Wykrywanie i reagowanie w punktach końcowych (EDR) to kategoria narzędzi bezpieczeństwa, które monitorują urządzenia użytkownika końcowego w sieci pod kątem szeregu podejrzanych działań i zachowań, reagując automatycznie w celu zablokowania zauważonych zagrożeń i zapisując dane kryminalistyczne w celu dalszego zbadania.

Platforma EDR łączy w sobie głęboki wgląd we wszystko, co dzieje się na urządzeniu końcowym — procesy, zmiany w bibliotekach DLL i ustawieniach rejestru, aktywność plików i sieci — z funkcjami agregacji danych i analiz, które umożliwiają rozpoznawanie zagrożeń i przeciwdziałanie im przez zautomatyzowane procesy lub interwencję człowieka .

tutaj ogólnie oznacza dowolne urządzenie użytkownika końcowego, od laptopa po smartfon, i może obejmować również gadżety IoT.

Powszechnie przyjmuje się, że pierwsze rozpoznanie kategorii wykrywania i reakcji w punktach końcowych znajduje się w poście na blogu z 2013 r. autorstwa analityka Gartnera Antona Chuvakina, który próbował wymyślić „ogólną nazwę dla narzędzi skoncentrowanych głównie na wykrywaniu i badaniu podejrzanych działań (i ślady takich) innych problemów na hostach/punktach końcowych.”

Użył tego wyrażenia, ale bardziej zwięzłe jest to, co się przyjęło.

EDR kontra antywirus / EDR kontra EPP

Dobrym sposobem na zrozumienie kategorii takiej jak EDR jest zbadanie, co odróżnia ją od podobnych ofert. EDR jest często przeciwstawiany programom antywirusowym lub platformom ochrony punktów końcowych (EPP), które są ofertami parasolowymi, które integrują funkcje antywirusowe/antymalware z innymi znanymi narzędziami bezpieczeństwa — szyfrowaniem danych, zaporami ogniowymi, systemami zapobiegania włamaniom itd. .

Narzędzia tworzące EPP mają zwykle charakter prewencyjny i są oparte na sygnaturach, co oznacza, że ​​dopasowują potencjalne zagrożenia do bazy danych znanego złośliwego kodu w celu powstrzymania ataków przed ich rozpoczęciem.

Jednak w miarę jak zagrożenia stają się coraz bardziej zwinne, ten rodzaj obrony, który zależy od statycznej biblioteki znanych zagrożeń i solidnej obrony na obwodzie, staje się mniej skuteczny – i tu właśnie pojawia się EDR.

Cała akcja zachodząca na punktach końcowych — od zmian konfiguracji po uruchamiane lub zabijane procesy, po uzyskiwanie dostępu, kopiowanie lub eksfiltrowanie plików — jest mięsem operacji hakerskiej, a platformy EDR mają na celu zapewnienie pracownikom ochrony miejsca w pierwszym rzędzie wraz z pewien stopień zautomatyzowanej odpowiedzi.

Jak to działa w praktyce? Platformy EDR zazwyczaj składają się z agentów zainstalowanych na urządzeniach użytkowników końcowych; ci agenci monitorują aktywność i wysyłają informacje z powrotem do scentralizowanego serwera, który może znajdować się lokalnie lub w chmurze.

Serwer może automatycznie wykrywać problemy i próbować je naprawić lub zaalarmować pracownika ochrony; udostępnia również informacje za pośrednictwem pulpitów nawigacyjnych monitorowanych przez zespoły infosec.

Wykrywanie punktów końcowych i przypadki użycia odpowiedzi

W jakich scenariuszach EDR naprawdę błyszczy? Archetypowym przypadkiem użycia EDR byłby scenariusz, w którym aktywne zagrożenie występuje w wielu formach w punkcie końcowym, patrząc na wzorce działania, a nie na prostsze sygnały, takie jak konkretny wirus lub naruszenie zapory.

Na przykład osoba atakująca, która kradnie ważne dane uwierzytelniające w wyniku ataku phishingowego, może normalnie zalogować się do systemu bez wywoływania alarmów lub używania złośliwego oprogramowania.

Początkowo mieliby wolną rękę w punkcie końcowym, ale ich późniejsze działania, takie jak próba podniesienia uprawnień lub przejścia poziomo do innych systemów, prawdopodobnie zostaną oznaczone przez dobry system EDR lub przynajmniej pozostawią ślady w danych, które człowiek infosec pro może zauważyć.

W poście na blogu z 2016 r. Gartner Chuvakin przedstawia najważniejsze przypadki użycia EDR:

  • Wykrywanie podejrzanej aktywności (w EDR)
  • Wspomaganie i automatyzacja przeszukiwania i badania danych (w EDR)
  • Wykonywanie segregacji potencjalnie podejrzanej aktywności
  • Umożliwienie eksploracji danych i polowania
  • Automatyczne blokowanie i powstrzymywanie szkodliwej aktywności

Możliwości EDR

Istnieje wiele specyficznych funkcji, które platformy EDR muszą zapewnić w ramach tych ram, ale tak jak w przypadku wielu szerokich kategorii produktów, nie ma jednej kanonicznej listy funkcji EDR.

Ale po przyjrzeniu się ofertom różnych dostawców, w tym Digital Guardian, Cybereason i Carbon Black, wraz z postem Gartnera, od którego wszystko się zaczęło, przygotowaliśmy listę niektórych z najczęściej oferowanych funkcji EDR.

  • Wykrywanie podejrzanej aktywności jest sednem tego, co robi EDR: chcesz wiedzieć, kiedy coś idzie nie tak.
  • Zaawansowane blokowanie zagrożeń działa w celu zwalczania zagrożeń, gdy tylko zostaną wykryte.
  • Sortowanie i filtrowanie alertów jest ważne w walce ze „zmęczeniem alarmowym” wśród pracowników infosec. Rozwiązanie EDR powinno być w stanie przebrnąć przez potencjalne znaki ostrzegawcze i nasilać się tylko wtedy, gdy coś naprawdę wymaga ludzkiej uwagi.
  • Ochrona przed wieloma zagrożeniami—umiejętność na przykład jednoczesnego odpierania ataków ransomware i złośliwego oprogramowania jest potrzebna, aby zapobiegać zaawansowanym atakom, które mogą przychodzić falami.
  • Polowanie na zagrożenia i reagowanie na incydenty funkcje pomagają pracownikom ds. bezpieczeństwa w przeszukiwaniu danych kryminalistycznych w poszukiwaniu potencjalnych ataków.
  • Widoczność jest kluczem do prawie wszystkich powyższych możliwości. Platforma EDR musi być w stanie zajrzeć do wszystkich punktów końcowych i połączeń między nimi, aby śledzić podejrzaną aktywność.
  • Ujednolicone dane z kolei pomaga platformie EDR zrozumieć wszystko, co widzi, łącząc informacje z różnych źródeł w spójny obraz.
  • Integracja z innymi narzędziami pomaga rozszerzyć moc EDR i upewnić się, że pomoże Ci uzyskać najwyższy zwrot z każdej zainwestowanej złotówki: widoczność i dostęp do danych zapewniana przez platformę EDR powinny sprawić, że istniejące narzędzia bezpieczeństwa będą działać bardziej efektywnie. Platforma EDR powinna być mnożnikiem siły, a sprzedawcy chętnie kultywują całe ekosystemy, które mogą współpracować z ich ofertami EDR.

Oprogramowanie i rozwiązania EDR

Na rynku jest wielu dostawców rozwiązań do wykrywania i reagowania w punktach końcowych, oferujących platformy. Aby dokładnie zapoznać się z trzema z nich, które mogą dać ci wyobrażenie o różnicach w ofercie produktów, spójrz na te recenzje od i IDG:

„CrowdStrike Falcon przełamuje schemat EDR”

„Ochrona punktów końcowych za pomocą wszechmocnych agentów SentinelOne”

„W pełni autonomiczna platforma cyberbezpieczeństwa? Cynet 360 jest blisko”

Inne ważne oferty obejmują:

  • Symantec Endpoint Protection, który obejmuje oprogramowanie antywirusowe, zapobieganie wykorzystaniu pamięci, technologię oszustw, zaporę sieciową urządzenia i zapobieganie włamaniom, a także EDR
  • Punkt końcowy RSA NetWitness, dostępne jako urządzenie fizyczne lub wirtualne
  • Wykrywanie i reagowanie na punkty końcowe Cybereasonu, które mogą łączyć dane EDR z alertami z narzędzi SEIM i zapór sieciowych
  • Bezpieczeństwo punktów końcowych FireEye, w skład której wchodzi agent z czterema silnikami detekcji
  • Sadza, należące do VMware i zapewniające bezpieczeństwo zwirtualizowanym centrom danych

Rynek EDR

Rynek EDR jest już duży – i rośnie. Statista szacuje, że do 2020 r. rynek narzędzi EDR będzie wart 1,5 miliarda dolarów. Gartner uważa, że ​​platforma EDR stanie się koniecznością dla dużych firm: przewidują, że do 2025 r. 70 procent organizacji z ponad 5000 punktów końcowych będzie miało EDR wdrożone oprogramowanie.

Należy jednak pamiętać, że cały rynek EDR jest pod pewnymi względami próbą umieszczenia etykiety parasolowej w nieco niejednorodnej kategorii, a zatem stale ewoluuje.

Dzięki wielu dostawcom oferującym zarówno platformy EDR, jak i EPP — i umożliwiającym współpracę różnych narzędzi na każdej z platform — pomagają oni napędzać rozwój bardziej ogólnego, ujednoliconego rynku ochrony punktów końcowych, którego sprzedaż może przekroczyć 7 miliardów dolarów.