EDR umí zablokovat útoky hackerů

Detekce a reakce koncových bodů (EDR) je kategorie bezpečnostních nástrojů, které monitorují hardwarová zařízení koncových uživatelů v celé síti, detekují řadu podezřelých aktivit a chování a reagují automaticky zablokováním rozpoznaných hrozeb a uložením forenzních dat pro další šetření.

Platforma EDR kombinuje hloubkovou viditelnost všeho, co se děje v koncovém zařízení – procesy, změny knihoven DLL a nastavení registru, souborové a síťové aktivity – s agregací dat a analytickými schopnostmi, které umožňují rozpoznat hrozby a čelit jim buď s využitím automatizovaných procesů, nebo lidského zásahu.

Koncový bodzde obecně znamená jakékoli zařízení koncového uživatele, počínaje notebooky až po chytré telefony a zařízení IoT.

Za první uznání kategorie EDR se široce přijímá zmínka v blogovém příspěvku z roku 2013 od Antona Chuvakina, analytika společnosti Gartner, který se snažil přijít s „obecným pojmenováním pro nástroje zaměřené především na detekci a vyšetřování podezřelých aktivit (a jejich stop) v hostitelských počítačích, resp. koncových bodech“.

Použil frázi detekce hrozeb a reakce koncových bodů (endpoint threat detection and response), ale uchytila se stručnější podoba detekce a reakce koncových bodů (endpoint detection and response).

EDR vs. antivirus

Dobrým způsobem, jak porozumět kategorii EDR, je prozkoumat, co ji odlišuje od ostatních podobných nabídek. EDR se často srovnává s antivirovými programy a s platformami pro ochranu koncových bodů (EPP, Endpoint Protection Platform), které jsou zastřešující nabídkou integrující schopnosti antiviru/antimalwaru s ostatními známými bezpečnostními nástroji – šifrováním dat, firewally, systémy prevence narušení (IPS) atd.

Nástroje tvořící EPP mívají preventivní charakter a jsou založené na signaturách, což znamená, že srovnávají potenciální hrozby s databází známých škodlivých kódů, aby zastavily útoky předtím, než dojde ke spuštění.

S rostoucí hbitostí hrozeb začíná být tento druh obrany, který závisí na statické knihovně známých hrozeb a pevném perimetru obrany, méně efektivní – a právě zde přichází EDR.

Všechny akce probíhající v koncových bodech – od konfiguračních změn přes spouštění a ukončování procesů až po přístup k souborům, jejich kopírování a exfiltraci – bývají součástí aktivit hackerů. Platformy EDR se snaží zajistit, aby bezpečnostní personál na vše dobře viděl, a nabízejí určitý stupeň automatické reakce.

A jak to funguje v praxi? Platformy EDR obecně sestávají z agentů nainstalovaných v koncových zařízeních. Tito agenti monitorují činnosti a odesílají informace zpět centrálnímu serveru, který může být ve vlastní infrastruktuře, nebo v cloudu.

Tento server může automaticky detekovat problémy a může dojít k pokusu o vyřešení nebo k upozornění pracovníka zabezpečení. Informace jsou také prostřednictvím informačních panelů zpřístupňovány týmům zabezpečení informací.

Případy použití EDR

V jakém typu scénářů bude EDR skutečně zářit? Typický případ použití EDR by byl scénář, kdy aktivní hrozba probíhá v koncovém bodě ve více různých formách a spíše se sledují vzorce chování než jednodušší signály jako konkrétní virus nebo prolomení firewallu.

Například útočníci, kteří ukradnou platné přihlašovací údaje prostřednictvím phishingového útoku, se mohou normálně přihlásit do systému, aniž to spustí jakékoli alarmy, a nepotřebují k tomu žádný malware.

Zpočátku by tak měli v koncovém bodě volnou ruku, ale jejich následné aktivity, jako snaha o zvýšení oprávnění nebo horizontální přesun do dalších systémů, by byly dobrým systémem EDR označeny, nebo by zanechaly stopy v datech, které by mohl přezkoumat člověk – pracovník zabezpečení informací.

V blogovém příspěvku z roku 2016 uvádí Chuvakin z Gartneru nejvyšší úroveň případů použití EDR:

• Detekce podezřelých aktivit (D v EDR)
• Pomoc a automatizace prohledávání a zkoumání dat (R v EDR)
• Stanovení priorit potenciálně podezřelých aktivit
• Zkoumání dat a hledání hrozeb
• Automatické blokování a zadržení škodlivé aktivity

Schopnosti EDR

Platformy EDR musejí zajišťovat mnoho specifických aktivit, ale stejně jako u mnoha širokých kategorií produktů neexistuje jeden všeobecně uznávaný seznam funkcí EDR. Podívali jsme se na nabídky různých dodavatelů včetně společností Digital Guardian, Cybereason a Carbon Black a na příspěvek společnosti Gartner, který to vše začal, a dali jsme dohromady seznam některých nejčastěji nabízených schopností EDR.

• Detekce podezřelých aktivit je jádrem toho, co EDR dělá: chcete vědět, když se něco děje špatně.
• Pokročilé blokování hrozeb pracuje na omezování hrozeb, jakmile dojde k jejich detekci.
• Stanovení priorit a filtrování varování je důležité pro ochranu týmu zabezpečení informací před únavou z varování. Řešení EDR by mělo dokázat seřadit potenciální varovné příznaky a eskalaci použít jen v případě, že by něco skutečně vyžadovalo pozornost člověka.
• Ochrana před vícenásobnými hrozbami – schopnost, například odrazit ransomware a malware najednou, je potřebná, aby se zabránilo pokročilým útokům, které mohou přijít ve vlnách.
• Hledání hrozeb a reakce na incidenty – schopnosti pomáhající personálu zabezpečení při procházení forenzních dat a hledání potenciálních útoků.
• Viditelnost je klíčová pro všechny výše uvedené schopnosti. Platforma EDR musí vidět do všech koncových bodů a jejich propojení, aby mohla vysledovat podezřelé aktivity.
• Sjednocená data pomáhají platformě EDR chápat vše, co vidí. Informace se sbírají z různých zdrojů a vytvářejí ucelený obraz.
• Integrace s dalšími nástroji pomáhá rozšířit sílu EDR a zajistit, abyste za své peníze získali největší užitek: viditelnost a přístup k datům, který platforma EDR poskytuje, by měly být přínosem zvyšujícím efektivitu vašich současných bezpečnostních nástrojů. Platforma EDR by měla znásobovat sílu a dodavatelé jsou dychtiví kultivovat celé ekosystémy, které mohou pracovat s jejich nabídkami EDR.

Software a řešení EDR

Existuje celá řada dodavatelů nabízející na trhu platformy detekce a reakce koncových bodů. Tři z nich podrobněji testovala naše sesterská IDG:

• „CrowdStrike Falcon: Největší výhoda tohoto produktu je v tom, že mozek platformy je kompletně v cloudu, což mu zajišťuje neomezenou škálovatelnost, stejně jako masivní stopu uživatelů a podniků. Jakýkoliv útok proti chráněným koncovým bodům kdekoli v podniku, který Falcon chrání, je přínosnou informací pro ostatní koncové body, dokonce i pro takové, které se nacházejí v jiných firmách rovněž využívajících Falcon.
• SentinelOne zase dokáže nasadit výkonné agenty se schopnostmi pokročilé detekce a reakce do koncových bodů, kde dokážou zachytit hrozby v předních liniích. Každý agent je zcela nezávislý a je schopný jednat, i když je jím chráněný koncový bod odpojený od základní sítě a i když nemá vůbec žádnou konektivitu. Kromě nezávislého fungování každý agent shromažďuje podrobná forenzní data o jakýchkoli útocích i o pokusech o ně.
• Cynet 360: Každý agent Cynet 360 je zcela autonomní a je schopný podniknout vlastní akce sám. Tito agenti nainstalovaní v zařízení se však nechovají, jako by byli na ostrově a jen hlídali. Naopak – neustále komunikují s ostatními agenty v síti a sdílejí zpravodajské informace o tom, co našli v zařízení, kde se nacházejí. To jim pomáhá rychle rozhodnout, zda je útok ojedinělým případem, nebo je součástí masivního útoku napadajícího více uzlů současně. Mohou tak v případě potřeby přijmout vhodná opatření v rámci celé sítě.

Některé další nabídky zahrnují řešení:

• Symantec Endpoint Protection obsahující antivirus, ochranu před zneužitím paměti, technologii ochrany před podvody, síťový firewall zařízení, prevenci narušení a také EDR
• RSA NetWitness Endpoint je k dispozici jako fyzické i virtuální zařízení
• Cybereason Endpoint Detection and Response dokáže kombinovat data EDR s varováním nástrojů SIEM a firewallů
• FireEye Endpoint Security obsahuje agenta se čtyřmi detekčními stroji
• Carbon Black je ve vlastnictví společnosti VMware a poskytuje zabezpečení pro virtualizovaná datová centra

Mezi další zajímavá řešení v oblasti EDR patří například  Bitdefender GravityZone Ultra, Check Point SandBlast Agent, Cisco AMP for Endpoints/Threat Response,  Sophos Intercept X Advanced with EDR, Eset Enterprise Inspector, Kasperky Anti Targeted Attack Platform (KATA)/ Endpoint Detection and Response (KEDR), Palo Alto Cortex XDR či Microsoft Windows Defender Advanced Threat Protection.

Trh EDR

Trh EDR je již sám o sobě poměrně velký a dále roste. Portál Statista odhaduje, že trh s nástroji EDR bude mít koncem roku 2020 hodnotu 1,5 miliardy dolarů. Gartner si myslí, že se platforma EDR stane pro velké firmy nezbytnou: odhaduje, že v roce 2025 bude mít 70 % organizací s více než pěti tisíci koncovými body nasazen software EDR.

Je však potřebné pamatovat na to, že celý trh EDR je v některých aspektech pokusem zastřešit různé heterogenní kategorie, takže se bude stále vyvíjet.

Protože mnoho dodavatelů nabízí platformy EDR a EPP, a různé nástroje na každé platformě mohou spolupracovat, dochází k rozvoji obecnějšího trhu jednotné ochrany koncových bodů, který by mohl dosahovat více než sedmi miliard dolarů.

*****************

Nad rámec EDR

Jan Linhart

Pro detekci pokročilých hrozeb typu APT (Advanced Persistent Threats) se dosud používaly nástroje typu EDR (Endpoint Detection and Response), NTAD (Network Traffic Anomaly Detection) nebo UBA (User Behavior Analytics).

Z nich se dá získat množství zajímavých informací, ale udělat jejich dokonalou korelaci nebylo v silách ani toho nejlepšího řešení SIEM. V posledních dvou letech však došlo v oblasti ochrany před pokročilými hrozbami k ohromnému skoku kupředu.

Tento skok souvisí se vznikem nástrojů XDR (kde X značí jakoukoliv část IT/OT systému) a nástrojů AEP (Advanced Endpoint Protection), které díky svým schopnostem pomalu vytlačují tradiční antivirová a EPP řešení. 

XDR je totiž schopné sebrat data ze všech částí systémů nezávisle na tom, jestli jde o síťové toky, koncové body, chování uživatelů, nebo cloud. Na základě těchto dat pak pomocí strojového učení a umělé inteligence umožní odhalit potenciálního útočníka. Jakmile k takové detekci dojde, je možné útok okamžitě zastavit. 

Nezávislému testování nástrojů pro detekci pokročilých útoků se věnuje instituce Mitre, používající framework MITRE ATT&CK, který je následníkem klasického killchainu a  je v současné době již standardem.

Tato instituce dosud uskutečnila dva testy, konkrétně APT3 a APT29, kterých se účastnila celá řada zavedených výrobců EPP/EDR. V obou případech se na špičce v detekci útočných technik umístil nástroj Palo Alto Networks Cortex XDR.

Autor pracuje jako Security Team Leader ve firmě  H-Square ICT Solutions.