În articolul precedent subliniam faptul că un antivirus tradițional nu este de ajuns pentru a securiza host-urile angajaților. Astăzi vom prezenta câteva avantaje ale soluțiilor de tip EDR (Endpoint Detection and Response) în comparație cu un antivirus tradițional.
Ce este un EDR (Endpoint Detection and Response)
Soluțiile EDR sunt aplicații ce ajută membrii SOC (Security Operation Center) în detectarea și invesigarea activităților suspecte de pe endpoint-urile din întreaga organizație. EDR-ul a devenit tehnologia preferată de organizațiile din întreaga lume pentru a adăuga un strat suplimentar de securitate pentru rețelele lor în comparație cu un antivirus.
Structura unui EDR
Structura unui EDR este compusă din aplicații de tip client care se instalează pe endpoint-uri și platforme ce stochează datele primite de la clienți, aceste platforme pot fi înstalate în rețeaua organizației (in house/on-premise) sau pot fi folosite soluții de stocare în cloud-ul funizorului de serviciu.
Cum funcționează un EDR
Soluțiile EDR monitorizează traficul de rețea al endpoint-urilor și evenimentele de pe acestea. Datele sunt colectate centralizat pe un server pentru a putea fi analizate de membrii SOC.
Avantajele EDR
Programele antivirus tradiționale se limitează la detectarea și îndepărtarea virușilor și a altor programe malițioase pe baza unor semnături actualizate de vânzătorul produsului, acestea sunt o componentă a EDR. Pe lângă funcțiile oferite de antivirus, EDR-ul oferă o privire de ansamblu a tuturor evenimentelor de pe endpoint-uri. Mai jos vom prezenta câteva scenarii unde se poate vedea eficiența sporită a unui EDR.
- Utilizatorii raportează un email de phishing, analisul SOC extrage URL-ul malițios și poate verifica în EDR dacă și alți utilizatori au dat click pe URL-ul respectiv. Un alt beneficiu al verificării traficului este acela că pe baza URL-urilor malițioase se pot crea watchlist-uri astfel încât atunci când un endpoint face un DNS Lookup pentru domeniul malițios să se creeze o alertă și incidentul să poată fi remediat.
- Actualizarea proactivă a semnăturilor fișierelor malițioase. Un antivirus tradițional are în spate o echipă care actualizează semnăturile, actualizărilor pot fi primite cu întârziere de către client. Cu ajutorul unui EDR, personalul din SOC poate analiza mai multe surse externe de semnături și pot bloca proactiv ce este de interes pentru companie. În domeniul securității IT 5 minute de întârziere în blocarea unei amenințări pot fi catastrofale.
- Cu ajutorul unui EDR analiștii SOC pot determina dacă un proces este malițios sau nu folosindu-se de cunoștințele lor în criminalistică digitală. Se poate determina dacă un proces a pornit dintr-un folder din care nu ar fi trebuit să pornească, se poate determina ce sub-procese a deschis un anumit proces și dacă acesta conțin cod malițios, spre exemplu powershell.
- Un alt aspect foarte important ce poate face un EDR să fie mai eficient decât un antivirus este acela că oferă o privire de ansamblu asupra tuturor fișierelor din mediul clientului. La ce ajută asta? Spre exemplu, departamentul SOC primește o alertă despre un fișier posibil malițios, cu ajutorul EDR-ului se poate determina cât de mare este impactul asupra mediului clientului, dacă fișierul este instalat pe 5 endpoint-uri sau dacă este instalat pe 10.000 iar dacă în urma analizei se determină că fișierul este malițios acesta poate fi blocat pe toate endpoint-urile.
- Blocarea USB-urilor malițioase pe toate endpoint-urile din organizație. La ce ne ajută asta? Spre exemplu un atacator cu acces fizic in organizație introduce un USB malițios într-un endpoint, acesta este detectat dar între timp atacatorul a scos USB-ul și a plecat mai departe, dat fiind că identificarea atacatorului poate dura, ca măsura preventivă se poate bloca USB-ul pentru citire/scriere pe toate endpoint-urile din organizație.
Cele prezentate mai sus sunt câteva dintre avantajele unui EDR în comparație cu un antivirus tradițional. Nu toate soluțiile de EDR au caracteristicile enumerate mai sus și este posibil ca o soluție să aibă o parte dintre caracteristici iar cealaltă să aibă caracteristici diferite. În funcție de necesitățile companiei se poate alege soluția optimă.