Wstęp
EDR to skrót od angielskiego Endpoint Detection and Response. Można to przetłumaczyć jako detekcja i odpowiedź [na incydenty] na urządzeniach końcowych. Oznacza to, że EDR to rozwiązania nakierowane na ochronę urządzeń, które są używane bezpośrednio przez użytkowników – przede wszystkim komputerów.
Źródło: https://pixabay.com/pl/illustrations/bezpiecze%C5%84stwo-cyber-dane-komputer-4868165/
Do czego służy EDR?
Złośliwe oprogramowanie przybiera różną postać. Cyberprzestępcy nie ustają w wymyślaniu coraz to nowszych metod ataku. Rozwiązania takie jak SIEM, SOAR czy IDS w dzisiejszych czasach są koniecznością, lecz wyróżniają się jedną ważną cechą – nie działają na końcowym urządzeniu. EDR jest uzupełnieniem tej układanki, ponieważ skupia się na działaniach na endpointach.
EDR pozwala na rejestrowanie podejrzanych działań i natychmiastowe reagowanie. Warto podkreślić, że EDR nie ma na celu wykrywania samego faktu istnienia malware’u w systemie, lecz wykrywanie nietypowego zachowania. Endpoint Detection and Response pozwala na szybsze reagowanie na incydenty, ponieważ stale analizuje zachowanie danego urządzenia końcowego.
Źródło: https://pixabay.com/pl/photos/blockchain-glob-sie%C4%87-digitalizacja-3537389/
Dlaczego EDR jest taki ważny?
Rola EDR ciągle rośnie ze względu na dynamikę zagrożeń. W związku z ciągłym powstawaniem coraz to bardziej wyrafinowanych programów typu ransomware lub spyware, kluczowe stało się analizowanie zachowania danego programu. Nie może tego zapewnić każdy antywirus – z założenia ma on wykrywać oprogramowanie, które zostało oznaczone jako złośliwe. Antywirus działa na podstawie sygnatur, zaś EDR wykrywa i reaguje na nietypowe zachowania, które zostały spowodowane przez malware.
EDR jest rozwiązaniem, które stale się rozwija, ponieważ zmieniają się zagrożenia w cyberprzestrzeni. To rozwiązanie coraz częściej działa w oparciu o sztuczną inteligencję, która pozwala również na m.in. korelowanie ze sobą różnych incydentów bezpieczeństwa.
To właśnie EDR:
- analizuje modyfikację plików,
- analizuje procesy na urządzeniu końcowym,
- czuwa nad modyfikacjami rejestru Windowsa,
- bada dzienniki Windowsa,
- porównuje hashe plików,
- kończy podejrzane procesy i usuwa pliki,
- analizuje dyski zewnętrzne i pamięci USB, które są podłączane do urządzenia końcowego.
Źródło: https://pixabay.com/pl/illustrations/bezpiecze%C5%84stwo-cyber-dane-komputer-4868165/
Dlaczego EDR jest warty wdrożenia?
Przede wszystkim EDR zakłada pracę na urządzeniach końcowych. Im więcej takich urządzeń w organizacji, tym więcej pracy będzie wymagało wdrożenie EDR. Jednakże nakład pracy we wdrażaniu EDR powinien się zwrócić w postaci mniejszej ilości alertów w SOC, dzięki czemu operatorzy będą mogli zająć się innymi incydentami.
Należy również pamiętać o tym, że EDR nie jest „magicznym rozwiązaniem” na wszystkie bolączki bezpieczeństwa urządzeń końcowych. Nie zwalnia to administratorów z np. aktualizowania systemów, zaś użytkowników z rozwagi w korzystaniu z komputera.
Przykładowe EDR
Pozycja w zestawieniu nie przesądza o najlepszym bądź najgorszym EDR. Dobór miejsc jest przypadkowy.
SentinelOne Singularity Endpoint
Singularity to platforma, która charakteryzuje się wykorzystaniem sztucznej inteligencji. SentinelOne to firma, która skupia się przede wszystkim na bezpieczeństwie sieci i urządzeń końcowych.
CrowdStrike Falcon
CrowdStrike twierdzi, że Falcon pozwala na zmniejszenie liczby alarmów o 75% i zmniejszenie czasu potrzebnego na obsługę incydentu o 70%.
Microsoft Defender for Endpoint
Microsoft Defender dla urządzeń końcowych skupia się m.in. na walce z ransomware, czyli oprogramowaniem wymuszającym okup.
Cisco Secure Endpoint
Cisco pozwala na porównanie swoich rozwiązań do konkurencji – zestawienie.
Na co należy zwrócić uwagę podczas wdrażania EDR?
Przede wszystkim należy zwrócić uwagę na rozmiar naszej organizacji i możliwość integracji z obecnym środowiskiem. Mowa tutaj przede wszystkim o SIEM, SOAR i firewallach.
Kluczowe jest również to, aby pozostawać w zgodzie z regulacjami i naszymi potrzebami. Armata na komara może być tak potrzebna jak pistolet na wodę na krokodyla 🙂
Sztuczna inteligencja przyszłością EDR?
AI coraz częściej pojawia się w rozwiązaniach niebieskiej strony mocy. Należy jednak pamiętać o tym, że wraz ze sztuczną inteligencją i jej dobrodziejstwami mogą wiązać się nowe zagrożenia.
Jedno jest nieuniknione – rozwiązania takie jak EDR będą stale się rozwijać, ponieważ stale rozwijają się zagrożenia w cyberprzestrzeni.
Źródło: https://pixabay.com/pl/illustrations/sztuczna-inteligencja-m%C3%B3zg-my%C5%9Ble%C4%87-3382507/
Podsumowanie
EDR to kolejna linia obrony przed zagrożeniami w cyberprzestrzeni. Różni się od klasycznego podejścia do ochrony urządzeń końcowych – skupia się na analizowaniu działań zamiast wyszukiwaniu sygnatur świadczących o obecności szkodliwego oprogramowania.
Warto wdrożyć EDR w swojej organizacji, szczególnie jeśli jest w niej wiele urządzeń końcowych. Każde z nich może posłużyć cyberprzestępcom do kompromitacji środowiska, dlatego należy je dobrze zabezpieczyć. Bez wyjątków.
Pisał dla Was Oskar Klimczuk.
Źródła
https://kapitanhack.pl/2019/09/23/akronimy/co-to-jest-edr/
https://www.trendmicro.com/pl_pl/what-is/xdr/edr.html
https://www.gartner.com/reviews/market/endpoint-detection-and-response-solutions