- label Kyberbezpečnost
- remove_red_eye 459 zobrazení
Nástroje kybernetické bezpečnosti mají tendenci být roztříštěné, protože pravděpodobně jednáte s více dodavateli, smlouvami, fakturačními metrikami a dalšími. Tato nesouvislost může ve vašich systémech vytvářet bezpečnostní mezery, které lze zneužít. Navíc útoky bez souborů nebo pokročilé perzistentní hrozby (APTS) jsou stále běžnější a mohou poškodit sítě organizace.
Nástroje založené na signaturách (klasický antivirus - AV) jsou nezbytné, ale nedostatečné, protože všechny kromě nejzákladnějších útoků nyní zahrnují obfuskační a vyhýbací techniky. AV nové generace – strojové učení a detekce založená na chování – je nyní naprosté minimum. Řešení pro detekci a odezvu koncových bodů, neboli EDR, mohou poskytnout lepší viditelnost chování a možnosti vyšetřování jakékoli hraniční aktivity koncového bodu.
Vzhledem k tomu, že útoky směřují dolů v obchodním řetězci, je EDR stále více vyžadováno i pro menší společnosti na základě jejich rizikového profilu. Protože však proveditelnost útoku roste exponenciálně na základě schopnosti člověka bránit se před útokem, lídři kybernetické bezpečnosti by neměli EDR považovat za další nástroj, který si poradí bez integrace s jinými technologiemi koncových bodů – jak je tomu často u AV, oprav a správy zranitelností, detekce narušení sítě a zabezpečení DNS.
Řešení EDR mohou poskytnout čtyři hlavní funkce
Hlavní výhody EDR zahrnují následující:
- Prevence útoků: Blokování bezpečnostních incidentů na koncových bodech sítě a zabránění jejich šíření po celé síti.
- Reakce na incidenty: Řešení EDR poskytují funkce reakce na incidenty, jako je stanovení priorit a vyšetřování, které mohou vašemu bezpečnostnímu týmu pomoci rychleji reagovat na útoky.
- Pokročilá detekce hrozeb: Software EDR dokáže detekovat anomálie na koncových bodech a škodlivou aktivitu v síti. Kromě toho poskytuje více než jen hledání souborového malwaru.
- Vyšetřování incidentů: EDR usnadňuje forenzní vyšetřování incidentů tím, že vytváří jedno centrální úložiště dat o koncových bodech a připravuje je pro analýzu.
Zabezpečení koncových bodů (včetně EDR) je předposlední obrannou linií, nasazenou po dřívějších vrstvách zabezpečení, jako je síť a e-mail, ale dříve, než do tohoto systému vstoupí koncoví uživatelé. V důsledku toho musí všechny tyto vrstvy spolupracovat na obraně proti hrozbám a využívat techniky, jako je strojové učení a odbornost koncových uživatelů s používáním školení v oblasti povědomí o bezpečnosti.
Každá organizace musí mít ochranu on-the-go, což znamená plně nezávislou ochranu na všech koncových bodech. To by mělo být podpořeno cloudovou telemetrií, analytikou a správou. Z pohledu koncového uživatele by tato ochrana měla být nezávislá na tom, zda je v síti nebo mimo ni. Z pohledu IT týmu musí být vzdálené koncové body monitorovány, spravovány a plně přístupné, stejně jako on-premise koncové body.
Co by IT mělo vyhledávat
Hledejte dodavatele, kteří poskytují sadu bezpečnostních řešení pokrývajících širokou škálu bezpečnostních potřeb se zaměřením na „cyber kill-chain“ typických vzorců útoků: phishing prostřednictvím e-mailu a pokus o kompromitaci koncového bodu a zneužívání důvěry uživatelů k získání přístupu. Ochrana e-mailu, webu, sítě a koncových bodů je nezbytná, stejně jako školení koncových uživatelů, informace o hrozbách, správa identit a zálohování. I když žádný prodejce nemůže poskytnout vše, konsolidace je obecně pozitivní.
Kromě toho si dávejte pozor na dodavatele, kteří poskytují širokou sadu funkcí, z nichž některé jsou špatně provedeny. Všechny komponenty v sadě by měly být vysoce kvalitní a měli byste si dávat pozor na příliš nákladné dodavatele, kteří si účtují četné doplňky. A konečně, vyúčtování by mělo být jasné a transparentní.
Úplná viditelnost znamená silnější ochranu koncových bodů
Chraňte koncové body před hackery, aniž byste jim poskytli bránu do vaší podnikové sítě. Mezi rizika patří mezery vzniklé špatnou výchozí konfigurací a matoucími možnostmi, další zátěž pro tým IT, nízká kvalita produktu (nedostatečná účinnost detekce a neefektivní provoz) a nedostatečná integrace se souvisejícími řešeními.
Jakékoli řešení koncového bodu – ať už tradiční AV nebo EDR – by mělo podporovat operaci plně nastavit a zapomenout: mělo by blokovat téměř všechny hrozby s minimálním nastavením a konfigurací. Když jsou odhaleny hrozby, vyšetřování by se mělo zaměřit na analýzu hlavních příčin a budoucí posílení systému s relevantními a použitelnými daty zobrazenými praktickými a informativními způsoby. Zároveň se chcete vyhnout vytváření další práce s údržbou definic, podpisů a aktualizací.
Základní účinnost produktu by měla být ověřitelná nezávislými testovacími agenturami, jako jsou AV Comparatives a AV Test. Dejte si pozor na stránky s náhodnými recenzemi a testery typu „pay to play“, kteří mohou vykazovat vědomé nebo nevědomé zaujatosti. EDR poskytuje přehled o aktivitách koncových bodů v reálném čase tím, že detekuje škodlivé chování, reaguje na hrozby a zaznamenává data koncových bodů. Existuje předpoklad, že se člověk bude dívat na výsledky určitých druhů hrozeb. Proto kromě účinnosti detekce musí být výsledky vyšetřování použitelné, spolehlivé a transparentní s vysokou kvalitou.
Vysoce kvalitní řešení pro koncové body nevyřeší problém se zabezpečením, pokud musí IT pracovníci nezávisle monitorovat a spravovat několik dalších koncových produktů současně. Mnoho funkcí zabezpečení koncových bodů by mělo spolupracovat při blokování a vyšetřování hrozeb. Tradiční AV, next-gen AV a EDR funkce lze nyní nalézt v jediném balíčku, aby se předešlo zmatkům a konfliktům. Ochrana sítě a DNS musí být plně integrována, protože mnoho hrozeb se šíří vzduchem. Zvažte integrovanou správu zranitelnosti a záplat, abyste zpevnili systémy a proaktivně reagovali na vyšetřování EDR.
Jak uvádí Gartner Hype Cycle for Endpoint Security, tyto problémy jsou zásadní. Například uvádí, že útočníci ransomwaru se vyvinuli od používání jednoduchých automatizovaných technik k vysoce organizovaným kampaním řízeným lidmi s cílem získat z obětí maximální výkupné. Z tohoto důvodu je pro vedoucí pracovníky v oblasti řízení rizik klíčové, aby korelovali data z koncového bodu a mnoha dalších bezpečnostních bodů, aby podpořili vyhledávání hrozeb.
Gartner dále nazývá EDR „nový typ bezpečnostní technologie“, která pomáhá zkrátit dobu odezvy. Řešení EDR pomáhají společnostem rychle a v reálném čase odhalit hrozby a reagovat na ně – hrozby, které obešly vaše EPP nebo jiné bezpečnostní nástroje. EDR v podstatě poskytuje mimořádně rychlý přístup k informacím o útoku.
Co doporučuje Scenario
Co se týče EDR řešení je velké množství produktů na výběr od řady výrobců, mezi které patří například Sophos, Bitdefender, Trellix (bývalé McAfee), ESET a další. Nejdůležitější u těchto produktů je, aby EDR co nejlépe splňovalo požadavky a limity Vaší firmy.
Vždy platí pravidlo, že pouhé zakopení řešení EDR není zdaleka dostačující pro plné využití této ochrany - s řešením každého výše zmíněného výrobce je nutná spolupráce administrátorů, kteří musí mít povědomí nejen o procesech a používaných aplikacích v síti, ale také vědět, jak s EDR zacházet. V tomto ohledu většina malých firem není schopna plného využití EDR, ale i k tomuto je řešení: Většina Výrobců nabízí službu správy těcho řešení zákazníkovi - zákazník nemusí tedy investovat do SOC (Security Operations Center), ale nakoupí si službu MDR (Managed Detection and Response) a správu přenechá částečně, nebo úplně na výrobci.
Další otázkou je možnost správy v cloudu, nebo on-premise. Některá řešení jako Sophos nabízí pouze cloudovou správu, zatímco řešení jako Bitdefender a ESET nabízí možnost výběru z obou možností.
V případě jakýchkoliv dotazů ohledně antivirů a jiných komponent kybernetické bezpečnosti mě můžete kontaktovat - technika antivirů Bitdefender a ESET:
Ondřej Strachota | strachota@scenario.cz | +420 602 111 071
Autor původního článku: David Corlette
Překlad: Ondřej Strachota
