+48 22 439 03 20 biuro@greeneris.com

EDR definicja

Wykrywanie, zapobieganie i reagowanie w ramach ochrony punktów końcowych/stacji roboczych i serwerów (EDR – Endpoint Detection and Response) to kategoria narzędzi bezpieczeństwa, które monitorują urządzenia końcowe użytkowników w sieci pod kątem szeregu podejrzanych działań i zachowań, automatycznie reagują na blokowanie rozpoznanych zagrożeń i zapisują zagrożone dane do dalszego badania i analizy.

Platforma EDR łączy wgląd we wszystko, co dzieje się na urządzeniu końcowym – procesy, zmiany w bibliotekach DLL, ustawieniach rejestru, aktywność plików i sieci – z agregacją danych i funkcjami analitycznymi, które pozwalają na rozpoznanie i przeciwdziałanie zagrożeniom za pomocą procesów automatycznych/sztucznej inteligencji lub interwencji człowieka. Punkt końcowy tutaj ogólnie oznacza dowolne urządzenie użytkownika końcowego, od laptopa do smartfona, i może obejmować również urządzenia IoT.

Pierwsze uznanie kategorii wykrywania i reakcji na punkt końcowy jest powszechnie akceptowane w blogu z 2013 r. Analityka Gartnera Antona Chuvakina, który próbował wymyślić „ogólną nazwę dla narzędzi skoncentrowanych przede wszystkim na wykrywaniu i badaniu podejrzanych działań (i ślady takich) innych problemów na hostach / punktach końcowych.” Użył wyrażenia wykrywanie zagrożenia i reakcja (Endpoint detection and response) na punkt końcowy, ale bardziej zwięzłe jest wykrywanie, zapobieganie i reakcja punktów końcowych/stacji roboczych.

EDR vs. antywirus / EDR vs. EPP

Dobrym sposobem na zrozumienie kategorii takiej jak EDR jest zbadanie, co odróżnia ją od podobnych ofert. EDR często kontrastuje z programami antywirusowymi lub platformami ochrony punktów końcowych (EPP- Endpoint Protection Platform), które są parasolowymi ofertami integrującymi funkcje antywirusowe / antymalware z innymi znanymi narzędziami bezpieczeństwa – szyfrowaniem danych, firewalls, systemami zapobiegania włamaniom i tak dalej. Narzędzia tworzące EPP mają zazwyczaj charakter zapobiegawczy i oparty na sygnaturach, co oznacza, że dopasowują potencjalne zagrożenia do bazy danych znanego złośliwego kodu w celu powstrzymania ataków przed rozpoczęciem ich wykonywania.

Jednak w miarę, jak zagrożenia stają się bardziej elastyczne i groźne, ten rodzaj obrony, który zależy od statycznej biblioteki znanych zagrożeń i silnej ochrony obwodowej, staje się mniej skuteczny – i w tym miejscu pojawia się EDR jako skuteczna ochrona w czasie rzeczywistym. Cała akcja dzieje się na punktach końcowych – od zmian konfiguracji do uruchomionych procesów lub unieszkodliwiana w celu dostępu do plików, kopiowania lub eksfiltracji – to główne działania operacji hakerskiej, a platformy EDR mają na celu zapewnienie pracownikom ochrony miejsca pracy na stacji roboczej w pierwszym rzędzie wraz z pewnym stopniem zautomatyzowanej reakcji na zagrożenia.

Jak to działa w praktyce? Platformy EDR zazwyczaj składają się z agentów zainstalowanych na urządzeniach użytkowników końcowych; agenci ci monitorują aktywność i wysyłają informacje z powrotem do scentralizowanego serwera, który może być dostępny na miejscu (on-premise) lub w chmurze. Serwer może automatycznie wykryć problemy i spróbować je naprawić lub powiadomić pracownika zespołu IT/bezpieczeństwa; wyświetla również informacje za pośrednictwem pulpitów monitorowanych przez zespoły bezpieczeństwa firmy.

EDR – wykrywanie, zapobieganie i reagowanie – przykłady wykorzystania

W jakich scenariuszach EDR naprawdę by się sprawdziło? Archetypowy przypadek użycia EDR byłby scenariuszem, w którym aktywne zagrożenie rozgrywa się w wielu formach w punkcie końcowym, patrząc na schematy działania, a nie na prostsze sygnały, takie jak konkretny wirus lub naruszenie zapory. Na przykład osoba atakująca, która kradnie prawidłowe dane uwierzytelniające poprzez atak phishingowy, może zalogować się do systemu normalnie, nie wywołując żadnych alarmów ani nie wykorzystując żadnego złośliwego oprogramowania. Początkowo mieliby swobodnie panować nad punktem końcowym, ale ich późniejsze działania, takie jak próba podniesienia uprawnień lub przejścia poziomo do innych systemów, prawdopodobnie zostaną oznaczone przez dobry system EDR lub przynajmniej pozostawią ślady w danych, które osoba z zespołu bezpieczeństwa może dostrzec.

W poście na blogu z 2016 r. Chuvakin Gartnera przedstawia przypadki użycia EDR na najwyższym poziomie:

  • Wykrywanie podejrzanej aktywności (D w EDR)
  • Pomoc i automatyzacja przeszukiwania i badania danych (R w EDR)
  • Przeprowadzanie segregacji potencjalnie podejrzanych działań
  • Umożliwianie eksploracji danych i wnikliwej analizy
  • Automatyczne blokowanie i powstrzymywanie złośliwych działań

 

Funkcjonalność EDR

Istnieje wiele specyficznych funkcji, które platformy EDR muszą zapewnić, ale jak to zwykle jest w przypadku wielu szerokich kategorii produktów nie ma jednej kanonicznej listy funkcji EDR. Jednak po zapoznaniu się z ofertami różnych dostawców (w tym Crowdstrike, Carbon Black itp.) oraz zestawieniu z postem Gartnera, od którego wszystko się zaczęło, przygotowaliśmy listę najczęściej oferowanych możliwości EDR.

  • Wykrywanie podejrzanych działań – jako podstawa tego, co robi EDR: chcesz wiedzieć, kiedy coś idzie nie tak.
  • Zaawansowane blokowanie zagrożeń – działa w celu zwalczania zagrożeń natychmiast po ich wykryciu.
  • Segmentacja alarmów i filtrowanie – są ważne w walce ze spadkiem czujności wśród personelu infobezpieczeństwa. Rozwiązanie EDR powinno być w stanie sortować według potencjalnych znaków ostrzegawczych i eskalować tylko wtedy, gdy coś naprawdę wymaga ludzkiej uwagi.
  • Ochrona przed wieloma typami zagrożeń – na przykład zdolność do odpierania ransomware i złośliwego oprogramowania jednocześnie jest konieczna, aby zapobiec zaawansowanym atakom, które mogą następować falami.
  • Funkcje wyszukiwania zagrożeń i reagowania na incydenty – pomagają pracownikom cyberbezpieczeństwa podczas przeszukiwania danych w poszukiwaniu potencjalnych ataków.
  • Wizualizacja danych – (visibility) jest kluczem do prawie wszystkich powyższych możliwości. Platforma EDR musi mieć możliwość przeglądania wszystkich punktów końcowych i połączeń między nimi, aby wyśledzić podejrzane działania.
  • Unifikacja danych – pomaga platformie EDR zrozumieć wszystko co widzi łącząc informacje z różnych źródeł w spójny obraz.
  • Integracja z innymi narzędziami – pomaga zwiększyć moc EDR i upewnić się, że pomaga Ci uzyskać jak najwyższą skuteczność – widoczność i dostęp do danych zapewniany przez platformę EDR powinien sprawić, że istniejące narzędzia bezpieczeństwa będą działać bardziej efektywnie. Platforma EDR powinna być multiplikatorem siły, a sprzedawcy chętnie promują całe ekosystemy, które mogą współpracować z ich ofertą EDR.

Rozwiązania EDR

Istnieje wiele produktów EDR na rynku. Aby zapoznać się z dwoma z nich, które mogą dać Ci wyobrażenie o różnicach w różnym podejściu producentów, spójrz na te recenzje CSO i IDG

SentinelOne

Ochrona endpointów za pomocą potężnych agentów SentinelOne: SentinelOne jest w stanie wdrażać agentów z zaawansowanymi funkcjami wykrywania i reagowania na endpointach, gdzie mogą przechwytywać zagrożenia na linii frontu. Każdy agent jest w pełni niezależny, może działać nawet wtedy, gdy chroniony przez niego punkt końcowy jest odłączony od sieci bazowej lub w ogóle nie ma łączności.

Zobacz więcej ⇒ SentinelOne

CrowdStrike Falcon

CrowdStrike przełamuje trendy: największym wyróżnikiem Falcona jest to, że mózg platformy istnieje całkowicie w chmurze, co daje jej nieograniczoną skalowalność, a także ogromny wpływ na użytkowników i przedsiębiorstwa. Każdy atak na chroniony endpoint w dowolnym miejscu w przedsiębiorstwie, które Falcon chroni, przyniesie korzyści każdemu innemu endpointowi, nawet w innych organizacjach korzystających z Falcona.

Zobacz więcej ⇒ CrowdStrike Falcon Prevent

 

Carbon Black

Rozwiązanie z grupy VMware, zapewnia bezpieczeństwo PC’tów oraz zwirtualizowanych centrów danych.

EDR w natarciu

Rynek EDR jest już duży i rośnie. Statista.com szacuje, że do roku 2020 rynek narzędzi EDR będzie wart 1,5 miliarda dolarów. Gartner uważa, że platforma EDR stanie się obowiązkowa dla dużych firm – przewidują, że do 2025 r. 70% organizacji z ponad 5000 punktów końcowych będzie miało oprogramowanie EDR.

Należy jednak pamiętać o tym, że cały rynek EDR jest w pewnym sensie próbą umieszczenia parasolowej etykiety na nieco heterogenicznej kategorii i dlatego zawsze się rozwija. Wielu dostawców oferuje zarówno platformy EDR i EPP – zezwalając na współpracę różnych narzędzi na każdej platformie – więc pomagają oni w rozwoju bardziej ogólnego zunifikowanego rynku ochrony punktów końcowych, który mógłby przynieść sprzedaż przekraczającą 7 miliardów dolarów.

Skontaktuj się z nami: biuro@greeneris.com | tel. +48 22 439 03 20
lub napisz poprzez formularz kontaktowy