Na czym polega wykrywanie i reagowanie w punktach końcowych?
- Słownik IAM
- Na czym polega wykrywanie i reagowanie w punktach końcowych?
Wykrywanie i reagowanie w punktach końcowych (ang. Endpoint Detection and Response, EDR), znane również jako wykrywanie zagrożeń i reagowanie w punktach końcowych (ang. Endpoint Threat Detection and Response, ETDR), to zbiorczy termin określający rozwiązanie programowe, które stale monitoruje urządzenia końcowe, w tym komputery i laptopy użytkowników końcowych, serwery, urządzenia mobilne i urządzenia Internetu rzeczy (IoT), w celu gromadzenia i analizowania danych dotyczących zagrożeń oraz ostrzegania zespołów bezpieczeństwa o naruszeniach w czasie rzeczywistym.
Jak działa wykrywanie i reagowanie w punktach końcowych (EDR)?
Ponieważ EDR jest bardzo szerokim terminem, konkretne cechy i możliwości poszczególnych rozwiązań EDR różnią się znacznie w zależności od dostawcy, a nawet wdrożenia. Ogólnie rzecz biorąc, narzędzia do wykrywania i reagowania w punktach końcowych należą do jednej z trzech następujących kategorii:
- Dedykowana platforma EDR
- Zbiór mniejszych narzędzi, które używane razem wykonują wykrywanie i reagowanie w punktach końcowych
- Funkcja EDR, która jest wbudowana w inny produkt zabezpieczający, taki jak oprogramowanie antywirusowe nowej generacji. Niektórzy dostawcy systemów bezpieczeństwa i zarządzania zdarzeniami (SIEM) oferują EDR jako część swoich pakietów.
Rozwiązania EDR działają poprzez agregację telemetrii z urządzeń końcowych, w tym dzienników, szczegółów plików, uruchomionych procesów, monitorów wydajności i danych konfiguracyjnych, oraz ich analizę w celu wykrycia potencjalnych wzorców zagrożeń.
Najprostsze systemy EDR to narzędzia czysto ostrzegawcze. Gromadzą, analizują i wyświetlają dane, które mogą być przeglądane i wykorzystywane przez ludzi. Dane są zapisywane w centralnej bazie danych i zazwyczaj mogą być wprowadzane do rozwiązania SIEM.
Bardziej zaawansowane systemy EDR zawierają następujące funkcje:
- Zautomatyzowane mechanizmy reagowania, które mogą podjąć określone działania naprawcze w przypadku wykrycia zagrożenia, takie jak wylogowanie użytkownika końcowego, zatrzymanie zagrożonych procesów lub całkowite wyłączenie urządzenia końcowego.
- Narzędzia reagowania na zagrożenia, które pomagają pracownikom ochrony ludzkiej zrozumieć, co się dzieje, które urządzenia i systemy są dotknięte, jak zatrzymać atak i jak zapobiec przyszłym atakom.
- Uczenie maszynowe i funkcje analityczne obsługiwane przez sztuczną inteligencję, które wykorzystują analizę behawioralną w celu nadania kontekstu dla aktywności urządzenia oraz identyfikacji nowych i pojawiających się zagrożeń, w tym zagrożeń, które nie pasują do wstępnie skonfigurowanych reguł EDR. Może to obejmować mapowanie anomalnego zachowania przy użyciu bezpłatnej platformy MITRE ATT&CK, aby pomóc w wykrywaniu wzorców.
- Narzędzia dochodzeniowe, które pomagają pracownikom bezpieczeństwa ustalić harmonogramy, zidentyfikować odnośne systemy i zebrać dowody podczas reagowania na incydenty i analizy po włamaniu. Pracownicy bezpieczeństwa mogą również wykorzystywać narzędzia dochodzeniowe EDR do proaktywnego poszukiwania innych, niewykrytych zagrożeń w środowisku danych.
Znaczenie EDR
Systemy EDR zyskują na popularności ze względu na ogromny wzrost liczby urządzeń końcowych podłączanych do sieci organizacji, w tym komputerów i laptopów, a także telefonów i urządzeń IoT. Osoby atakujące postrzegają takie urządzenia jako „miękkie cele”, za pomocą których mogą włamać się do sieci, oraz wykorzystują do tego celu coraz bardziej wyrafinowane metody ataku i złośliwe oprogramowanie.
Narzędzia do wykrywania i reagowania w punktach końcowych są czasami mylone z rozwiązaniami antywirusowymi. Wiele systemów EDR jest dołączanych do oprogramowania antywirusowego lub wykorzystuje dane z bazy danych rozwiązania antywirusowego.
Jednak oprogramowanie antywirusowe chroni urządzenia końcowe tylko przed znanymi typami złośliwego oprogramowania, które są umieszczone w bazie danych produktu. Z kolei EDR wykorzystuje inteligentną analizę do wykrywania nowych i pojawiających się zagrożeń, w tym zagrożeń, których oprogramowanie antywirusowe nie jest w stanie wykryć, takich jak złośliwe oprogramowanie bez plików, ataki wykorzystujące skradzione poświadczenia, zaawansowane trwałe zagrożenia oraz złośliwe oprogramowanie, które jest tak nowe, że nie zostało jeszcze skatalogowane w żadnej bazie danych antywirusów.
Rozwiązania antywirusowe dostarczają użytkownikom jedynie podstawowe informacje, a mianowicie liczbę i rodzaj zablokowanych zagrożeń w danym okresie. Systemy EDR rejestrują dodatkowe, bardzo cenne dane kontekstowe o atakach, takie jak informacje o osobach atakujących, oraz ujawniają historyczne trendy, które organizacje mogą wykorzystać do tworzenia swojej strategii bezpieczeństwa.
Jak firmy korzystają z EDR
Oprócz wykrywania zagrożeń, które w przeciwnym razie ominęłyby rozwiązania antywirusowe i inne narzędzia bezpieczeństwa, systemy EDR przyspieszają reagowanie na incydenty, wspomagają działania łagodzące, zapewniają zespołom bezpieczeństwa pełny wgląd w zachowanie punktów końcowych w całym środowisku danych oraz umożliwiają proaktywne wykrywanie zagrożeń.
Kluczem do udanego wdrożenia EDR jest posiadanie personelu bezpieczeństwa, który odgrywa aktywną rolę w ochronie punktów końcowych. Oprócz śledzenia alertów EDR, organizacje muszą stosować solidną strategię zarządzania poprawkami, aby utrzymywać urządzenia końcowe w aktualnym stanie. Aktualizacje oprogramowania często zawierają ważne poprawki bezpieczeństwa, a zaniedbanie ich zastosowania w odpowiednim czasie może poważnie zagrozić bezpieczeństwu punktów końcowych.
Nieprawidłowa konfiguracja chmury to kolejny typowy problem, który może pogorszyć bezpieczeństwo punktów końcowych. Wgląd w konfiguracje punktów końcowych, jaki zapewniają rozwiązania EDR, pomaga zespołom IT i bezpieczeństwa zapobiegać błędnym ustawieniom chmury, a z kolei prawidłowo utrzymywane środowisko chmury zwiększa bezpieczeństwo punktów końcowych.