Všichni jsme nejspíš viděli titulky v tisku ohledně bezpečnostních incidentů a úniků důvěrných firemních nebo zákaznických dat u velkých renomovaných firem. Občas dokonce jde o sofistikované, nepřátelským státem sponzorované útoky a pokročilý malware, které lze jen velmi těžko odhalit tradičními bezpečnostními produkty stavěnými na signaturách.
Dnes jsou samozřejmě používány i další modernější vrstvy ochrany jako třeba antiexploit a nastavitelné algoritmy strojového učení za účelem uzavření mezery v preventivní ochraně, ale i přesto se těmto extrémně sofistikovaným útokům daří překonávat tyto modernější obranné mechanismy. Nyní vstupuje do hry nová technologie – Endpoint Detection and Response neboli EDR, která se objevila díky fundamentálně jinému logickému úsudku, že prostě nelze 100% zabránit všem možným hrozbám či útokům.
A proto se EDR soustředí na brzkou detekci hrozeb, zkrácení doby nákazy, zamezení dalšímu šíření a minimalizaci všech souvisejících škod. Toto je zcela jiný, osvěžující a pragmatičtější přístup, ale musíme si ujasnit, jak to může fungovat v reálném světě.
EDR v reálu
Může EDR nahradit všechna bezpečnostní řešení, která jsme používali doposud? Jednoznačně nemůže. To by bylo, jako byste použili vaše elitní jednotky na boj proti běžné pouliční kriminalitě. Nejenže by to bylo velmi nákladné, ale navíc by to odpoutávalo pozornost od opravdových hrozeb, kde je použití elitních jednotek nezbytné. Měli bychom tedy na sebe vrstvit zmateně sofistikované agenty ochrany od různých výrobců specializovaných na jednotlivé disciplíny či vrstvy ochrany? Některým organizacím s dobře zásobeným odborným SOC personálem by se to sice mohlo podařit, ovšem tento přístup není pro každého schůdný a udržitelný. Použití vícero agentů na jednom koncovém bodu přitom zvyšuje celkovou náročnost správy, zvyšuje také riziko konfliktů mezi různými agenty a vede často ke zpomalení koncových bodů. Navíc typicky „hlučné“ EDR v kombinaci s přetíženými IT týmy, kterým chybějí lidské zdroje, to vede k ignorování hlášek a důležitých upozornění, následně pak k zařazení aplikací do výjimek „whitelistu“, což vede dále ke zkompromitování sítě a také ke znehodnocení investic do celého EDR řešení.
EDR pro každého
Ovšem existuje i lepší cesta, která umožňuje širší a schůdnější nasazení EDR v rámci zabezpečení koncových bodů, a to nejen pro „bohaté“ organizace, které mají SOC s velkým finančním a personálním zázemím. EDR by se nemělo dostat do pozice, kdy je ponecháno napospas, bez dostatečné pozornosti kvalifikovaného personálu. Ovšem pokud použijeme princip obranného trychtýře, přičemž nejprve použijeme všeobecnější prvky masovější preventivní ochrany na počátku monitorovacího cyklu útoku (viz obrázek), následně pak použijeme pokročilé metody jako strojové učení a behaviorální analýzu, a teprve až nakonec nasadíme EDR. Docílíme tím vyšší přesnosti a účinnosti při investigaci incidentů. Pokud je EDR součástí jednotného řešení, tak to umožní kvůli přesnějším rozhodnutím IOC navíc školit preventivní vrstvy ochrany, čímž se zpětně zvyšuje budoucí účinnost ochranných vrstev již v prvotní fázi detekce před spuštěním. Proto abychom si mohli poradit se sofistikovanými a těžce polapitelnými útoky, a zároveň abychom mohli KAŽDÉMU pomoci získat výhody plynoucí z EDR, potřebujeme nasadit plně prointegrované řešení se všemi funkcemi prevence, investigace, detekce a reakce v jednom agentovi. Tento přístup umožňuje redukci nepotřebného „hluku“ z falešných poplachů nebo triviálních hrozeb a pomáhá EDR vrstvě soustředit se na ty opravdu nebezpečné útoky.
Bitdefender GravityZone XDR (obsahuje Gravity Zone Ultra Suite)
My jsme postavili naše řešení bezpečnosti koncových bodů na bázi výše zobrazené vize „EDR pro každého“. Jsme pyšní na to, že vám dnes můžeme představit nové vydání GravityZone XDR – bezpečnostní platformy Bitdefenderu pro koncové body, která kombinuje všechny její vlastní bezsignaturové prvky detekce před spuštěním, a zároveň s prvky detekce během spuštění dohromady s funkcí EDR pro včasnou detekci, reakci a následné provedení nápravy. Vše je dostupné v jednom agentovi a z jednotné konzole správy. Nová verze je dostupná v češtině. Více informací včetně demo videa naleznete na Bitdef.cz.