Na przestrzeni ostatnich dekad pojęcie bezpieczeństwa w przedsiębiorstwie ewoluowało w sposób znaczący. Cyberprzestępcy w dalszym ciągu tworzą unowocześnione metody uzyskania dostępu do urządzeń końcowych, które w rezultacie stają się bramką do cennych danych całej organizacji. Głośne przypadki naruszenia bezpieczeństwa danych przenikają do podstawowego nurtu informacji na całym świecie.
Firma CrowdStrike powstała w 2011 roku, ale w przeciągu paru lat zbudowała solidną pozycję wśród przedsiębiorstw oferujących podobne rozwiązania. Swój ekosystem oparła na trzech fundamentach:
- Endpoint Security
- Security Operations
- Threat Intelligence
W dzisiejszym poście zajmiemy się pierwszym elementem tej całej układanki : Falcon Prevent
Falcon Prevent – Trochę teorii
Falcon Prevent jest antywirusem służącym do wykrywania i zwalczania najnowszych zagrożeń. Rozwiązanie to, oparte jest o chmurę, a swoją przewagę nad konkurencją zyskał dodatkowo dzięki następującym możliwościom:
- Urządzenia końcowe nie muszą być podłączone do internetu, aby były chronione
- Do chmury wysyłane są jedynie metadane, nie zaś całe pliki
- Niskie zużycie zasobów komputera
- Agent instalowany na urządzeniach końcowych ma nieco ponad 20MB
- Brak sygnatur
- Machine learning
- Przeciwdziałanie eksploitom
- Blokowanie wskaźników ataków (IOA) oraz ransomware
Falcon Prevent – Ingerencja użytkownika w działające środowisko
Działania użytkowników czasami ciężko przewidzieć. W celu zabezpieczenia oprogramowania na urządzeniach końcowych przed próbą usunięcia, CrowdStrike wprowadził szereg funkcjonalności. Poniżej przedstawiam wyniki prób usunięcia oprogramowania z urządzenia.
Proces – jakakolwiek próba zakończenia procesu (nawet przez administratora) kończy się komunikatem o odmowie dostępu. Działania typu „Utwórz plik zrzutu” , Ustaw priorytet” , „Ustaw koligacje” tak samo, odmowa dostępu.
Usługa – podobnie jak powyżej. Nie da zatrzymać się tej usługi.
Folder – nie jest możliwe usunięcie
Odinstalowywanie – gdy użytkownik będzie chciał odinstalować lub naprawić program spotka się z komunikatem o ochronie hasłem. Aby odinstalować program, również należy to zrobić przez wiersz poleceń oraz użyć programu „CSUninstallTool” (można go pobrać z konsoli). Komenda > CSUnistallTool.exe /quiet PW=”przykładowe_hasło” .
Uważam, iż ważne tematy zostały poruszone w tym artykule. Po głębszej analizie produktu twierdzę, że jest on w stanie w pełni zastąpić obecne rozwiązania, które nie są odpowiednio wystarczające.