Technológia ESET EDR alebo pomocník v boji proti moderným kyberútokom

Čo sa skrýva pod skratkou EDR? Ako funguje EDR a akým spôsobom môže doplniť tradičné bezpečnostné riešenia? Ako vám v tejto oblasti môže pomôcť AUTOCONT? O tom všetkom sa dočítate v nasledujúcom článku.

Čo je to vlastne EDR?

EDR je skratka slov Endpoint Detection and Response. Ide o technológiu, ktorá slúži na odhalenie škodlivej, či podozrivej aktivity na počítači a následnej reakcii na túto aktivitu. Táto aktivita nemusí mať v zásade malwarovú povahu. Detekcia technológií EDR nemusí hneď znamenať vírusovú nákazu počítačovej siete. Technológia reaguje na porušené pravidlá. Veľmi všeobecne povedané, EDR stráži užívateľov, operačný systém, aplikácie a vlastne celú sieť a všetky odchýlky od štandardného správania automatizovane hlásia.

Vďaka tomu je možné odhaliť aj veľmi pokročilé kybernetické útoky, ktoré sú čoraz častejšie. Pokiaľ útočník získa prístup do vašej počítačovej siete, jeho správanie je porovnateľné s bežným administrátorom a v ranej fáze je antivírusom nezistiteľné. Útočník sa potom môže v sieti skrývať a pohybovať aj dlhé mesiace, než zaútočí. S EDR technológiou dokážete na všetky podozrivé aktivity patrične reagovať a pokiaľ EDR systém detekuje hrozbu, je možné ju ľahko zastaviť. A to napríklad odpojením infikovanej stanice od siete, ukončením podozrivého procesu, detailnou investigaciou pomocou vzdialeného terminálu a pod. Vďaka tejto technológii tak dokážete útočníkov zastaviť už v prvých krokoch útoku.

Kvalitná EDR technológia musí byť schopná poskytnúť aj rozšírenú viditeľnosť do vašej siete. Informácie o všetkých bežiacich procesoch na počítacích a serveroch, lokálnych spustiteľných súboroch, skriptoch, vrátane ich obsahu alebo sieťovej komunikácie sú k dispozícii na prezeranie a vyhodnotenie vo webovej konzole. Vďaka detailným informáciám máte prehľad nielen o detekciách samotných, ale aj o všetkých súvisiacich udalostiach v sieti. Dôležitý je kontext a pochopenie, čo viedlo k detekcii, kedy incident začal, aké stanice a ktorí používatelia boli dotknutí. Spoločne s vysvetlením k jednotlivým detekciám a odporúčaniam pre nápravné alebo preventívne opatrenia môžete vašu sieť zabezpečiť aj proti veľmi sofistikovaným útokom.

Optimalizácia riešenia

Aby EDR technológia mohla poskytovať správne a relevantné informácie, je potrebné tento systém odladiť. Znamená to, povedať EDR systému, aké je pre vašu organizáciu normálne správanie počítačov, aplikácií alebo užívateľov. To je zásadný rozdiel oproti antivírusovým riešeniam. Antivírus nainštalujete a vykonáte počiatočnú konfiguráciu. Toto u EDR neplatí. Pokiaľ chcete EDR využívať plnohodnotne a mať prehľad o všetkom, čo sa vo vašej sieti deje, je potrebné mať tím špecialistov, ktorí budú tejto technológii venovať čas a budú s ňou aktívne pracovať.

Podobne ako antivírusové riešenia aj EDR dokáže automatizovane reagovať na detegované udalosti. Pri automatizovanej reakcii je nutné presne definovať scenár, kedy a akým spôsobom má EDR zareagovať. V opačnom prípade môže dôjsť k nechcenému obmedzeniu siete a zneprístupneniu kritických systémov. Z tohto dôvodu je častejšia manuálna reakcia na hrozbu. Bezpečnostný špecialista, ktorý s EDR pracuje, sa rozhoduje na základe maxima dostupných informácií a presne vie, na čo zacieliť tak, aby najmenej obmedzil prevádzku siete a zároveň zastavil možnú začínajúcu hrozbu.

EDR nie je náhrada za antivírusové riešenie

Hľadáte spôsob, ako zvýšiť zabezpečenie svojej siete? Možno ste už počuli, že antivírusové riešenia nie sú schopné reagovať na nové hrozby a je potrebné ich nahradiť novou, pokročilejšou technológiou. V tomto kontexte sa najčastejšie zmieňuje práve EDR. Poďme si ale tieto rozdielne technológie porovnať a povedať si, v čom sa líšia a v akých prípadoch pomôže EDR, a kedy antivírusové riešenie.

Antivírusové riešenia slúžia primárne na odhalenie a zastavenie škodlivého kódu. Antivírusy disponujú technológiami schopnými odhaliť aj tie najpokročilejšie malwarové hrozby. Antivírus chráni všetky vrstvy operačného systému. Či je to operačná pamäť, sieťová komunikácia alebo napríklad UEFI úložisko. Malware sa vie ukryť takmer kdekoľvek v systéme aj mimo neho. Tieto antivírusové riešenia fungujú autonómne. Poväčšinu času ani neviete, že antivírus na stanici pracuje. Pokiaľ dôjde k detekcii škodlivého kódu, antivírus sa nepýta a okamžite hrozbu blokuje.

EDR riešenie dokáže reagovať na porušené pravidlá a podozrivé správanie počítačov, programov alebo užívateľov. Vďaka tomu odhalíte útočníkov, ktorí sa nejakým spôsobom infiltrovali do vašej siete a snažia sa ju potichu ovládnuť. S EDR tiež odhalíte pôvod malwarovej nákazy, pretože vďaka dodatočným informáciám získate kontext k malwarovej detekcii a jednoducho potom určíte napríklad, kto otvoril škodlivú prílohu a či sa nákaza nerozšírila ďalej do siete.

Antivírusové & EDR riešenie v synergii

Z porovnania je zrejmé, že tieto technológie sú natoľko rozdielne, že nemá zmysel jednu nahrádzať druhú. Ideálnym riešením je tieto technológie spojiť a využívať prínosy oboch.

Takto k tomu pristúpil aj ESET. Ako základ pre EDR riešenie ESET Enterprise Inspector je použité kvalitné a pravidelne oceňované antivírusové riešenie ESET Endpoint Security. Antivírusové riešenie ESET chráni všetky vrstvy operačného systému a vďaka tomu má z týchto zdrojov veľmi detailné informácie, ktoré môžu byť následne spracovávané EDR riešením ESET Enterprise Inspector. Súčasne s tým sú zachované nízke HW nároky, pretože nevzniká potreba čerpať nové dáta na analýzu. Antivírusová časť spoľahlivo a hlavne automatizovane odbaví malwarové detekcie. Tým je zachovaná nízka miera false positives. S EDR riešením ESET Enterprise Inspector sa môžete sústrediť a cieliť na podozrivé aktivity, ktoré by mohli v konečnom dôsledku vyústiť v úspešný kybernetický útok.

Hon za ľudskými zdrojmi alebo hľadáme „bezpečáka“

Ako už vyplýva z predchádzajúcich riadkov, k EDR riešeniu je potrebné človeka, ktorý bude mať čas a znalosti všetky detekcie vyhodnotiť. Pokiaľ vás EDR technológia zaujala a chcete z nej využiť maximum, ale zároveň nemáte vo firme nikoho, kto by toto riešenie obsluhoval, obráťte sa na nás a využite možnosti, ktoré ponúka naše bezpečnostné dohľadové centrum AC SOC. Získate nielen našich certifikovaných odborníkov, ale aj možnosť zahrnúť do vyhodnotenia ďalšie bezpečnostné produkty. Bezpečnosť je skladačka rôznych dielcov a v rámci služieb AC SOC máte možnosť korelovať informácie z rôznych zdrojov, ako sú napr. EDR riešenia, operačný systém, firewall, NAC, NBA a ďalšie technológie.

AUTOCONT je oficiálnym autorizovaným partnerom spoločnosti ESET so statusom ESET Platinum Partner.

Potrebujete viac informácií?

V prípade, že vás vyššie uvedené témy zaujali, máte špecifické otázky či záujem o upresnenie k vašej konkrétnej situácii, neváhajte kontaktovať nášho AC špecialistu: Igor Ftáček - igor.ftacek@autocont.sk. Radi vám poradíme.

Chcete viac informácií?