Nieustanny rozwój zagrożeń cybernetycznych sprawia, że organizacje muszą zachowywać stałą czujność i stosować liczne środki w celu ochrony sieci oraz danych wrażliwych. Tradycyjne antywirusy, chociaż są fundamentem strategii bezpieczeństwa, mają swoje ograniczenia. W odróżnieniu od nich, narzędzia z zakresu Endpoint Detection and Response (EDR) umożliwiają proaktywne działanie. Teraz jednak do gry wchodzi ActiveEDR firmy SentinelOne – nowa klasa EDR, która adresuje zagrożenia oparte na sztucznej inteligencji. Czym to rozwiązanie różni się od istniejących rozwiązań?
W erze stale ewoluujących zagrożeń cybernetycznych organizacje muszą stale uaktualniać stosowane środki bezpieczeństwa, aby chronić swoje sieci i wrażliwe dane. Tradycyjne rozwiązania antywirusowe, choć niezbędne w tym kontekście, mają jednak swoje ograniczenia. Rozwiązaniem nowszej generacji w tym zakresie jest technologia Endpoint Detection and Response (EDR) – która daje możliwość zapobiegania zagrożeniom dzięki monitorowaniu środowiska IT i wykrywaniu zagrożeń i szybkim reagowaniu na nie.
Dział IT w średniej wielkości firmie musi monitorować nie tylko zachowanie samych użytkowników, ale i tysiące urządzeń końcowych we własnej sieci przez całą dobę. Komputery stacjonarne i serwery, laptopy, tablety, smartfony, urządzenia dla Internetu Rzeczy (IoT) – to tylko przykładowe „punkty końcowe” które mogą stanowić potencjalną furtkę dla ataków. Ich bezpieczeństwo jest zatem ważniejsze niż kiedykolwiek.
Jak działają tradycyjne antywirusy?
Tradycyjne systemy antywirusowe, które towarzyszą nam od wielu lat na komputerach służbowych i prywatnych, działają przede wszystkim na podstawie tzw. sygnatur. To oznacza, że w swoich bazach danych przechowują pewne informacje o znanych już zagrożeniach i za każdym razem, gdy wykrywają jakąś anomalię, porównują ją z posiadanymi danymi, aby ustalić czy jest to poważne zagrożenie.
Taki sposób działania dobrze sprawdza się w przypadku zdefiniowanych zagrożeń, ale nie do końca wspiera przeciwdziałanie nowym, innowacyjnym atakom, które nie zostały jeszcze przez nikogo wykryte i udokumentowane. Problemem są również luki typu zero-day, których nie można wykryć za pośrednictwem istniejących sygnatur. Kolejnym wyzwaniem są niektóre malware’y (fileless malware), które działają całkowicie w pamięci systemu lub wykorzystują narzędzia systemowe do działań bez pozostawiania śladów na dysku. Z tych właśnie względów tradycyjny program antywirusowy coraz częściej przestaje stanowić wystraczające zabezpieczenie.
Tradycyjne oprogramowanie antywirusowe skupia się przeważnie na indywidualnych urządzeniach, co oznacza, że nie ma wglądu w ruch w sieci z lotu ptaka. W efekcie niektórzy przestępcy mogą przenikać do sieci i skutecznie się po niej przemieszczać bez wykrycia. A to prosta droga do uzyskania przez nich dostępu do kolejnych elementów w infrastrukturze. Warto pamiętać, że najbardziej zaawansowane zagrożenia to często te, o których jeszcze nic nie wiadomo…
Jaka jest rola EDR?
Technologia EDR pełni trzy kluczowe funkcje. Pierwszą jest stały monitoring urządzeń końcowych w całej sieci. Wszystkie zachowania i procesy, m.in. uzyskiwanie dostępu do plików, realizacja określonych zadań czy połączenia sieciowe są monitorowane. Wszystkie dane są przechowywane w centralnej bazie danych i łączone z analityką zagrożeń w celu identyfikacji potencjalnych luk w zabezpieczeniach i zagrożeń cybernetycznych. Następnie EDR wykorzystuje analizę behawioralną do sprawdzania dostępnych danych, aby zobaczyć, czy istnieją jakiekolwiek przesłanki do stwierdzenia wystąpienia nieautoryzowanych działań.
Jeśli tak jest, wdrażany jest komponent reagowania ze zautomatyzowanymi procesami. Wykrycie anomalii wiąże się z wysłaniem powiadomienia do zespołu monitorującego sieć. Ransomware, wyłudzenia danych czy eskalacja uprawnień – to wybrane działania, które system EDR jest w stanie wykrywać. Analizując wydarzenia i zachowanie użytkownika, jest on w stanie zidentyfikować potencjalne zagrożenia, m.in. ataki zero-day. Stosowany jest również tzw. sandboxing, czyli badanie podejrzanych zachowań w odizolowanym środowisku.
Ponadto, EDR wspiera również automatyzację reagowania na incydenty. System jest w stanie izolować punkty końcowe, blokować złośliwe procesy czy inicjować naprawę sieci. Na każdym kroku zespół ds. bezpieczeństwa dostaje powiadomienia o podjętych działaniach. System jest dostarczany poprzez instalację agenta na urządzeniach końcowych. Można nim zarządzać za pośrednictwem opartego na chmurze portalu typu oprogramowanie jako usługa lub za pomocą oprogramowania zainstalowanego na miejscu. Można je również zintegrować z innymi rozwiązaniami cyberbezpieczeństwa za pośrednictwem interfejsów, aby pomóc w wizualizacji wszystkich zagrożeń na urządzeniach końcowych.
Reasumując, EDR jest skuteczną odpowiedzią na potrzeby firm, które chcą wiedzieć na bieżąco, co się dzieje w sieci.
ActiveEDR – nowa klasa EDR
Stosowanie nowej generacji technologii w obszarze cyberbezpieczeństwa wiążą się z nowymi wyzwaniami. EDR w obecnej formie zapewnia przejrzystość sieci, ale wymaga wykwalifikowanego personelu, który będzie w stanie wykorzystać ogromne ilości generowanych danych, nadać im kontekst, a następnie wykorzystać je do neutralizacji skutków ataków. Większe zapotrzebowanie na utalentowanych analityków cybernetycznych spowodowało ogromny niedobór pracowników w branży.
A w czasach zdominowanych przez sztuczną inteligencję zespoły ds. bezpieczeństwa muszą zachować jeszcze większą czujność niż kiedykolwiek. Pomaga im w tym nowa klasa oprogramowania EDR, która działa proaktywnie. Śledzenie kontekstowe umożliwia umiejscowienie wszystkich aktywności na punktach końcowych w określonych okolicznościach, a zautomatyzowane wyszukiwanie zagrożeń usprawnia ich identyfikację w czasie rzeczywistym i daje kompleksowy wgląd w stan sieci.
Czy z czasem ActiveEDR się upowszechni? To będzie zależało przede wszystkim od firm, które zdecydują się na inwestycję w tę technologię. Zdecydowanie jednak warto przyjrzeć się jej, jeśli możliwości dotychczas stosowanego oprogramowania EDR nie są wystarczające w kontekście zagrożeń, z którymi mierzy się biznes.