Endpoint Detection and Response (EDR) to rozwiązanie, które firmy traktują jako podstawowe narzędzie bezpieczeństwa chroniące ich organizacje przed cyberzagrożeniami. Rozwiązania EDR zostały wprowadzone około 9 lat temu, a analitycy szacują obecnie wielkość rynku EDR na 1,5 do 2,0 miliardów dolarów rocznego przychodu na całym świecie. Przewidując tym samym jego czterokrotny wzrost w ciągu najbliższych 5 lat. Jednak niedawne wprowadzenie rozwiązań XDR (Extended Detection and Response) z pewnością zmniejszy znaczną część tego zapotrzebowania.
Już 17 maja odbędzie się webinarium, na którym Bartek opowie nieco więcej o tym rozwiązaniu. Link do rejestracji znajdziecie tutaj.
Garść pytań, które warto sobie zadać podczas doboru rozwiązania
Przyjrzyjmy się pokrótce pytaniom, które należy zadać, aby podjąć decyzję, czy należy pozostać przy dotychczasowym rozwiązaniu EDR, czy też rozważyć aktualizację do rozwiązania XDR.
Czy posiadane rozwiązanie EDR zapewnia wystarczającą widoczność i ochronę?
Rozwiązania Endpoint Detection and Response koncentrują się na zagrożeniach z punktów końcowych. Rozwiązania te są bardzo cenne w zapobieganiu i wykrywaniu wielu form ataków z punktów końcowych. Jednak obecnie nowe, zaawansowane zagrożenia są w stanie ominąć system EDR.
Na przykład, czy Twoje rozwiązanie EDR może wykryć ruchy boczne skutecznego napastnika, który z powodzeniem ominął system EDR i teraz sonduje sieć w poszukiwaniu aktywów o większej wartości? Czy rozwiązanie EDR wykrywa złośliwe działania wewnętrzne, które mogą doprowadzić do naruszenia bezpieczeństwa danych?
Czy rozwiązanie EDR zapewnia zautomatyzowane schematy postępowania w celu pełnego wyeliminowania zagrożeń?
Wiele narzędzi EDR jest w stanie automatycznie wykrywać i usuwać różne zagrożenia z punktów końcowych. Na przykład, rozwiązania EDR mogą automatycznie wykonywać pewne działania naprawcze dotyczące plików (usuwanie, kwarantanna, zabijanie procesów) oraz hostów (izolowanie, uruchamianie poleceń, uruchamianie skryptów).
Pełna remediacja wymaga czasami podjęcia działań na poziomie sieci i użytkowników.
- Zweryfikuj czy Twój system EDR zapewnia pełne remediacje hosta poza wymienionymi powyżej (np. restart, zmiana IP, usunięcie usługi).
- Sprawdź czy system EDR stosuje działania naprawcze w stosunku do sieci (np. blokowanie ruchu, czyszczenie pamięci podręcznej DNS), użytkowników (np. wyłączenie/włączenie, resetowanie hasła) oraz innych komponentów środowiska (np. firewall, proxy, active directory).
Czy rozwiązanie Endpoint Detection and Response zapewnia automatyczne badanie i reagowanie?
Platformy EDR wykrywają zagrożenia, a następnie podejmują działania zaradcze w celu usunięcia zidentyfikowanego zagrożenia. Co potem? Zidentyfikowane i naprawione zagrożenie nie powinno być końcem procesu. Każdy alert wygenerowany przez rozwiązanie EDR może wskazywać na większy, poważniejszy incydent bezpieczeństwa. Dlatego wymaga pewnego poziomu dochodzenia – nawet jeśli samo zagrożenie zostało usunięte. A skąd wiadomo, że naprawione zagrożenie nie wykonało złośliwego działania zanim zostało wykryte i zlikwidowane?
- System EDR powinien automatycznie badać zagrożenia wysokiego ryzyka w celu określenia pierwotnej przyczyny i pełnego zakresu ataku w całym środowisku.
- Czy Twoje rozwiązanie EDR może automatycznie podjąć działania zaradcze w celu całkowitego wyeliminowania wszystkich elementów ataku?
Czy dostawca EDR pobiera dodatkowe opłaty za usługi MDR?
Większe przedsiębiorstwa mogą korzystać z usług Managed Detection and Response (MDR), aby pomóc przeciążonym pracownikom ochrony i uzupełnić ich umiejętności. Mniejsze przedsiębiorstwa mogą skorzystać z usług MDR w celu uzupełnienia brakującej wiedzy z zakresu bezpieczeństwa cybernetycznego.
Czy Państwa dostawca Endpoint Detection and Response oferuje opcjonalne usługi MDR za opłatą? A jeśli tak, to czy obejmują one:
- Proaktywne monitorowanie środowiska 24×7, aby mieć pewność, że żadne zagrożenie nie zostanie przeoczone?
- Pełne wytyczne dotyczące wdrażania działań naprawczych niezbędnych do wyeliminowania wykrytych zagrożeń?
- Badania ad-hoc podejrzanych plików i wszelkich innych pytań, jakie może mieć zespół ds. bezpieczeństwa?
Czy Twoje rozwiązanie EDR zawiera technologię przechwytywania informacji?
Duże przedsiębiorstwa polegają na technologii Deception w celu wykrycia napastników, którzy z powodzeniem przeniknęli do środowiska. Technologia ta wykorzystuje hosty, pliki, sieci itp., które po uzyskaniu dostępu przez atakującego ujawniają jego obecność. Technologia ta jest bardzo korzystna, ale jest kosztowna, trudna do wdrożenia i zarządzania. Korzystają z niej zazwyczaj tylko duże przedsiębiorstwa z zasobnymi portfelami.
- Czy posiadane rozwiązanie EDR oferuje technologię przechwytywania informacji?
- Czy Twoja organizacja jest przygotowana na dodanie kolejnej warstwy technologii bezpieczeństwa do istniejącego już zestawu?
Podsumowując
Organizacje zajmujące się bezpieczeństwem wydają się być zawsze niedofinansowane i mają za mało pracowników. Ponadto są zbyt zajęte, aby zrobić krok do tyłu i ponownie ocenić swoje podejście. Wyłaniającym się trendem w dziedzinie bezpieczeństwa jest konsolidacja technologii i automatyzacja procesów manualnych. Nowsze rozwiązania XDR spełniają te wymagania i z dużym prawdopodobieństwem mogą zapewnić większą wartość niż obecne rozwiązanie EDR.
Źródło: https://www.cybersecurity-insiders.com/how-to-get-the-maximum-value-from-your-edr-solution/