Co to jest EDR i dlaczego jest taki istotny?

Co to jest EDR i dlaczego jest taki istotny?

Potrzeba EDR

Narzędzia EDR (Endpoint Detection and Response) to zestaw technologii cybersecurity umożliwiający wykrywanie i reagowanie na podejrzaną i złośliwą aktywność oraz malware w infrastrukturze organizacji. Systemy mają pomóc przede wszystkim zidentyfikować problem w obszarze infrastruktury stacji końcowych, a następnie pomóc go rozwiązać, np. usuwając malware.

Co to jest EDR?

Zaawansowane zagrożenia (APT) oraz celowane w daną organizację ataki, potrafią uniknąć wykrycia, umknąć przed tradycyjnymi systemami ochrony i technologiom device security. Dlatego rozwiązania EDR znakomicie uzupełniają technologie stosowane w różnych rozwiązaniach endpoint protection platform (EPP), oferując lepsze możliwości wykrywania nietypowych zdarzeń w infrastrukturze organizacji. W ten sposób narzędzia EDR, czasem określane też jako ATP (Advanced Threat Protection), zapewniają działom bezpieczeństwa oraz SOC dużo większą widoczność w obszarze endpointów, niezbędną do wykrywania incydentów, które inaczej pozostałyby niezauważone. Doskonale też uzupełniają zestaw narzędzi stosowanych przez zespoły bezpieczeństwa, jak np. SIEM, SOAR czy UEBA, służące do analizy nietypowych zachowań użytkowników.

Jak widać, podstawową różnicą pomiędzy rozwiązaniami EDR, a narzędziami antywirus/ antymalware jest to, że te drugie mają zapobiegać przenikaniu zagrożeń do sieci organizacji. Jeśli  jednak zostaną ominięte, wówczas EDR pozwala zespołom bezpieczeństwa wykrywać zdarzenia i aktywności pomagając szybko namierzyć atakującego.

Idąc za analizami Gartnera, można wskazać, że charakterystycznymi cechami dla efektywnych narzędzi EDR są:

  • Umożliwianie wyszukiwania incydentów i prowadzenia ich pogłębionych analiz
  • Wykrywanie i alertowanie o podejrzanych zdarzeniach
  • Prowadzenie tzw. threat hunting’u i głębszego eksplorowania danych
  • Zatrzymywanie złośliwej aktywności na stacjach końcowych

 

Dojrzałość EDR

Narzędzia EDR znajdują się w portfolio wielu producentów oprogramowania od dłuższego czasu i są ciągle rozwijane, można więc już mówić o pewnym modelu ich dojrzałości. Daje się w ten sposób wyróżnić trzy stopnie zaawansowania:

  1. Podstawowy EDR – zapewnia charakterystyczne dla tych narzędzi możliwości, jednak główny ciężar wykrywania potencjalnie złośliwych zdarzeń spoczywa na analityku korzystającym
    z narzędzia, i jego wiedzy. Również możliwości reagowania na znalezione incydenty są ograniczone. Korzystając z takich, podstawowych narzędzi EDR, organizacja zyskuje przede wszystkim większą widoczność zdarzeń w swojej infrastrukturze, a więc i możliwości reagowania na nie, ale generuje to dodatkowy nakład pracy po stronie zespołów bezpieczeństwa i SOC.
  2. Zautomatyzowany EDR – będzie cechowała nie tylko sprawność wykrywania, ale także dodatkowo automatyczna priorytetyzacja alertów generowanych w systemie, a w niektórych przypadkach również możliwość definiowania automatycznych akcji. Odciąża to zespoły cyber security, dając więcej czasu na realizowanie zadań związanych z wyszukiwaniem zdarzeń mogących wskazywać na udane ataki na infrastrukturę i zwalczanie zaawansowanych zagrożeń, jak np. ransomware/ cryptolocker, również za pomocą bogatych możliwości przeszukiwania i analizowania zbieranych danych.
  3. Zarządzane EDR (Managed EDR lub MEDR) – to forma narzędzia najczęściej świadczona w formie usługi przez producentów systemów. Opiera się na proaktywnych działaniach realizowanych, przy pomocy narzędzia EDR, przez zespół doświadczonych ekspertów bezpieczeństwa. Mają oni dodatkowe wsparcie w postaci dużych zasobów danych i zaawansowanej analityki, posiadanych przez dużych producentów systemów cyber bezpieczeństwa.

3 powody dlaczego EDR jest istotny?

W sytuacji gdy atakujący i wykorzystywane przez nich metody i malware stają się coraz sprytniejsi,
a zaawansowane, często celowane, ataki są coraz trudniejsze do wykrycia przez narzędzia ochrony antymalware’owej, budowane w organizacjach zabezpieczenia endpoint protection muszą być również sprytne. Tu właśnie świetnie znajdują swoje miejsce narzędzia Endpoint Detection and Response.

  • Po pierwsze więc zastosowanie EDR pozwala wykrywać złośliwą aktywność zagrożeń, którym udało się przeniknąć przez nasze zabezpieczenia, oferując zespołom bezpieczeństwa lepszą widoczność, łatwiejsze zbieranie informacji, oraz możliwość odpowiedniego reagowania na incydenty. Inaczej mówiąc, może pomóc uniknąć sytuacji, gdy atakujący są obecni w infrastrukturze organizacji przez wiele tygodni i wracając do niej w dowolnym momencie, zupełnie bez wiedzy działu bezpieczeństwa. Jest to możliwe właśnie dlatego, że zabezpieczenia przeciw zagrożeniom i włamaniom zostały oszukane i ominięte.
  • Po drugie narzędzia tej klasy mogą stać się centralnym punktem zbierania informacji
    o zdarzeniach w infrastrukturze stacji końcowych dla zespołów SOC, doskonale uzupełniając narzędzia takie jak SIEM czy SOAR, obecne już w wielu organizacjach.
  • Ale to wciąż nie wszystko, bo dzięki automatyzacjom oraz priorytetyzacji wykrywanych zdarzeń, systemy EDR pomogą również odciążyć zespoły bezpieczeństwa i analityków SOC, oszczędzając ich czas i ułatwiając radzenie sobie z incydentami. Jeśli dodatkowo narzędzia pozwalają na automatyzację reakcji na choćby część zdarzeń, oszczędność czasu naszych specjalistów będzie jeszcze większa, a przecież wiele organizacji ma obecnie trudności
    z pozyskaniem wykwalifikowanego personelu z obszaru cybersecurity.

Dzięki tym funkcjonalnościom EDR, zespoły cybersecurity będą mogły także w szybki i efektywny sposób realizować swoje zadania związane z przeglądami infrastruktury punktów końcowych
w poszukiwaniu podejrzanych zdarzeń i aktywności, które mogą świadczyć o poważnych atakach lub nawet włamaniach. Ponadto wszystkie te czynności będą zajmować znacznie mniej czasu, czyniąc zespoły bezpieczeństwa efektywniejszymi w zapobieganiu włamaniom i minimalizacji ryzyka np. utraty ważnych dla organizacji danych, czy utraty ciągłości działalności biznesowej przez organizację.