Endpoint detection and response (EDR/XDR): novi standard u odbrani

Organizacije, bez obzira na njihovu veličinu, trebaju više od otkrivanja izolovanih "virusa" na računarima: ono što obično zovemo "antivirusni softver" sada postaje XDR/EDR softver

Antivirusni ili antimalver softver na vašem računaru dugo se smatra default funkcionalnošću. Microsoft Windows, na primjer, već dugi niz godina ugrađuje svoje mogućnosti detekcije kroz Defender.

Poslovni i kućni korisnici očekuju da će detekcija „virusa“ biti ugrađena kao osnovni dio „usluge“ korištenja računara (vaš MS Windows ili Apple OS je sada usluga). Prije deset godina postalo je jasno da tradicionalni pristup otkrivanju zlonamjernog softvera zasnovanog na uzorcima nije efikasan: zlonamjerni akteri jednostavno mogu proizvesti toliko mnogo varijanti zlonamjernog softvera da bi svaki pokušaj da ih otkriju putem poznatih obrazaca detekcije sigurno propao.

Tržište zlonamjernog softvera je toliko zrelo da akteri sada mogu isporučiti najmoderniju infrastrukturu za napade, od DDoS-a do sofisticiranih napada zasnovanih na najnovijim rootkitovima i ranjivostima - malware-as-a-service je dugo bio profitabilan poslovni model.

Prodavci antimalvera odgovorili su na mnogo načina na ovo širenje zlonamjernog softvera - od praćenja ponašanja do provjera u realnom vremenu korištenjem nekog oblika cloud provjere sumnjivog url-a ili fajla. Međutim, čak i ovaj pristup skoro u realnom vremenu sada je zastario na najmanje dva važna načina.

Prvo, dobijanje upozorenja o otkrivanju u datotekama ne daje kontekst: da li se ovo otkriće dogodilo na nekoliko drugih računara? Ako je tako, koje su to krajnje tačke? Da li je otkrivanje praćeno poznatim metodama i tehnikama napada (npr. promjena postavki registra, pisanje dodatnih datoteka, itd.)? Da li je otkriću prethodila isporuka e-pošte grupi korisnika? Jesu li pogođeni i ovi korisnici (jesu li kliknuli na zlonamjerni link)? A lista pitanja se nastavlja... da bi odgovorili na njih, IT administratori obično moraju ručno pretraživati ​​više nepovezanih izvora podataka (logove), možda koristeći vlastite razvijene skripte (powershell, itd.). Lako je uočiti da ovaj pristup nije skalabilan kada se upravlja desetinama, stotinama ili hiljadama krajnjih tačaka ili računara.

Drugo, ako IT administrator konačno zaključi da se radi o valjanom zlonamjernom napadu na organizaciju, ključno je brzo ga osujetiti daljinskim odgovorom na širok spektar pogođenih krajnjih tačaka. Ovo uključuje radnje kao što je izolacija uređaja blokiranjem svih mrežnih veza ili vraćanjem određenih datoteka u prvobitno stanje, vraćanjem unosa u regitry tako dalje. Opet, sve ovo može da se uradi pomoću alata za udaljenu administraciju (računari u Active Directory-ju to sve dozvoljavaju), ali brzo postaje opterećujuće i zahteva mnogo vještine da se pravilno primeni, posebno ako su računari raštrkani od kancelarije do kuće.

Vještine i vrijeme su oskudni resursi u organizacijama kada je u pitanju IT. Otkrivanje zlonamjernog softvera je default funkcionalnost za koju očekujemo da će biti ugrađena u operativni sistem. Ali imati operativnu vidljivost o tome koliko je svako detektovanje zaista rizično, njegov uticaj na sve računare i korisnike, a zatim i sposobnost brzog reagovanja - to je ono na šta organizacije treba da se fokusiraju, jer zlonamerni akteri pokušavaju da ostanu skriveni u okruženju i da se kreću kroz organizaciona IT sredstva što je duže moguće.

Srećom, takva rješenja su sada dostupna na tržištu kao EDR/XDR i daju novo značenje onome što tradicionalno nazivamo "antivirus".