Viruses, trojans, wormsmalwares

Παρόλο που όλα τα παραπάνω υπάρχουν εδώ και δεκαετίες, ο όγκος και η πολυπλοκότητα των διαδικτυακών επιθέσεων αυξάνεται με εκθετικούς ρυθμούς και σε εντυπωσιακά συνεχόμενη βάση. Για το λόγο αυτό, αν και δεν είναι εντελώς παρωχημένο, το παραδοσιακό και ευρέως χρησιμοποιούμενο antivirus γίνεται όλο και πιο ανεπαρκές, καθώς δεν είναι πλέον αποτελεσματικό σε βαθμό που να μπορεί να λειτουργήσει αυτόνομα ως πλήρης προστασία από μόνο του.

Παναγιώτα Κατσάρα
Cybersecurity Solutions Consultant, Networking Solutions
Space Hellas– www.space.gr

 

 

 

Τα τελευταία χρόνια, με τους νέους όρους που έθεσε αιφνιδιαστικά σε όλους μας η πανδημία, οι οργανισμοί υιοθετούν συνεχώς λύσεις SaaS μετακινώντας εφαρμογές στο cloud. Αναπόφευκτα λοιπόν, έχει δημιουργηθεί η ανάγκη για υβριδικές υποδομές ασφάλειας, που σε συνδυασμό με την συνεχώς επεκτεινόμενη επιφάνεια επιθέσεων καθιστά εξίσου αιφνιδιαστικά δυσκολότερο το έργο των αναλυτών περιστατικών ασφάλειας.

Σε αυτό το σημείο τοποθετείται λοιπόν στην αγορά το δημοφιλές και ευρέως γνωστό σε όλους μας EDR (Endpoint Detection and Response), όρος ο οποίος επινοήθηκε από τους αναλυτές της Gartner, και έγινε δημοφιλής και αναγκαία τάση στον τομέα του Endpoint Security αρκετά σύντομα.

Οι λύσεις EDR είναι γεγονός ότι έχουν φέρει στο προσκήνιο έναν αρκετά ριζοσπαστικό τρόπο αντιμετώπισης των κυβερνοαπειλών στα endpoints, αφού τα λογισμικά EDR μπορούν να καταγράψουν δεδομένα σε πραγματικό χρόνο και να τα επεξεργαστούν ώστε να λαμβάνονται άμεσα μέτρα αποτροπής περιστατικών ασφάλειας. Το EDR εξακολουθεί να εξυπηρετεί τον αρχικό σκοπό του για τον εντοπισμό απειλών σε servers & endpoints, αλλά ο σαφής διαχωρισμός  μεταξύ EDR και του «διαδόχου» του, του XDR, εξαφανίζεται καθώς ενσωματώνονται πρόσθετες τεχνολογίες ασφάλειας στο EDR ή προστίθενται αυτοματοποιημένες διαδικασίες από τους αναλυτές και μηχανικούς ασφαλείας.

Το EDR  αποτελεί το βασικό τμήμα της αλυσίδας που προσδιορίζεται από την αλληλουχία :

                                              AV -> EDR -> XDR/MDR

 και αναμφισβήτητα είναι ένα σημαντικό τμήμα για την καλύτερη προστασία, ανίχνευση και απόκριση, αλλά σίγουρα δεν είναι το κομμάτι που ολοκληρώνει αυτή την αλυσίδα. Σε αυτό το σημείο εμφανίζεται το XDR, το οποίο κερδίζει όλο και περισσότερο έδαφος στην αγορά ασφαλείας ως διάδοχος της EDR.

To XDR παρουσιάστηκε ως μία αρκετά καινοτόμα και πολλά υποσχόμενη λύση, με πολλούς κατασκευαστές να τολμούν να την περιγράψουν ακόμα και ως Next Generation SIEM.

Παρόλο που η συγκεκριμένη προσέγγιση ακούγεται αρκετά τολμηρή,  βασίζεται στο γεγονός ότι το XDR προσφέρει χαρακτηριστικά, όπως η ταχύτερη και ίσως και σε κάποιες περιπτώσεις ευκολότερη διερεύνηση ενός περιστατικού ασφαλείας, τα κενά που καλύπτει η λύση ενός SIEM, όπως η εξαγωγή αναφορών και τα θέματα compliance δεν μπορούν να καλυφθούν από τις XDR λύσεις πολλών κατασκευαστών.

Στον αντίλογο όμως, η αυξημένη ορατότητα και διευρυμένη πληροφορία για το σύνολο του δικτύου, σημαίνει αυτόματα και αυξημένο όγκο δεδομένων άρα και ανάλυσης. Εξαιτίας αυτού, οι περισσότερες λύσεις απαιτούν πολλούς πόρους, χρόνο, χρήμα, bandwidth και, εξειδικευμένο προσωπικό. Θα μπορούσαμε λοιπόν να συμπεράνουμε πως η λύση που συνδυάζει τόσο το XDR όσο και τις δυνατότητες ενός SIEM είναι το MDR.

Όλα τα παραπάνω αναμφισβήτητα είναι εξαιρετικά χρήσιμα, άλλα είναι όμως επαρκή;

Δεδομένου ότι σε τόσο σύντομο χρονικό διάστημα υπάρχει μια πληθώρα επιθέσεων, οι οποίες σε πολλές περιπτώσεις διεξάγονται σε μεγάλα και συνεχή χρονικά διαστήματα, είναι σε θέση να μην αφήνουν ίχνη, και μπορούν να προσαρμόζουν την συμπεριφορά τους ανάλογα με τα εμπόδια και τους ελέγχους ασφάλειας που συναντούν, καταλήγουμε ότι είναι αναγκαία η ανάπτυξη μιας ενιαίας, εξελιγμένης και ριζοσπαστικής λύσης.

Μια ιδεατή προσέγγιση θα ήταν αυτή που θα μας επέτρεπε να ενσωματωθούν  χαρακτηριστικά Artificial Intelligence, τόσο στα endpoints όσο και το κεντρικό σημείο ελέγχου ασφάλειας ώστε να προσαρμόζεται αντίστοιχα η συμπεριφορά των εκατέρωθεν στοιχείων. Συγκεκριμένα, ένας μηχανισμός ο οποίος θα ήταν σε θέση να  ενεργοποιεί τον εντοπισμό και την απόκριση μηδενικού χρόνου, ενώ αποθηκεύει και αναλύει τα συλλεχθέντα δεδομένα μεμονωμένα σε κάθε endpoint θα αποτελούσε ιδανικό σενάριο.

Με αυτό τον τρόπο, κάθε τελικό σημείο θα λειτουργεί σαν ανεξάρτητο sandbox και θα προσαρμόζει την συμπεριφορά του σε περίπτωση επίθεσης, ανεξάρτητα από το που βρίσκεται ο χώρος εργασίας του χρήστη (remote ή on premises). Έτσι διασφαλίζεται ως ένα βαθμό η καθυστερημένη απόκριση σε συμβάντα ασφαλείας, που προκύπτουν από την συνεχή μεταφορά δεδομένων από τα διάφορα σημεία εργασίας των χρηστών στο κεντρικό σημείο ελέγχου του δικτύου.

Σημαντική λειτουργία θα ήταν επίσης σε κάθε τελικό σημείο ελέγχου τα EDR να είναι σε θέση να συλλέγουν και να αποθηκεύουν το σύνολο των δεδομένων των χρηστών τοπικά, και να αποστέλλουν στους διαχειριστές ή στο SIEM μόνο τα δεδομένα που σχετίζονται με τα περιστατικά ασφάλειας. Η ροή των δεδομένων που δεν αφορούν περιστατικά ασφάλειας θα μπορεί να συγκεντρώνεται σε λύσεις συλλογής δεδομένων είτε στο cloud είτε σε κάποια συσκευή ειδικού σκοπού ώστε στο τέλος της ημέρας, να μην επιβαρύνονται και τα συστήματα των χρηστών.

Άλλο ένα σημείο που πρέπει να αρχίσουμε να λαμβάνουμε σοβαρά υπόψιν μας όσοι εργαζόμαστε στον τομέα της ασφάλειας είναι η νέα τάση του Client As a Service. Παρόλο που είναι ένα πολλά υποσχόμενο και καινοτόμο μοντέλο η μίσθωση υπολογιστών ως υπηρεσία, θα απαιτήσει ίσως πιο σύντομα  από όσο αναμένουμε, μεγαλύτερη ευελιξία στον τομέα της ασφάλειας .

Έτσι η  αυτόματη επιβολή της αρχής του Nonrepudiation από τα χρησιμοποιούμενα λογισμικά ασφάλειας κρίνεται αναγκαία. Με την αρχή αυτή, θα πρέπει να διασφαλίζεται ότι οι ενέργειες των ατόμων που διαχειρίζονται τις εφαρμογές και τις πληροφορίες ενός οργανισμού μπορούν ανά πάσα στιγμή να ιχνηλατηθούν, καθώς τα ίδια τα συστήματα παρέχουν αποδείξεις των ενεργειών που εκτελούνται σε αυτά. Επομένως τα επόμενης γενιάς EDR, θα πρέπει να είναι σε θέση να συνδυάζουν τις διάφορες τεχνικές αυθεντικοποίησης με τα αρχεία καταγραφής των συστημάτων και την χρήση ψηφιακών υπογραφών (Digital Signatures) ώστε να δημιουργούν ένα ισχυρότερο και εν δυνάμει απαραβίαστο «κλειδί» πρόσβασης για κάθε χρήστη.Συνοψίζοντας καθώς ο χώρος της ασφάλειας εξελίσσεται ραγδαία και δεν είναι ασφαλές να προβλέψουμε εκ των προτέρων προς ποια κατεύθυνση.

Πιθανών το μέλλον του ΕDR να είναι ήδη εδώ και να προσεγγίζεται μέσω του μοντέλου Next Generation DR.