Co oznacza termin EDR ?
Kategorie : Blog o antywirusach
Co to jest EDR ?
EDR - Endpoint Detection and Response to stosunkowo nowa kategoria narzędzi do cyberbezpieczeństwa, zaprojektowana w celu zapewnienia organizacjom lepszej widoczności ich punktów końcowych, automatycznego wykrywania potencjalnych zagrożeń bezpieczeństwa i skrócenia czasu reakcji na incydenty.
Każdy punkt końcowy jest potencjalną bramą do sieci organizacji. Chociaż tradycyjne rozwiązania antywirusowe są skutecznymi narzędziami do blokowania zagrożeń na pojedynczych lub małych grupach urządzeń, często nie zapewniają widoczności potrzebnej do wykrywania i reagowania na wskaźniki włamania na jak najwcześniejszym etapie.
Właśnie tam pojawia się wykrywanie i odpowiedź punktów końcowych (EDR). Narzędzia EDR umożliwiają organizacjom ciągłe monitorowanie środowiska docelowego i gromadzenie cennych danych telemetrycznych, które można wykorzystać do selekcji i badania incydentów, niezależnie od liczby punktów końcowych w środowisku.
Jak działa EDR?
Specyficzne możliwości EDR mogą się znacznie różnić w zależności od dostawcy i sposobu wdrożenia systemu. Jednak na wysokim poziomie większość narzędzi EDR zapewnia te same podstawowe funkcje:
- Gromadzenie danych z punktów końcowych: Dane telemetryczne (np. działania procesów, zmiany plików, aktywność rejestru, aktywność sieciowa itp.) są gromadzone z punktów końcowych w środowisku, zazwyczaj za pośrednictwem agenta oprogramowania wdrożonego na każdym punkcie końcowym. Dane te są następnie przesyłane na scentralizowaną platformę, gdzie można je organizować i analizować. Scentralizowana platforma jest zwykle oparta na chmurze, chociaż wymagania dotyczące zgodności mogą wymagać zastosowania lokalnych wdrożeń w niektórych branżach.
- Analiza danych: technologia uczenia maszynowego pomaga analizować i interpretować surowe dane zebrane z punktów końcowych. Wiele rozwiązań EDR jest w stanie wykorzystać te dane do „uczenia się”, jak wygląda normalne zachowanie użytkownika, co może być następnie wykorzystane do podkreślenia nieprawidłowości w punktach końcowych. Personel ds. bezpieczeństwa może również wykorzystać narzędzia EDR do znalezienia pierwotnej przyczyny incydentu poprzez drążenie danych w celu określenia „kiedy”, „gdzie”, „jak” i „kto” zagrożenia.
- MITER ATT&CK: Wiele narzędzi EDR wykorzystuje platformę MITER ATT&CK , globalnie dostępną bazę wiedzy o taktykach i technikach przeciwnika, opartych na obserwacjach ze świata rzeczywistego, w celu kategoryzacji potencjalnie szkodliwych zdarzeń. Informacje te dostarczają analitykom bezpieczeństwa cennego wglądu w to, jak i dlaczego przeprowadzane są ataki w świecie rzeczywistym, które można następnie wykorzystać do identyfikacji i uzupełnienia luk w postawie bezpieczeństwa organizacji.
- Automatyczna reakcja: Wszelkie zdarzenia lub działania, które narzędzie EDR uzna za podejrzane, automatycznie generują alert, który personel ochrony może zbadać. Oprócz zgłaszania alertu, niektóre narzędzia EDR mogą podejmować działania bezpośrednio w oparciu o określoną wagę, używając zautomatyzowanych funkcji odpowiedzi opartych na regułach, aby automatycznie usuwać lub ograniczać podstawowe zagrożenia. Chociaż interwencja człowieka jest często nadal wymagana do rozwiązania bardziej wyrafinowanych ataków, automatyczne odpowiedzi mają kluczowe znaczenie dla pomocy organizacjom w minimalizowaniu czasu reakcji na incydenty.
- Przechowywanie danych: pracownicy ds. bezpieczeństwa mogą przeglądać dane historyczne podczas procesów reagowania na incydenty, aby określić, w jaki sposób doszło do ataku. Spostrzeżenia uzyskane z narzędzi EDR mogą być niezwykle cenne, pomagając organizacji wzmocnić zabezpieczenia przed przyszłymi atakami. Narzędzia EDR oparte na chmurze zapewniają dodatkowy spokój: nawet w najgorszym scenariuszu, który obejmuje całkowite zniszczenie urządzeń, administratorzy mogą nadal korzystać z historii zdarzeń przechowywanej w chmurze, aby analizować sekwencję zdarzeń prowadzących aż do ostatni moment, zanim atakujący zdołał wyłączyć system bezpieczeństwa. Dane EDR w chmurze nie mogą być dostępne dla osoby atakującej, ponieważ są one zabezpieczone uwierzytelnianiem dwuskładnikowym, które wymaga danych wejściowych z oddzielnego urządzenia.
