BLOG

Kada preventivne mere zakažu, ovih pet akcija vas može spasiti

 

Napadači postaju sve lukaviji i koriste metode napada koje mogu izbeći zaštitu čak i naprednijih rešenja za bezbednost. Saznajte na koji način vam EDR rešenja mogu pomoći da identifikujete i zaustavite sofisticirane napade.

 

Šta je EDR (endpoint detection and response)?

 

EDR je integrisano rešenje za zaštitu krajnjih uređaja koje kombinuje kontinuirano praćenje aktivnosti u realnom vremenu i prikupljanje podataka sa krajnjih uređaja sa mogućnostima automatizovanog odgovora na osnovu definisanih pravila i analize događaja. EDR nudi drugu liniju odbrane nakon tradicionalnih antivirusnih i čak i antivirusnih za sledeću generaciju (NGAV) zaštita, što je sve više potrebno kako napadači koriste napredne tehnike da izbegnu te prve linije odbrane. EDR rešenja omogućava bezbednosnim timovima da brzo otkriju i odgovore na napredne napade, da utvrde kako su napadači prodrli u okruženje i mogu postaviti polise kako bi se sprečili slični napadi u budućnosti.

 

Krajnji uređaji su pod napadom jer ih koriste ljudi, a ljudi su podložni napadima koji uključuju socijalno inženjerstvo, phishing i druge napade koji iskorišćavaju zauzete, neoprezne korisnike. Zapravo, ljudski faktor igra ulogu u 74% svih povreda privatnosti podataka. Ranjivosti u samim krajnjim uređajima, uključujući zastareli softver i operativne sisteme, dodatno ostavljaju organizacije otvorene za napade.

 

EDR rešenja vas brane od svih ovih pretnji, ponašajući se kao zaštitna mreža koja vam pomaže da uhvatite pretnje koje izmaknu vašoj zaštiti na krajnjim uređajima i omogućavaju vam da brzo i efikasno odgovorite na iste.

 

Primeri EDR akcija

 

EDR rešenja omogućavaju timovima koja se bave informacionom bezbednošću da lakše izvršavaju aktivnosti koje bi bez pomoći EDR-a bile teške, vremenski zahtevne i haotične. Primeri EDR akcija i njihovih naprednih mogućnosti, uključuju odgovor na incidente, daljinsku remedijaciju, trijažu/vizuelizaciju upozorenja, lov na pretnje i forenzičku istrage.

 

Odgovor na incidente

 

Mogućnost da se brzo i samouvereno odgovori na otkrivene sajber incidente može biti razlika između minimalnih poremećaja u poslovanju i katastrofalne štete. Pravilne strategije i taktike odgovora na incidente (IR) su ključne za ograničavanje štete koju napad može da nanese. Prema dostupnim istraživanjima (Cost of a Data Breach Report 2023), najefikasnija IR strategija za brže identifikovanje i odgovor na sajber pretnju je formiranje IR tima i testiranje IR plana pre nego što ga implementirate. Na ovaj način vreme potrebno za identifikaciju proboja (eng. databreach), može biti smanjeno i do 54 dana.

 

Iako su efikasni planovi i procedure odgovora na incidente esencijalni, važno je imati i prave informacije na koje možete da reagujete - a to znači imati prave tehnologije za zaštitu. Tu vam mogu pomoći EDR rešenja. Prilikom poređenja EDR rešenja, potražite ono koje kontinuirano beleži i čuva podatke o aktivnostima krajnjih uređaja. Ovo će omogućiti vašem IR timu sistem evidencije aktivnosti na krajnjim uređajima kako bi pratili dokaze identifikovanih pretnji i otkrili obrasce ponašanja. Napredni EDR pruža vidljivost i kontekst koji su potrebni IR timovima da efikasno obavljaju svoj posao – upotrebljive informacije koje tradicionalni antivirusi i mnoga rešenja za zaštitu na krajnjim uređajima jednostavno ne mogu pružiti.

 

Daljinska remedijacija

 

Ranije smo napomenuli koliko je važno brzo i odlučno delovati nakon što se pretnja otkrije. To može biti izazovno u današnje vreme kada članovi timova koji se bave informacionom bezbednošću rade sa različitih lokacija, uključujući i rad od kuće. Prilikom odabira EDR rešenja, proverite da li takvo rešenje omogućava vašem timu da sigurno i brzo sprovode kompletne istrage incidenata i remedijaciju sa bilo koje lokacije u svetu.

 

Napredna rešenja će koristiti prednosti cloud arhitekture kako bi, na primer, omogućila administratorima udaljeni pristup bilo kom krajnjem uređaju u kompaniji. Ovakva mogućnost postaje ključna kada je potrebno što brže reagovati i izolovati zaražene uređaje od ostatka mreže.

 

Trijaža/visualizacija upozorenja

 

Analitičari koji se bave informacionom bezbednošću, na dnevnom nivou se susreću sa velikim broj upozorenja koja stižu sa krajnjih uređaja. Jedna od važnijih karakteristika EDR rešenja su vizualizacije koje omogućavaju analitičarima da vrše brzu trijažu upozorenja. Sa pravim alatima, analitičari mogu brzo i lako razumeti i obraditi šta se dogodilo tokom niza napada. Ovakav način rada pomaže analitičarima da kreiraju i implementiraju polise kako bi se sprečilo ponavljanje sličnog napada.

 

Dobro je istražiti kakve mogućnosti vizualizacije upozorenja nudi EDR rešenje. Rešenja koja vizualno prikazuju sve događaje povezane sa upozorenjem, povećavaju vidljivost i olakšavaju rad analitičara. Vizuelizacija treba da omogući uvid u reputaciju pojedinačnog procesa ili događaja, uvid u TTP’s (taktike, tehnike i procedure), izvorni kod korišćen u komandnoj liniji i druge informacije. Vizuelizacija treba da pruži akcione informacije o događajima koji su se dogodili tokom upozorenja, uključujući gde je primenjena prevencija napada, koji je bio izvor napada i šta je napadač pokušavao da postigne.

 

Lov na pretnje (threat hunting)

 

Lov na pretnje nije nov u industriji, ali je definitivno nov koncept za mnoge timove koji se bave bezbednošću, posebno one koji su tek počeli da koriste EDR rešenje. Lov na pretnje je potraga za indikatorima kompromitacije (eng. IOCs) unutar javnih i privatnih cloud okruženja, krajnjih uređaja i računarskih mreža. Ovi indikatori mogu ukazivati na kompromitaciju, upad u sistem ili ekstrakciju podataka.

 

Lov na pretnje se razlikuje od odgovora na incidente jer je lov na pretnje proaktivna aktivnost, dok je odgovor na incidente, reaktivna aktivnost. Iako različite ove dve aktivnosti se u praksi dopunjuju. Zadaci vezani za lov na pretnje se često dodeljuju članovima tima koji uspešno obavljaju zadatke odgovora na incidente jer im iskustvo pomaže da preciznije odrede kako će napadač postupiti i šta mogu sledeće učiniti.

 

Da biste pojednostavili lov na pretnje i osigurali njegovu efikasnost, potražite rešenja koja prikupljaju sveobuhvatne podatke i obimne informacije o pretnjama, pružajući vam sve informacije potrebne da proaktivno lovite pretnje, otkrijete sumnjivo ponašanje, prekinete napade u toku, brzo popravite štetu, upravljate ranjivostima i adresirate nedostatke u svojim odbrambenim sistemima. Vrhunska EDR rešenja vam omogućavaju da pretražujete sirove, nefiltrirane podatke sa krajnjih uređaja, čak i ako u trenutku analize nisu deo računarske mreže. Postavljanje automatizovanih listi za praćenje, omogućava vam da lako proširite spektar svog istraživanja čak i u kompanijama sa velikim brojem krajnjih uređaja.

 

Forenzičke istrage

 

Precizno određivanje kako je izvršen upad u sistem uključujući identifikaciju indikatora kompromitacije kao i razumevanje akcija koje su napadači preduzeli, od vitalnog je značaja za sprečavanje sličnih napada u budućnosti. Ovde dolazi do izražaja karakteristika EDR rešenja - vidljivost. Što više podataka forenzički istražitelji imaju, to je temeljnija njihova analiza.

 

EDR rešenje trebalo bi da bude u mogućnosti da vizualizuje celokupni lanac napada. Ovo olakšava identifikaciju osnovnog uzroka incidenta. Analitičari treba da imaju mogućnost da brzo prolaze kroz svaku fazu napada kako bi stekli uvid u ponašanje napadača, zatvorili sigurnosne rupe i učili iz svake nove tehnike napada.

 

Carbon Black EDR: Napredne pretnje zahtevaju napredne odbrambene mehanizme

 

Pretnje se toliko brzo razvijaju da verovatno razmatrate implementaciju EDR-a - ako ne sada, onda uskoro. Sve karakteristike opisane iznad čine dobar argument za donošenje strateškog izbora EDR platforme. Za sve veći broj organizacija, taj izbor je svetski priznato EDR rešenje kompanije Carbon Black, koji je pionir u ovoj oblasti, a sada je deo Broadcom-ovog portfolija.

 

Carbon Black EDR detektuje i odgovara na napredne napade putem sveobuhvatnog i integrisanog pristupa za timove koji se bave informacionom bezbednošću. Obezbeđuje pristup najkompletnijoj slici napada, smanjujući dugotrajne istrage od dana do minuta. Bezbednosni timovi mogu proaktivno loviti pretnje, otkriti sumnjivo ponašanje, prekinuti aktivne napade i adresirati nedostatke i ranjivosti u sistemima.

 

Carbon Black EDR objedinjuje sve navedene karakteristike EDR rešenja od odgovora na incidente, daljinske remedijacije i vizualizacije upozorenja do lova na pretnje i forenzičkih istraga. Zapravo, Carbon Black EDR obezbeđuje uvid u sve aktivnosti na krajnjim uređajima i informacije o napadu, kako bi se brzo odgovorilo, ograničila šteta i zaustavilo kretanje napadača po mreži (eng. Lateral movement).

 

Izvor: 5 Top EDR Use Cases | Symantec Enterprise Blogs (security.com)

Poslednji blogovi