Endpoint Detection and Response - czyli co oznacza EDR?

Kategoria: 

EDR, czyli Endpoint Detection and Response to system uzupełniający zabezpieczenia sieci komputerowych. Rozbudowane środowiska IT w przedsiębiorstwach są chronione wieloma poziomami zabezpieczeń, mającymi ustrzec je przed zagrożeniami z zewnątrz. Jednak nawet w 99% ochronie przed atakami hakerów, znajduje się ten 1% umożliwiający obejście zabezpieczeń.

 

Wszystkie systemy firewall czy antywirusy są podatne na tzw. silently fall, czyli zagrożenia przeoczone ze względu na niespełnienie zaimplementowanych im reguł. Efektem niewykrycia takiego ataku jest brak reakcji. Pomagać w zapobieganiu takim incydentom mogą właśnie systemy EDR, uzupełniajace lukę o wykrywanie i reagowanie na podejrzane aktywności na urządzeniach końcowych sieci. W artykule opowiemy, co to jest EDR, jak działa i dlaczego warto go stosować.

 

 

 

Co to jest EDR?

Jak działa system EDR?

Narzędzia ochrony bezpieczeństwa od Ekran System

Podsumowanie

 

 

 

Co to jest EDR?

 

Według definicji EDR – Endpoint Detection and Response to wykrywanie i reagowanie na punktach końcowych. Jest to nowatorskie rozwiązanie w dziedzinie bezpieczeństwa, które koncentruje się na wykrywaniu każdych nieprawidłowych działań lub aktywności na punktach końcowych systemu, a nie jak dotychczas tylko konkretnych złośliwych oprogramowań.

 

EDR dostarcza alerty bezpieczeństwa, które są podstawą do dalszych działań. Analizuje, monitoruje oraz zapisuje informacje o działaniu systemu, oraz procesów na urządzeniu końcowym. Dzięki temu daje widoczność i dostarcza informacji o lokalnych zdarzeniach na stacjach roboczych i serwerach. Pozwala na wykrywanie zagrożeń ukrytych, co dla innych systemów jest niemożliwe. Oto funkcjonalności, które powinien posiadać EDR:

 

  • poszukiwanie incydentów i zbieranie danych z końcówek,
  • ocena ryzyka i alarmowanie na odpowiednim poziomie,
  • wykrywanie podejrzanych aktywności,
  • blokowanie złośliwych działań,
  • threat hunting,
  • zintegrowanie z innymi systemami.

 

Jak działa system EDR?

 

System EDR dzięki wymienionym wyżej funkcjonalnościom analizuje wszelkie wątpliwe pliki pod względem ich złośliwej zawartości. Opiera się przy tym na analizie procesów typowych dla serwerów lub stacji roboczych w danej firmie. Dzięki zestawom stworzonych wcześniej reguł wykrywa niepożądane sytuacje oraz wdraża przewidziane przez administratora działania.

 

Typowy system EDR składa się zwykle z:

 

  • agenta na urządzeniach końcowych,
  • zarządzającego nimi i przetwarzającego dane centralnego serwera,
  • bazy danych,
  • konsoli dla operatorów.

 

Właściwie obsługiwany przez administratorów system stanowi dużą wartość dla bezpieczeństwa danych w przedsiębiorstwie. Dzięki niemu upoważnieni pracownicy ochrony mogą obserwować m.in. następujące zdarzenia:

 

  • korzystanie z zewnętrznych nośników danych,
  • połączenia sieciowe z zewnętrznymi i wewnętrznymi hostami,
  • bezpośrednie lub zdalne logowania użytkowników,
  • tworzenie plików o określonych rozszerzeniach,
  • wykonywanie poszczególnych procesów.

 

EDR umożliwia także zbieranie dodatkowych informacji z urządzeń końcowych poprzez zapytania w czasie rzeczywistym, np. o listę uruchomionych procesów, wpisy z rejestru czy z Windows Event LOG.

 

W przypadku zdiagnozowania zagrożenia system Endpoint Detection and Response daje pracownikom ochrony bezpieczeństwa szerokie możliwości działań zatrzymujących, względnie łagodzących złośliwe działania. Mogą to być m.in.:

 

  • usunięcie pliku,
  • wyłączenie interfejsów sieciowych,
  • zabezpieczenie przez zaszyfrowanie danego zasobu,
  • usunięcie lub zmodyfikowanie klucza rejestru,
  • powstrzymanie niepożądanego procesu.

 

Narzędzia ochrony bezpieczeństwa od Ekran System

 

Bezpieczeństwo IT to priorytet w każdym przedsiębiorstwie, dobrze jest więc wykorzystać do jego osiągnięcia wszystkie dostępne zabezpieczenia dodatkowe.

 

Jednym z takich zabezpieczeń jest system DLP (Data Loss Prevention), który blokuje każdą czynność zidentyfikowaną jako próba przejęcia danych, zabezpieczając w ten sposób sieć. Dotyczy to również wycieków przypadkowych, wynikających z nieświadomego działania pracownika, który jako tzw. Insider powoduje wyciek danych firmowych.

 

Ekran System oferuje także program monitorowania sieci firmowych, który umożliwia m.in. monitoring serwera. Działania systemowe warto wzmocnić stosowaniem zasady Zero Trust, która traktuje wszystkie aktywności wewnątrz firmowej sieci jako zewnętrzne.

 

Podsumowanie

 

Wykrywanie cyberataków już w ich początkowej fazie to skuteczna broń przeciwko hakerom. EDR informując o incydencie na jego wczesnym etapie, pozwala zminimalizować lub całkowicie wyeliminować szkody, które miałyby zostać wyrządzone. Nie bez znaczenia jest również możliwość wyeliminowania przestojów czy zakłóceń w działalności firmy, które generują dodatkowe koszty.

 

Wdrażając strategię bezpieczeństwa w przedsiębiorstwie, warto wykorzystać w niej również EDR jako dodatkową ochronę, eliminującą luki na punktach końcowych systemu. Wraz z tradycyjnymi rozwiązaniami antywirusowymi oraz dodatkowymi zabezpieczeniami, oferowanymi np. przez Ekran System, pozwoli to pełniej chronić firmowe środowisko IT przed wszelkimi zagrożeniami.