End-point detection and response
End-point detection and response (EDR) je programska oprema, ki deluje kot programski klient na delovnih postajah in strežnikih.
Namen programske opreme je podrobno spremljanje vseh aktivnosti na delovnih postaji, ki se nato (praviloma z uporabo algoritmov naprednega strojnega učenja) podrobno analizirajo s ciljem zaznati morebitne napadalce oz. vsiljivce.
Primarma vloga EDR sistemov je v zaznavi zlorab.
Katere izzive naslavlja WithSecure Elements Endpoint Detection and Response?
- Identifikacija napadalcev na delovnih postajah in strežnikih. Če bo napadalec vdrl na našo delovno postajo ali pa bo napadalec "na daljavo" uspel sprožiti zlonamerno datoteko, bi EDR programska oprema zaznala nezaželjene aktivnosti.
- Identifikacija skritih napadalcev na delovnih postajah in strežnikih. EDR programska oprema ima bistveno bolj učinkovit princip zaznavanja zlonamernih aktivnosti, kot ima to na primer protivirusna zaščita. EDR programska oprema namreč bazira na zaznavanju in pregledovanju aktivnosti, procesov in podobnih zadev. V tem kontekstu se je praktično nemogoče "skriti" pred takšno zaščito
- Preprečevanje napadov in zlorab na delovnih postajah in strežnikih. Poleg zaznavanja, pa lahko EDR tudi prepreči napad. EDR programska oprema vsebuje tudi mehanizme, ki tudi preprečijo izvajanje nezaželjenih procesov in aktivnosti, na pa da jih samo zaznajo.
Vsaka postavitev je unikatna in ima svoje posebnosti.
Zato za vsako stranko posebej prilagodimo tudi našo ponudbo!
Pokličite 040 440 373 ali oddajte povpraševanje.
Zakaj je Elements Endpoint Detection and Response potreben dodatek protivirusni zaščiti?
Protivirusna zaščita bazira na principu pregledovanja zlonamernosti datotek. V tem smislu je protivirusna zaščita vsekakor nujno potreben del vseh informacijskih okolij, vendar ta zaščita ni zadostna. Že na nivoju datotek se izkaže, da lahko napadalec pripravi datoteko, ki jo protivirusna zaščita še ne pozna. Hkrati pa problem nastane pri napadih, ki za izvajanje sploh ne potrebujejo datoteke kot takšne (recimo napadalec nepooblaščeno dostopa do delovne postaje preko RDP protokola in nato na njej ročno vpisuje ukaze v CMD/Powershell konzolo)
EDR programska oprema bazira na drugačnem princpiu zaznavanja zlonamernih aktivnosti. EDR programska oprema spremlja procese, programe, zapise in vse ostale aktivnosti na delovni postaji. Torej ne išče potencialno zlonamernost v “inputu”, ampak išče potencialno zlonamernost v “outputu” oz. v posledici vseh aktivnosti. Izkaže se, da je ta princpi bistveno bolj učinkovit. Če namreč pregledujemo “input”, velja princip “dovolj je ena napaka v varnostnem sistemu in napadalec bo prišel skozi filter”. Če pa pregledujemo “output”, pa velja princip “dovolj je ena napaka napadalca in v analizi outputa ga bomo zaznali”.
Hkrati pa EDR pri svoji analizi uporablja napredne mehanizme Strojnega učenja in Umatne inteligence zaradi česar je analiza še toliko bolj učinkovita in natančna.
V čem se EDR programska oprema razlikuje med sabo?
- EDR je učinkovito povezan s protivirusno zaščito. Protivirusna zaščita je sicer neodvisna od EDR programske opreme. Vendar je smiselno, če sta ta dva sistema vseeno povezana - predvsem gledano iz stališča enostavne implementacije in instalacije ter iz stališča preglednosti stanja instalacij.
- EDR bo zaznal največ različnih načinov napadov. Neodvisni testi MitreAttack agencije so pokazali, da med EDR programsko opremo WithSecure Elements EDR zazna največ različnih tehnik napadov.
- EDR bo zgrešil najmanj napadov. Neodvisni testi MitreAttack agencije so pokazali, da med EDR programsko opremo WithSecure Elements EDR zgreši spregleda najmanj poizkusov napadov.
- Lažnih in nepotrebnih alarmov na EDR opremi je bistveno manj kot drugje. Lažni in nepotrebni alarmi so lahko zelo škodljivi. Ti namreč bistveno znižujejo uporabo tovrstnih orodij. Pomembno je, da je tovrstnih nepotrebnih alarmov čim manj.
- EDR nudi pregleden in uporaben vmesnik za skrbnike. Po zaznavi napadov je dostikrat pomemben odziv skrbnikov. Poleg samega alarma, da je napad v teku, je za skrbnike zelo pomembno, da pridobijo čim več podatkov, da lahko ustrezno odreagirajo. EDR preko preglednega vmesnika omogoča skrbnikom, da ob napadih pridobijo zelo podrobne in koristne informacije za nadaljnje ukrepanje.
- EDR lahko napad tudi prepreči, ne samo zazna. Osnovni princip delovanja EDR opreme je zaznavajne. Preprečevanje nato na osnovi zaznanih alarmov izvajajo drugi sistemi. Vendar je pri tistih najbolj agresivnih napadih (recimo Crypto napad) nujno potrebno da pravilno odreagira že EDR oprema sama. WithSecure Elements EDR omogoča samodejno ukrepanje v primeru takšnih napadov.
