló jeleket) anélkül, hogy be kellene ütemezniük a végpontok automatikus ellenőrzését a kártékony objektumok keresése érdekében. Ezen túlmenően a megoldás a harmadik felek IOC-inak feltöltését és az érintett végpont azonosítására irányuló vizsgálatok lefuttatását is lehetővé teszi.
KILÁTÁSOK: FELÜGYELT ÉSZLELÉS ÉS ELHÁRÍTÁS
Az EDR-megoldások jövőbeli elfogadottsága nagy mértékben függ majd a gyártóktól és attól, hogy mennyire tudják automatizálni az elemzést, az információnyújtást és az elhárítást, és hogy mennyire tudják ezeket emberi beavatkozás nélkül reprodukálni. Az EDR fontos lehetőséget jelent, különösen a középvállalkozások számára. Mivel ezekre a vállalkozásokra különösen jellemző a képzett szakemberek hiánya, ami miatt nem tudják a kiberbiztonsági terület minden részét házon belüli biztonsági szakemberekkel lefedni, ezért számukra a felügyelt biztonsági szolgáltatásként igénybe vett EDR-megoldások (MDR = felügyelt észlelés és elhárítás) jelenthetnek gyógyírt.
Ebben a modellben a vállalatok a végpontbiztonság felügyeletét erre szakosodott szolgáltatások nyújtásával foglalkozó külső szolgáltatókhoz helyezik ki, így a házon belüli informatikai részleg a vállalati biztonság beáldozása nélkül koncentrálhat az alaptevékenységeire. Ez természetesen a vállalat kiberbiztonsági helyzetét is javítja. Minél jobb ugyanis a védelem, annál több ideje és erőforrása marad a szakembereknek a kihívást jelentő támadásokkal való megbirkózásra.
[A Kaspersky megbízásából készített, fizetett anyag.]