Τα εργαλεία ανίχνευσης και απόκρισης endpoint (EDR) αναπτύχθηκαν για να λειτουργούν συμπληρωματικά στην υπάρχουσα προστασία τερματικών συσκευών, προσφέροντας πρόσθετες δυνατότητες ανίχνευσης, διερεύνησης και απόκρισης.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης,
NSS – www.nss.gr
Ωστόσο, η έντονη διαφήμιση και ρητορική που περιβάλλει τα εργαλεία του είδους, έχει μάλλον καταστήσει δύσκολη την κατανόηση των μεθόδων που μπορούν να χρησιμοποιηθούν καθώς και των λόγων που σήμερα καθίστανται απολύτως απαραίτητα για τις σύγχρονες επιχειρήσεις.
Το ζήτημα μάλιστα φαίνεται να χειροτερεύει όταν βλέπουμε ότι υπάρχουν λύσεις EDR στην αγορά που όχι μόνο αποτυγχάνουν να προσφέρουν προστιθέμενη αξία σε οργανισμούς και εταιρείες εξαιτίας της δυσχρηστίας τους αλλά και προστασίας που προσφέρουν που είναι ανεπαρκής. Επιπροσθέτως, είναι και απαιτητικές σε πόρους. Παρακάτω θα βρείτε 5 σημαντικούς λόγους για να εξετάσετε το ενδεχόμενο να επενδύσετε σε μια πραγματικά καλή λύση EDR, σαν αυτή του Intercept X Advanced με EDR από τη Sophos.
Αναφέρετε με αυτοπεποίθηση την στάση ασφαλείας σας οποιαδήποτε στιγμή
Η λειτουργία των ομάδων πληροφορικής και ασφάλειας συχνά καθοδηγείται ή υποκινείται από μετρήσεις και αξιολογήσεις επιθέσεων και άμυνας, ωστόσο, το δυσκολότερο ερώτημα στο οποίο καλούνται οι περισσότερες ομάδες να απαντήσουν είναι: “είμαστε ασφαλείς τώρα;” Αυτό οφείλεται στο γεγονός ότι τα περισσότερα δίκτυα έχουν αρκετά τυφλά σημεία που δυσκολεύουν τις ομάδες πληροφορικής και ασφάλειας να έχουν πλήρη εικόνα για το τι πραγματικά συμβαίνει στο περιβάλλον της εταιρείας τους.
Η έλλειψη ορατότητας είναι ο πρωταρχικός λόγος που οι οργανισμοί και επιχειρήσεις δυσκολεύονται να κατανοήσουν το εύρος και τον αντίκτυπο των επιθέσεων. Κάτι τέτοιο γίνεται άμεσα αντιληπτό στην περίπτωση που συμβεί κάποιο περιστατικό και η ομάδα ασφαλείας ή πληροφορικής υποθέσει ότι η εταιρεία τους είναι ασφαλής από την ώρα που εντοπίστηκε το συγκεκριμένο συμβάν. Το Intercept X Advanced με EDR παρέχει πρόσθετη πληροφόρηση και διορατικότητα που προσδιορίζει αν έχουν επηρεαστεί και άλλα μηχανήματα. Για παράδειγμα, εφόσον εντοπιστεί κάποιο ύποπτο εκτελέσιμο αρχείο στο δίκτυο, θα αντιμετωπιστεί και θα αποκατασταθεί. Ένας αναλυτής ωστόσο μπορεί να μην γνωρίζει αν το ίδιο εκτελέσιμο αρχείο βρίσκεται και κάπου αλλού στο εταιρικό περιβάλλον.
Με το Intercept X Advanced με EDR, η συγκεκριμένη πληροφόρηση είναι άμεσα διαθέσιμη. Έχοντας εικόνα και για τις υπόλοιπες τοποθεσίες όπου παραμονεύουν απειλές, η ομάδα ασφαλείας είναι σε θέση να δώσει προτεραιότητα στο να προχωρήσει μία διαδικασία πρόσθετης διερεύνησης ή και ενδεχομένως αποκατάσταση κάποιου προβλήματος.
Η δημιουργία μιας σαφούς εικόνας της στάσης ασφαλείας ενός οργανισμού παρέχει επίσης το πρόσθετο πλεονέκτημα της δημιουργίας αναφορών για την κατάσταση συμμόρφωσης. Αυτές οι πληροφορίες μπορούν να βοηθήσουν στον εντοπισμό σημείων στην υποδομή που ενδέχεται να είναι ευάλωτα σε επιθέσεις. Επιτρέπει επίσης στους διαχειριστές να καθορίσουν αν το εύρος μιας επίθεσης επηρεάζει και περιοχές όπου εδρεύουν ευαίσθητα δεδομένα. Για παράδειγμα, αν ανιχνευτεί κακόβουλο λογισμικό που απομάκρυνε ή εξήγαγε δεδομένα από το δίκτυο, ένας αναλυτής θα πρέπει να προσδιορίσει αν τα μηχανήματα που επηρεάζονται περιέχουν πχ. ιατρικές πληροφορίες που υπόκεινται στον HIPAA (Νόμος περί φορητότητας και υπευθυνότητας της ασφάλισης υγείας – Κανονισμός των ΗΠΑ) ή δεδομένα προσωπικού χαρακτήρα (GDPR). Αυτό θα ήταν μια πολύ πιο απλή άσκηση με το Intercept X Advanced με EDR. Ως πρόσθετο πλεονέκτημα συμμόρφωσης, θα ήταν επίσης πολύ πιο εύκολο να αποδειχθεί ότι οι πληροφορίες των ασθενών ή άλλα προσωπικά δεδομένα προστατεύονται χάρη στην αυξημένη ορατότητα στις τερματικές συσκευές (endpoints).
Εντοπίστε επιθέσεις που έχουν περάσει απαρατήρητες
Όσον αφορά την ασφάλεια στον κυβερνοχώρο, ακόμη και τα πιο προηγμένα συστήματα μπορούν να ξεπεραστούν αν υπάρχει αρκετός χρόνος και πόροι, καθιστώντας πολύ δύσκολο να αντιληφθεί κάποιος πότε γίνονται οι επιθέσεις. Οι οργανισμοί συχνά βασίζονται αποκλειστικά στην πρόληψη για να παραμείνουν προστατευμένοι όμως παρόλο που η πρόληψη είναι ζωτικής σημασίας, μία λύση EDR προσφέρει ένα ακόμα επίπεδο δυνατοτήτων ανίχνευσης για να εντοπιστούν πιθανά περιστατικά που έχουν περάσει απαρατήρητα.
Οι οργανισμοί μπορούν να εκμεταλλευτούν τα εργαλεία EDR για την ανίχνευση επιθέσεων, αναζητώντας δείκτες συμβιβασμού ή παραβίασης. Πρόκειται για ένα γρήγορο και απλό τρόπο για να «κυνηγήσετε» επιθέσεις που μπορεί να έχουν περάσει απαρατήρητες.
Οι αναζητήσεις για απειλές συχνά ξεκινούν μετά από ειδοποίηση από κάποια τρίτη υπηρεσία πληροφοριών: για παράδειγμα, μια κυβερνητική υπηρεσία (όπως είναι στο εξωτερικό οι US-CERT, CERT-UK ή CERT Australia) ενδέχεται να ενημερώσει έναν οργανισμό ότι υπάρχει ύποπτη δραστηριότητα στο δίκτυό του. Η κοινοποίηση μπορεί να συνοδεύεται από κατάλογο δεικτών συμβιβασμού (ΙOC), που μπορούν να χρησιμοποιηθούν ως σημείο εκκίνησης για να προσδιοριστεί τι ακριβώς συμβαίνει.
Το Sophos Intercept X Advanced με EDR παρέχει μια λίστα με τα κορυφαία ύποπτα γεγονότα, και έτσι οι αναλυτές γνωρίζουν ακριβώς τι πρέπει να ερευνήσουν (διαθέσιμο μέσα στο 2019). Αξιοποιώντας τις δυνατότητες μηχανικής εκμάθησης εκ βαθέων (deep learning) της SophosLabs, παρουσιάζεται ένας κατάλογος των κορυφαίων ύποπτων συμβάντων, ο οποίος ταξινομείται με βάση το βαθμό απειλής. Χάρη σε αυτή τη δυνατότητα, καθίσταται απλούστερο για τους αναλυτές να βάλουν προτεραιότητες στη δουλειά τους και να επικεντρωθούν στα πιο σημαντικά συμβάντα. Τα ύποπτα συμβάντα επισημαίνουν επίσης ένα κοινότυπο σενάριο όπου οι αναλυτές καλούνται να προσδιορίσουν αν κάτι είναι πραγματικά κακόβουλο. Το παραπάνω αφορά δραστηριότητα που δεν φαίνεται να είναι κακόβουλη ώστε να καταδικαστεί αυτόματα, αλλά εξακολουθεί να μοιάζει αρκετά ύποπτη ώστε να δικαιολογεί μια βαθύτερη ανάλυση. Σκεφτείτε το σαν να υπάρχει μία “γκρίζα περιοχή”, όπου χρειάζονται πρόσθετες αναλύσεις για να επιβεβαιωθεί αν πρόκειται για κάτι που είναι κακόβουλο, καλοήθες ή ανεπιθύμητο.
Ανταποκριθείτε ταχύτερα σε πιθανά περιστατικά
Μόλις ανιχνευθούν περιστατικά, οι ομάδες IT και ασφάλειας αναλαμβάνουν άμεσα δράση για την όσο το δυνατόν ταχύτερη αποκατάσταση, με στόχο να μειωθεί ο κίνδυνος εξάπλωσης των επιθέσεων και να περιοριστούν τυχόν ζημιές. Φυσικά, το πιο σημαντικό ερώτημα είναι πως μπορείτε να απαλλαγείτε από κάθε απειλή. Οι ομάδες IT & ασφάλειας κατά μέσο όρο φαίνεται πως δαπανούν περισσότερο από τρεις ώρες στην προσπάθεια τους να αποκαταστήσουν κάθε περιστατικό. Τα εργαλεία EDR μπορούν να βοηθήσουν για να επιταχυνθεί σημαντικά αυτή η διαδικασία. Το πρώτο βήμα που μπορεί να κάνει κάποιος αναλυτής κατά τη διαδικασία αντιμετώπισης περιστατικών θα ήταν να σταματήσει μια επίθεση από το να εξαπλωθεί. Το Intercept X Advanced με EDR απομονώνει τις ζητούμενες τερματικές συσκευές, που είναι και το πρώτο βασικό βήμα για να αποτραπεί η εξάπλωση της απειλής σε όλο το εταιρικό περιβάλλον.
Κάτι που κάνουν συχνά οι αναλυτές, είναι ότι πριν ξεκινήσουν την διαδικασία διερεύνησης, προσπαθούν να κερδίσουν χρόνο, καθώς εξετάζουν και τελικώς καθορίζουν την καλύτερη πορεία δράσης.
Η διαδικασία της έρευνας μπορεί να είναι αργή και επίπονη. Αυτό βεβαίως στην περίπτωση που όντως διεξάγεται έρευνα. Η αντιμετώπιση των περιστατικών βασίζεται κατά κύριο λόγο σε ανθρώπινους αναλυτές υψηλής ειδίκευσης και εμπειρογνώμονες. Τα περισσότερα εργαλεία EDR επίσης βασίζονται σε μεγάλο βαθμό σε αναλυτές για να γνωρίζουν ποιες ερωτήσεις πρέπει να υποβάλλουν και πως να ερμηνεύουν τις απαντήσεις τους.
Με το Intercept X Advanced με EDR ωστόσο, οι ομάδες ασφάλειας όλων των επιπέδων δεξιοτήτων μπορούν γρήγορα να ανταποκριθούν σε συμβάντα ασφαλείας, χάρη στις καθοδηγούμενες διαδικασίες έρευνας που περιλαμβάνουν οδηγούς με τα προτεινόμενα επόμενα βήματα που πρέπει να κάνετε, σαφείς οπτικές αναπαραστάσεις επιθέσεων και ενσωματωμένη τεχνογνωσία. Όταν ολοκληρωθεί η έρευνα, οι αναλυτές μπορούν να απαντήσουν με ένα κλικ. Οι επιλογές γρήγορης απόκρισης περιλαμβάνουν τη δυνατότητα απομόνωσης των τερματικών συσκευών για άμεση αποκατάσταση, καθαρισμό και αποκλεισμό των κακόβουλων αρχείων καθώς και για τη δημιουργία στιγμιότυπων που θα βοηθήσουν στην εγκληματολογική έρευνα. Εντωμεταξύ, σε περίπτωση που κάποιο αρχείο μπλοκαριστεί από λάθος, το να επιστρέψει στην κανονική, αρχική του κατάσταση, είναι απλή υπόθεση.
Προσθέστε εξειδίκευση χωρίς να επενδύσετε σε πρόσθετο προσωπικό
Σε πολύ μεγάλο ποσοστό, οι οργανισμοί που επιθυμούν να προσθέσουν δυνατότητες ανίχνευσης και απόκρισης endpoint αναφέρουν την έλλειψη “κατάρτισης προσωπικού” ως το βασικό εμπόδιο για να προχωρήσουν στην επένδυση σε μία λύση EDR. Και αυτό δεν αποτελεί μεγάλη έκπληξη, αν λάβουμε υπόψη το μεγάλο κενό που υπάρχει στην εξεύρεση εξειδικευμένων επαγγελματιών στον τομέα της κυβερνοασφάλειας. Άλλωστε πρόκειται για ένα ζήτημα που συζητιέται ευρέως στον κλάδο εδώ και αρκετά χρόνια.
Πράγματι, αυτό το εμπόδιο συναντάται εντονότερα σε μικρότερους οργανισμούς. Για να καταπολεμήσει το κενό που υπάρχει με την κατάρτιση του προσωπικού, το Intercept X Advanced με EDR ουσιαστικά αντιγράφει τις δυνατότητες που σχετίζονται με τους δύσκολους στην εύρεση αναλυτές. Το Intercept X Advanced με EDR εκμεταλλεύεται τις δυνατότητες της μηχανικής εκμάθησης για να ενσωματώσει βαθιά γνώση πάνω στην ασφάλεια χρησιμοποιώντας παράλληλα και τη δυνατότητα «threat intelligence» από την SophosLabs. Το Intercept X με EDR μπορεί να σας βοηθήσει για να προσθέσετε πολύτιμη εμπειρογνωμοσύνη χωρίς να είναι απαραίτητη η πρόσληψη νέου εξειδικευμένου προσωπικού. Οι έξυπνες δυνατότητες EDR συμβάλλουν στην κάλυψη των κενών που οφείλονται στην έλλειψη κατάρτισης και γνώσης του προσωπικού, αναπαράγοντας τις δυνατότητες πολλών εξειδικευμένων αναλυτών:
Αναλυτές ασφαλείας
Είναι οι λεγόμενοι αναλυτές πρώτης γραμμής που έχουν επιφορτιστεί με την ταξινόμηση συμβάντων κατά βαθμό προτεραιότητας και τον καθορισμό των συναγερμών και ειδοποιήσεων που πρέπει να αντιμετωπιστούν άμεσα. Σε ιδανική περίπτωση, είναι επίσης σε θέση να ενεργούν προληπτικά για να ανιχνεύουν τυχόν επιθέσεις που μπορεί να έχουν περάσει απαρατήρητες. Το Intercept X Advanced με EDR αυτομάτως ανιχνεύει και βάζει σε προτεραιότητα πιθανές απειλές (διαθέσιμο μέσα στο 2019). Χρησιμοποιώντας μηχανική εκμάθηση, εντοπίζει ύποπτα συμβάντα ενώ βαθμολογεί τις απειλές. Τα συμβάντα που βρίσκονται πιο ψηλά στην κλίμακα βαθμολογίας είναι και τα πιο σημαντικά και πρέπει να αντιμετωπιστούν άμεσα. Οι αναλυτές μπορούν γρήγορα να δουν που θα επικεντρώσουν την προσοχή τους και να ξεκινήσουν να διερευνούν.
Αναλυτές κακόβουλου λογισμικού
Οι οργανισμοί ενδέχεται να βασίζονται και σε αναλυτές κακόβουλου λογισμικού που ειδικεύονται στην αντίστροφη μηχανική ύποπτων αρχείων για να τα αναλύσουν. Όμως αυτή η προσέγγιση δεν είναι μόνο χρονοβόρα, είναι και δύσκολο να επιτευχθεί, καθώς προϋποθέτει ένα επίπεδο εξειδίκευσης στην κυβερνοασφάλεια που οι περισσότερες εταιρείες και οργανισμοί δεν διαθέτουν.
Οι αναλυτές κακόβουλου λογισμικού είναι απαραίτητοι για να αποφασίσουν αν ένα αρχείο που δεν αποκλείστηκε ή μπλοκαρίστηκε έχει πραγματικά κακόβουλη φύση. Μπορούν επίσης να εξετάσουν τα αρχεία που αποκλείστηκαν που όμως ενδέχεται να πρόκειται για ψευδώς θετικά (false positive). Το Intercept X Advanced με EDR προσφέρει μια καλύτερη προσέγγιση στην ανάλυση του κακόβουλου λογισμικού, αξιοποιώντας τη μηχανική εκμάθηση.
Χρησιμοποιώντας την καλύτερη στον κλάδο μηχανή ανίχνευσης κακόβουλου λογισμικού endpoint, το κακόβουλο λογισμικό αναλύεται αυτόματα με εξαιρετική λεπτομέρεια από το Intercept X Advanced με EDR, το οποία διασπά τα χαρακτηριστικά γνωρίσματα των αρχείων και τα συστατικά του κώδικα τους και πραγματοποιεί συγκρίσεις με εκατομμύρια άλλα αρχεία. Οι αναλυτές από εκεί και πέρα μπορούν εύκολα να δουν ποια χαρακτηριστικά και τμήματα κώδικα είναι παρόμοια με “γνωστά καλά” αρχεία και “γνωστά κακά”, ώστε να μπορούν να καθορίσουν αν ένα αρχείο πρέπει να αποκλειστεί ή όχι.
Αναλυτές threat intelligence
Οι έρευνες ενδέχεται να βασίζονται σε threat intelligence τρίτων (συχνά με πρόσθετο κόστος) για να προσθέσουν διορατικότητα και περιεχόμενο στις απειλές. Οι αναλυτές είναι απαραίτητοι για να ερμηνεύουν και να ενσωματώνουν αυτές τις πληροφορίες για να εξασφαλίσουν ότι θα προσθέσουν αξία. Το «threat intelligence» μπορεί να χρησιμοποιηθεί ως σημείο αφετηρίας στις έρευνες, ως ένα μέσο για να ζητηθεί από την κοινότητα ασφαλείας να πει την άποψη της σχετικά με ένα ύποπτο αρχείο ή για να καθορίσει αν μία επίθεση έχει πράγματι στόχο τον οργανισμό ή την επιχείρηση. Το Intercept X Advanced με EDR παρέχει στους διαχειριστές πληροφορικής και ασφάλειας τη δυνατότητα να συγκεντρώνουν περισσότερες πληροφορίες, αποκτώντας πρόσβαση κατά παραγγελία (on-demand) στο «threat intelligence» που επιμελείται η SophosLabs. Για να έχει πλήρη ορατότητα στο τοπίο απειλών, η SophosLabs παρακολουθεί, αποδομεί και αναλύει 400.000 μοναδικές και προηγουμένως άγνωστες επιθέσεις malware σε καθημερινή βάση σε μία συνεχή αναζήτηση για τις τελευταίες και καλύτερες τεχνικές επίθεσης. Οι πληροφορίες συλλέγονται, συγκεντρώνονται και συνοψίζονται για εύκολη ανάλυση, ώστε οι ομάδες που δεν διαθέτουν εξειδικευμένους αναλυτές threat intelligence ή ενδεχομένως δεν έχουν πρόσβαση σε δαπανηρά και δύσκολα κατανοητά feeds για απειλές να μπορούν να επωφεληθούν από μία από τις κορυφαίες ερευνητικές ομάδες στον κόσμο στον τομέα της πληροφορικής και των επιστημών δεδομένων στον κόσμο.
Μάθετε πως συνέβη μια επίθεση και πως να αποκλείσετε το ενδεχόμενο να ξανασυμβεί
Οι αναλυτές ασφαλείας βλέπουν εφιάλτες όταν η επιχείρηση που εργάζονται υπέστη επίθεση: ένα στέλεχος της εταιρείας τους φωνάζει “Πως συνέβη αυτό;” και το μόνο που μπορούν να κάνουν για να απαντήσουν είναι να σηκώσουν τους ώμους τους. Ο εντοπισμός και η αφαίρεση των κακόβουλων αρχείων λύνει άμεσα το πρόβλημα, αλλά δεν ρίχνει φως στο πως βρέθηκε καταρχήν εκεί ή τι επιχειρούσε να κάνει ο επιτιθέμενος πριν τερματιστεί η επίθεση. Παραδείγματα ή περιπτώσεις απειλών, που περιλαμβάνονται στο Intercept X Advanced με EDR, ρίχνουν φως σε όλα τα συμβάντα που οδήγησαν στην ανίχνευση, καθιστώντας απλή υπόθεση να κατανοήσετε ποια αρχεία, διεργασίες ή κλειδιά από το μητρώο (registry) επηρεάστηκαν από το κακόβουλο λογισμικό ώστε να γίνει ευκολότερος ο προσδιορισμός των επιπτώσεων μίας επίθεσης. Επιπλέον, παρέχει μια οπτική αναπαράσταση ολόκληρης της αλυσίδας επίθεσης, διασφαλίζοντας ότι το reporting σχετικά με τον τρόπο εκκίνησης της επίθεσης και την τοποθεσία που βρέθηκε ο εισβολέας γίνεται με σιγουριά και αυτοπεποίθηση. Το πιο σημαντικό είναι ότι, κατανοώντας τη βασική αιτία μιας επίθεσης, η ομάδα πληροφορικής και ασφάλειας θα είναι πολύ πιο πιθανό να αποτρέψει την επανεμφάνισή της στο μέλλον.
