Ce este EDR?
Incepem cu o simpla analogie intre cutia neagra a unui avion si o solutie de EDR (Endpoint Detection and Response).
Orice avion are la bordul sau o cutie neagra care inregistreaza o multitudine de parametri ca viteza vantului, temperatura exterioara, consumul de combustibil, altitudine, traseul de zbor parcurs, culesi pe parcursul intregului zbor, de la decolare pana la aterizare. In cazul nefericit al unui accident, informatiile inregistrate de cutia neagra pot fi folosite de investigatori pentru a determina cauzele accidentului si modul in care acesta s-a petrecut. Analiza rezultata poate duce la evitarea unor incidente similare in viitor.
O solutie de EDR este o forma de protectie a dispozitivelor care monitorizeaza in mod continuu activitatea endpoint-ului (procese rulate, programe instalate, conexiuni de retea) si foloseste informatiile de telemetrie astfel colectate pentru a oferi o intelegere mai buna asupra modului in care dispozitivul a fost infectat si mecanismul prin care malware-ul se raspandeste in interiorul retelei. Folosind aceste date de telemetrie, organizatiile se pot pregati in mod corespunzator pentru a preveni o infectie similara.
Cand se vorbeste despre EDR, cel mai adesea se face referire la o solutie de protectie a dispozitivelor utilizatorilor care are si functionalitati de EDR. Cele doua lucruri nu sunt identice. O solutie de EDR nu este capabila sa blocheze un atac de una singura fara sa aiba ajutorul unei solutii de antivirus, antimalware sau alte software-uri de mitigare a amenintarilor.
Din ce este compusa o solutie de EDR?
O solutie de EDR este compusa din trei blocuri functionale:
- managementul endpoint-urilor: mai exact, capabilitatea solutiei de EDR de a fi instalata pe un dispozitiv, de a colecta date de telemetrie si de a stoca aceste date intr-o alta locatie pentru fi analizate imediat sau la un alt moment de timp. EDR poate fi instalat ca o solutie de sine statatoare sau poate fi inclus intr-o solutie de protectie mai cuprinzatoare cu beneficiile de a avea mai multe capabilitati integrate intr-un singur agent instalat pe dispozitiv si o singura interfata de management prin care se configureaza setarile si politicile de securitate
- analizarea datelor colectate: EDR poate sa inregistreze date brute, sa le prelucreze si sa ofere informatii usor de inteles pe baza carora un analist SOC poate sa inteleaga modul in care s-a desfasurat atacul, ce artefacte au fost lasate in urma de malware si care sunt indicatorii de compromitere (IoCs) activati de malware. Astfel, se poate construi un plan de raspuns care sa combata eventualele atacuri similare
- “vanarea” amenintarii (threat hunting): solutia de EDR scaneaza programele, fisierele si procesele rulate de utilizatori, precum si conexiunile de retea pentru a identifica parametrii specifici unui malware.
- raspunsul la un incident: solutiile EDR pot avea capabilitatea de a face snapshot-uri sistemului de operare sau system restore points prin care se poate reveni la o stare de functionare anterioara unei infectari cu malware. EDR ofera si posibilitatea de a izola un dispozitiv infectat pentru a limita raspandirea malware-ului in retea pe alte endpoint-uri sau servere. Remedierea endpoint-ului infectat se poate face automat, manual sau printr-o combinatie de cele doua.
De ce un program antimalware nu este suficient?
Un program antimalware este un software capabil sa identifice si sa stopeze amenintari cibernetice precum infectii cu virusi, viermi si cai troieni, dar si amenintari moderne ca ransomware, adware sau spyware. Insa, programul antimalware nu are capabilitatile extinse de raportare pe care le are o solutie de EDR si de care inginerii de securitate au atata nevoie. Solutia de EDR raspunde la intrebari precum “Ce s-a intamplat pana acum pe dispozitiv?” si “Ce se intampla in acest moment cu dispozitivul?”. EDR ofera in orice moment o vedere exacta asupra activitatii de pe dispozitiv si, atunci cand se intampla ceva care iese din cotidian, ceva neobisnuit, administratorii de securitate sunt notificati si acestia pot avea la dispozitie optiunea de a izola dispozitivul, de a carantina amenintarea sau de a remedia endpoint-ul.
In prezent, cel mai mare pericol pentru organizatii este ransomware-ul. Sunt vizate companii de orice dimensiune. Pentru atacatori este importanta informatia pe care o gasesc in interiorul companiei si cat de valoroasa este aceasta pe piata neagra (dark web), si nu numarul de angajati prezenta geografica sau cifra de afaceri. Companii private, furnizori de managed services (MSPs), scoli si universitati, spitale, primarii si alte institutii de stat, toate pot fi victimele unei brese de securitate sau a unei infectari cu ransomware.
Conform IBM, costul mediu al unei brese de securitate a crescut de la 3,86 milioane de dolari la 4,24 milioane USD. Cu aceasta statistica in minte este evident de ce o solutie de EDR ca Cisco Secure Endpoint este absolut cruciala in protejarea utilizatorilor, a dispozitivelor acestora si a datelor lor de amenintarile cibernetice si de impactul acestora asupra business-ului.
Mihai Dumitrascu, Sr Systems Engineer
