Endpoint Detection and Response (EDR) - narzędzie, które ochroni Twoją sieć przed współczesnymi zagrożeniami
Nie podlega wątpliwości, że posiadanie systemu klasy EDR to dzisiaj konieczność. Dobrze skonfigurowany EDR pozwala namierzyć i odpowiednio wcześnie zareagować na anomalie, które pojawiają się na firmowych komputerach, a które nie zostały wykryte przez oprogramowanie antywirusowe. Niestety brak informacji, które mógłby przekazać system EDR często doprowadza do przeprowadzenia skutecznego ataku i paraliżu całej organizacji. Zatem pytanie, które powinno paść, to nie to Czy potrzebujemy systemu EDR? Ale Jaki EDR będzie odpowiedni dla mojej organizacji?
Tradycyjne systemy EDR - jak działają?
Klasyczne (tradycyjne) systemy EDR są obecne na rynku od wielu lat i pozwalają na śledzenie aktywności systemu operacyjnego, na którym są zainstalowani dedykowani agenci. Zazwyczaj śledzenie aktywności odbywa się w sposób ciągły, strumieniując dane do chmury lub lokalnych zasobów, na których przechowywane są logi. Przesyłane dane zawierają wszystkie informacje dotyczące tego, co na chronionym systemie się dzieje, a więc ilość przekazywanych informacji jest ogromna co skutkuje realnym obciążeniem dla sieci i ogromną zajętością dysków, na których dane te są przechowywane. Z jednej strony każda informacja może być istotna. Z drugiej jednak, szum spowodowany taką ilością danych, powoduje, że może upłynąć sporo czasu, zanim ważna z punktu widzenia zapewnienia bezpieczeństwa informacja zostanie wyłapana przez osobę obsługującą EDR-a lub – co gorsza – informacja taka zostanie przypadkowo pominięta. Ważnym aspektem jest również to, że osoba obsługująca klasycznego EDR-a powinna posiadać szeroką wiedzę z zakresu bezpieczeństwa i funkcjonowania systemów, tak aby móc wyciągnąć z logów to, co najistotniejsze i zebrane informacje wykorzystać do dostosowania poziomu bezpieczeństwa chronionego środowiska.
Czy klasyczny system EDR sprawdzi się w Twojej firmie?
W swoim działaniu system EDR (np. taki jak FortiEDR) powinien być wyposażony przez producenta w zestawy reguł wyłapujące znane anomalie i reagujące na nie, ale również powinien umożliwiać administratorowi tworzenie własnych reguł, tak aby mógł dostosować EDR-a do potrzeb organizacji. Jeśli posiadasz odpowiednią ilość zasobów sprzętowych, specjalistę, który będzie w stanie skutecznie obsłużyć taki system – to klasyczny EDR jest dla Ciebie.
Next Generation EDR - wykrywaj podejrzane aktywności bez szumu informacyjnego
Co w przypadku, gdy chcemy posiadać system EDR, ale nie mamy zasobów, specjalisty do jego obsługi, a chcemy korzystać z najnowszych technologii i zarządzać za pomocą jednej konsoli zarówno EDR-em, jak i antywirusem? W takim przypadku rozwiązaniem będzie Next Generation EDR. Taki system pozwala na monitorowanie organizacji tak jak klasyczny EDR, jednak przekazywane do konsoli informacje są związane z konkretnym incydentem, nie zawierają szumu informacyjnego, który występuje w przypadku klasycznego EDR-a, a to pozwala osobie posiadającej podstawową wiedzę dotyczącą bezpieczeństwa na analizę incydentu i wyciągnięciu z niego istotnych wniosków.
NG EDR - to oszczędność zasobów Twojej organizacji
System NG EDR zazwyczaj nie musi w swoim działaniu wykorzystywać lokalnych zasobów organizacji np. nie ma konieczności posiadania ogromnych wolnych przestrzeni na dyskach, na które miałyby spływać dane z endpointów. Alarmy związane z incydentem są przekazywane do chmurowej konsoli, gdy administrator będzie chciał szczegółowo przyjrzeć się temu, co się wydarzyło, samodzielnie może pobrać dane od strony endpointa. Ważnym aspektem jest możliwość określenia maksymalnej wielkości plików logów, które mają być przechowywane od strony endpointa oraz możliwość nadpisywania najstarszych informacji, tak aby chroniony host mógł wydajnie funkcjonować.
System EDR błyskawiczna reakcja na incydent w Twojej sieci
Reakcja na incydent powinna być automatyczna i określona przez administratora w zależności od specyfiki organizacji. W momencie wystąpienia incydentu system EDR powinien pozwolić np. na automatyczne zabicie podejrzanego procesu lub całego drzewa procesów, wylogowanie wszystkich użytkowników na chronionym hoście (lub tylko zdalnych), odizolowanie końcówki od sieci czy też usunięcie plików. Informacja o incydencie powinna trafić do konsoli, jednak administrator powinien mieć pewność, że ochrona endpointa jest zawsze na takim samym poziomie również w przypadku, gdy host nie ma połączenia z siecią Internet, a automatyczna reakcja nastąpiła zgodnie z jego założeniami. Ważne jest również to, w jaki sposób dane związane z incydentem są przedstawiane, dlatego też forma graficznych wykresów, połączeń pomiędzy elementami związanymi z incydentem powinna być jasna i czytelna.
Jakie technologie wykorzystuje Next Generation EDR?
Rozwiązania klasy NG EDR w swoim działaniu wykorzystują, podobnie jak klasyczny EDR zestawy reguł przygotowane przez producenta lub udostępniane przez organizacje związane z bezpieczeństwem IT, np. MITRE ATT&CK. Ponadto NG EDR wykorzystuje również elementy sztucznej inteligencji, pomagające wychwycić te anomalie, które jeszcze nie są objęte regułami, a które mogą stanowić potencjalnie nowy, nieznany wektor ataku.
Czy NG EDR to dobry wybór dla Twojej firmy?
Jeśli szukasz rozwiązania łatwego w obsłudze, niewymagającego data center na przechowywanie logów, a wszystkim chcesz zarządzać z poziomu chmurowej konsoli, która pozwala również zarządzać programem NG Antivirus – NG EDR jest dla Ciebie.
