Stosowane od lat rozwiązania ochrony stacji końcowych Endpoint Protection Platform (EPP) opierają analizę sytuacji na sygnaturach zagrożeń. Zagrożeń, które zostały już wykryte i opisane w postaci wzorca. Mówimy zatem o pewnym określonym kodzie, zidentyfikowanym na stacji, który wskazuje, że nastąpiła próba jej infekcji. Kod ma ściśle określoną formę oraz zawartość, a jego rozpoznanie nie jest powiązane z uruchomieniem pliku i dlatego tego typu analizę określa się mianem statycznej.

Z identyczną sytuacją mamy do czynienia w systemach zintegrowanych typu NGFW/UTM. Jednak w tym przypadku producenci szybko uzupełnili w nich mechanizmy analizy statycznej o elementy analizy behawioralnej. Wynika to z naturalnej potrzeby wzmocnienia skuteczności rozwiązań w stosunku do rosnącej liczby zagrożeń typu „zero day”, czyli takich, które nie były do tej pory znane i w związku z tym nie zostały opisane w postaci sygnatury (wzorca). Do takiej rozszerzonej analizy zastosowano systemy typu Sandbox, w których następowało uruchomienie załączników, a następnie  – poprzez analizę zdarzeń  – podjęcie decyzji o potencjalnym zagrożeniu. 

Pierwszym krokiem do zapewnienia podobnych mechanizmów dla stacji roboczych było umożliwienie im komunikacji z systemami Sandbox, podobnie jak to miało miejsce w systemach zintegrowanych. Był to bardzo ważny krok zwiększający bezpieczeństwo, ponieważ wykonywalne pliki są poddawane kwarantannie do momentu otrzymania werdyktu z analizatora. Jedną z zasadniczych kwestii, na którą w tym przypadku należy zwrócić uwagę, jest to czy w takim scenariuszu oprogramowanie klienckie może współpracować z usługą Sandbox, realizowaną w chmurze producenta, czy musi  być w tym przypadku zastosowana dedykowana platforma – ta druga opcja wpływa bowiem na cenę rozwiązania. 

Coraz większe wymagania

Rosnąca mobilność, rozproszenie pracowników, potrzeba integracji z istniejącą infrastrukturą oraz nowe formy ataków sprawiły, że oczekiwania funkcjonalne w tym zakresie stały się znacznie większe. Zanim prześledzimy funkcje i metody analizy wykorzystywane przez rozwiązania typu EDR, określmy podstawowe oczekiwania administratorów w tym zakresie:

  • Współoperacyjność – dzięki niej system EDR powinien działać na stacji i dostarczać dodatkowe wartości, niezależnie od wykorzystywanej obecnie aplikacji ochrony stacji (Endpoint Protection). Należy zwrócić uwagę, że wielu dostawców produktów bezpieczeństwa, którzy posiadają w ofercie oba rozwiązania, zaczęło integrować je w jednym produkcie.
  • Centralne zarządzanie – stanowi podstawę sprawnego funkcjonowania tego typu systemów, zwłaszcza z punktu widzenia ich utrzymania. Zautomatyzowana implementacja połączona z bazami użytkowników umożliwia łatwe wdrożenie systemu, a następnie prezentowanie zagrożeń z puntu widzenia nazwanych użytkowników i jednostek organizacyjnych, do których należą. Dostępne na rynku produkty umożliwiają administrowanie nim z wykorzystaniem lokalnego systemu zarządzania i/lub przy pomocy aplikacji zlokalizowanej w chmurze producenta. Sprawia to, że EDR przestał być dedykowany wyłącznie dla większych organizacji. Jest przedmiotem zainteresowania również mniejszych firm z ograniczonymi zasobami administracyjnymi. Oferowane w chmurze producenta konfiguratory ułatwiają proces instalacji i reagowania na incydenty. Należy się spodziewać, że dzięki temu EDR stanie się jeszcze bardziej popularny – głównie za sprawą zarządzanych usług dostarczanych przez lokalnych operatorów. 
  • Korelacja zdarzeń oraz wizualizacja – daje administratorowi możliwość sprawdzenia, czy incydent wykryty na jednej ze stacji dotyczy większej ilości zasobów, nawet jeśli niepożądana aktywność nie została na nich jeszcze zauważona. To skraca czas rozpoznania celowanego ataku. Z kolei graficzna wizualizacja analizy przebiegu zdarzania i artefaktów ataku znacznie ułatwia pracę operatorów systemu.
  • Funkcja przeszukiwania chronionych stacji pod kątem plików, folderów, procesów, wpisów w rejestrach – wspomaga proces korelacji i usprawnia reakcję na incydenty.
  • Możliwość nadawania incydentom różnych statusów i delegowania ich do różnych operatorów systemu.
  • Wspierane systemy operacyjne – większość wykorzystywanych stacji roboczych korzysta z systemów operacyjnych Windows i Mac OS, nie należy jednak w tym procesie zapominać o serwerach, których duża część funkcjonuje w oparciu o Linux.
  • Integracja z systemami zarządzania tożsamością (np. AD) i zarządzanie systemem na podstawie ról RBAC (role-based access control).
  • Integracja z innymi elementami infrastruktury – automatyzacja zadań przy integracji z systemami SIEM, NGFW, NAC pozwala minimalizować zasięg rażenia ataku poprzez izolowanie skompromitowanych zasobów (np. przeniesienie do strefy kwarantanny), zmianę reguł kontroli dostępu czy utworzenie zadań dla dedykowanych operatorów, którzy reagują na zdarzenia.
  • IOCs (Indicators of compromise) – jakość przygotowywanych przez producenta rozwiązania definicji artefaktów oraz sygnatur zdarzeń, na podstawie których dokonywana jest analiza stanu bezpieczeństwa stacji lub serwera. W tym przypadku niektóre produkty umożliwiają również definiowanie własnych wzorców (np. w formatach STIX czy Open IOC), przy pomocy których administratorzy mogą na swój sposób określać, jak mają być rozpoznawane potencjalne zainfekowane zasoby.

Jak działają EDR-y?

Produkty typu EDR (Endpoint Detection and Response) nie są następcą, ale rozwinięciem systemów ochrony dla stacji roboczych i serwerów. Przeanalizujmy więc, jak działają. Otóż ich podstawowym zadaniem jest rozpoznawanie niestandardowych aktywności i śladów, które mogą wskazywać na atak na zasoby. W tym celu przeprowadzają szereg sprawdzeń, które obejmują między innymi:

  • analizę zachowań, w tym uruchamianie procesów oraz ich powiązanie z aplikacjami, monitorowanie wpisów w rejestrach oraz zasadność ich modyfikacji, niestandardową komunikację, próby autoryzacji dostępu (nie jest na przykład czymś standardowym, kiedy uruchamiany dokument próbuje modyfikować wpis w rejestrze systemu lub zmieniać uprawnienia do innych zasobów);  
  • drugim ważnym elementem jest rozpoznawanie artefaktów (śladów) pozostawionych w systemie, będących skutkiem wystąpienia podejrzanego incydentu, jak: zmiany w plikach i rejestrach, zmodyfikowane uprawnienia w dostępie do zasobów, zmiana charakterystyki komunikacji w sieci (niestandardowy ruch, wzmożona ilość, anomalie w zapytaniach DNS), ponadstandardowe procesy aktualizacji systemu oraz aplikacji itp.

Wszystkie te elementy, pomimo braku reakcji ze strony statycznych sygnaturowych mechanizmów ochrony, mogą wskazywać na to, że zasoby stacji roboczych i serwerów są przedmiotem ataku lub zostały już zainfekowane. Zadaniem administratorów bezpieczeństwa jest w tym przypadku: wyeliminowanie niebezpiecznych stacji i usunięcie zagrożenia, rozpoznanie innych zasobów, które były w zasięgu ataku (korelacja), sprawdzenie ich pod kątem bezpieczeństwa (rozbudowana analityka), dostosowanie mechanizmów zabezpieczeń w innych systemach ochrony. To sporo pracy, jednak dzięki gotowym produktom wiele działań jest automatyzowanych, co w efekcie minimalizuje czas ekspozycji na zagrożenie.

Przez ostatnie trzy lata, kiedy produkty EDR mocno ewoluowały, znacznie wzrosła świadomość w zakresie dotychczas niezidentyfikowanych zagrożeń oraz potrzeby zastosowania nowych, dodatkowych mechanizmów ochrony. Widać to na przykładzie rosnącej liczby projektów, w których jesteśmy pytani o tę technologię. Ostatnie miesiące wzmocniły ten proces z uwagi na coraz większą ilość ataków ukierunkowanych na stacje użytkowników mobilnych oraz home office, dla których niejednokrotnie personalny system ochrony jest jedynym zabezpieczeniem, z którego korzystają.

W ofercie Veracomp są obecne rozwiązania EDR dostarczane przez takich producentów, jak: Symantec, Watchguard, CrowdStrike oraz Fortinet. Dla wszystkich produktów zapewniamy wsparcie techniczne, świadczone przez certyfikowanych inżynierów, którzy weryfikują potrzeby i doradzają w wyborze technologii tak, aby jak najlepiej spełniać wymagania i potrzeby klientów.  

  

Chcesz dowiedzieć się więcej na temat EDR-ów? Zachęcamy do udziału w webinarze, który poprowadzą inżynierowie Veracompu, specjalizujący się w rozwiązaniach bezpieczeństwa IT.

Zarejestruj się: https://webinary.veracomp.pl/course/view/3785