EDR – Endpoint Detection and Response – inaczej wykrywanie i reagowanie na punktach końcowych. Jest to termin, który wszedł do słownika bezpieczeństwa komputerowego kilka lat temu, ale nadal powoduje dezorientację wśród nowych użytkowników rozwiązań bezpieczeństwa dla przedsiębiorstw. Czym dokładnie jest EDR? Czym się różni od starszych antywirusów i EPP (Endpoint Protection Platforms)? Jak i dlaczego powstało to rozwiązanie? Czy EDR rozwiązał problemy do których został zaprojektowany? W tym artykule postaram się wyjaśnić przeszłość, teraźniejszość oraz przyszłość EDR.
Określenie EDR
Termin EDR został wymyślony w 2013 przez Antona Chuvakina z Gartner Blog Network. Oznaczał on sposób na klasyfikację nowej grupy narzędzi lub możliwości, które koncentrowały się na wykrywaniu podejrzanych działań/aktywności na punktach końcowych. Było to zupełnie nowe rozwiązanie w zakresie bezpieczeństwa, ponieważ koncentrowało się ono na wykrywaniu nieprawidłowych działań. Nie koncentrowało się na identyfikowaniu konkretnego złośliwego oprogramowania, jak wcześniejsze technologie. Narzędzia EDR wyróżniały się dostarczaniem alertów dotyczących warunków bezpieczeństwa, które mogły wywołać dalsze dochodzenie.
Dlaczego powstało rozwiązanie EDR?
Przed pojawieniem się rozwiązań EDR, większość firm polegała na tradycyjnej ochronie antywirusowej. Problem polegał na tym, że zanim Chuvakin użył określenia EDR, antywirusy już nie zapewniały dostatecznej ochrony przedsiębiorstw. Dyrektor firmy Symantec powiedział w New York Times, że rozwiązania antywirusowe były nieskuteczne w 49% do 2014 roku. Nie było to zaskoczeniem dla wielu biznesmenów, którzy wcześniej wdrożyli rozwiązania EDR, ale reszta trochę się zdziwiła. W tamtym czasie firmy tworzące antywirusy kontrolowały 25% rynku.
Dlaczego antywirusy nie działały ?
Problem z którym zmagały się firmy ze starszym rozwiązaniem antywirusa, dotyczył tego, że opierały się one na wykrywaniu szkodliwych plików za pomocą sygnatur – zwykle skrótu pliku, a później poprzez identyfikację ciągów informacji zawartych w binarnych metodach wyszukiwania jak reguły YARA. To podejście miało kilka słabych stron. Po pierwsze, autorzy szkodliwego oprogramowania zaczęli omijać wykrywanie oparte na sygnaturach, poprzez dodanie dodatkowych bajtów do pliku, by zmienić jego hash. Używali oni również innych metod szyfrowania łańcuchów znaków, niełatwych do wykrycia przez skanowanie binarne. Po drugie, przeciwnicy zamierzający wykraść dane firmowe lub wyrządzić szkody za pomocą oprogramowania ransomware, nie próbowali już zapisywać złośliwych, wykrywalnych plików na komputerze ofiary. Ich metody ewoluowały. Skupili się na atakach ‘’bezplikowych” w pamięci, wykorzystując do tego wbudowane aplikacje oraz procesy Lotl (Living off the land), ataki phishingowe w celu uzyskania poświadczeń lub kradzieży zasobów za pomocą kryptominingu. Starsze rozwiązania antywirusów nie miały po prostu zasobów, aby poradzić sobie z nowymi technikami ataków i manipulacjami.
EPP – Starsze antywirusy próbują ewoluować
Starsze antywirusy zaczęły oferować takie usługi jak kontrola firewall, szyfrowanie danych, zapobieganie utracie danych poprzez blokowanie urządzeń oraz zestaw innych narzędzi pomocnych w zarządzaniu IT w ogóle, niekoniecznie skoncentrowanych na samym bezpieczeństwie. Mimo wszystko EPP (Endpoint Protection Platform) nadal było oparte na sygnaturach i nie rozwiązywało problemu z dotychczasowymi antywirusami. Niepowodzenia z czasem jeszcze bardziej się uwidoczniły. WannaCry, EternalBlue, NotPetya spowodowały ogromne straty u osób poszkodowanych. Następnie były cyberataki, takie jak Target Corporation, za pomocą których przestępcy zinfiltrowali firmy jak Equifax i Marriot Hotel. Zanim zostały odkryte, przez kilka miesięcy zdołali wykraść i umożliwić dostęp do danych osobowych większości osób w USA. Ostatnie zagrożenia wynikające z cyberwojny i handlu technologiami hakerskimi w sieci sprawiły, że przedsiębiorstwa zdały sobie sprawę, że potrzebują czegoś innego, nowego – widoczności.
EDR – z czym to się je
EDR opiera się na sygnaturach jak EPP i starsze antywirusy, jednak mimo wszystko znacząco się od nich różni. Wcześniejsze rozwiązania opierały się jedynie na zapobieganiu, natomiast EDR zapewnia przedsiębiorstwu wgląd w to, co dzieje się w sieci.
Już dużo wcześniej były próby podejścia do tego rozwiązania przez użytkowników, zanim sprzedawcy zabezpieczeń się do nich dorwali. Na GitHubie były setki narzędzi open source’owych dla widoczności. Jednak korzystanie z nich wymagało wykwalifikowanego personelu, który może programować, integrować i wykonywać działania, aby jak najszybciej uświadomić przedsiębiorstwo o naruszeniach.
W tym samym czasie, innowacje w końcu dotarły do branży antywirusów i pojawiła się nowa linia produktów skupiająca się na wykrywaniu nietypowych aktywności i wydawaniu odpowiednich alertów dla analityków bezpieczeństwa. Zasadniczo te rozwiązania EDR zapewniają przedsiębiorstwom wgląd w to co się dzieje w sieci. Niektórzy uważają, że jest to wygodniejsze gdyż całą pracę przenoszą na pracownika, same są wymagane do generowania alertów.
Problemy z EDR jakie znamy
Zwiększona widoczność, oznacza zwiększoną ilość danych, a co za tym idzie zwiększoną ilość analiz. Z tego powodu większość obecnych rozwiązań EDR nie jest skalowalna. Wymagają one zbyt wielu zasobów: czasu, pieniędzy, przepustowości, wykwalifikowanego zespołu – których brakuje. Dodatkowo, jak wiadomo EDR wymaga połączenia z chmurą, dlatego też zawsze będzie się spóźniał z ochroną punktów końcowych. Musi być więc zainstalowany na urządzeniu, żeby uniknąć opóźnień. Udany atak może skompromitować urządzenia, wykraść i zaszyfrować dane i usunąć ślady w ułamku sekundy. Oczekiwanie na odpowiedź z chmury lub podjęcie działań przez analityka w odpowiednim czasie jest niewykonalne w nowoczesnym środowisku zagrożeń.
Active EDR
Active EDR oferowany przez SentinelOne, to zautomatyzowana odpowiedź oparta na sztucznej inteligencji, która pozwala na odciążenie zespołu SOC (Security Operations Center). Pozwala zespołom od bezpieczeństwa szybko zrozumieć przebieg i przyczynę zagrożenia. Ta technologia pozwala autonomicznie przypisywać każde zdarzenie na urządzeniu końcowym do jego pierwotnej przyczyny, bez polegania na zasobach chmurowych. To rozwiązanie rewolucjonizuje bezpieczeństwo w przedsiębiorstwach. Może być wykorzystywane przez firmy niezależnie od zasobów, od analityków SOC do początkujących zespołów bezpieczeństwa. Zapewnia im automatyczną możliwość naprawiania zagrożeń i obrony przed zaawansowanymi atakami.
Wnioski
Cyberbezpieczeństwo jest jak niekończąca się zabawa w kotka i myszkę. Z jednej strony crackerzy rozwijający nowe umiejętności i wdrażający nowe techniki ataku, z drugiej hakerzy, którzy uczą się reagować na nowe sytuacje. Rozwiązania bezpieczeństwa punktów końcowych od dawna pozostają w tyle za przeciwnikami, ale wraz z pojawieniem się ActiveEDR ta sytuacja może wreszcie się zmieni.
Źródło: https://www.sentinelone.com/blog/what-is-edr-is-it-failing/