EDR tylko dla dużych?

Na przestrzeni ostatnich kilku lat lista produktów bezpieczeństwa IT wzbogaciła się o kilka interesujących pozycji, w tym Endpoint Detection and Response (EDR). Ich rola polega na analizie, monitoringu oraz zapisywaniu informacji o działaniu systemów i procesów zachodzących na komputerach czy serwerach. EDR składa się z centralnego serwera, agentów instalowanych na „końcówkach”, konsoli dla administratorów oraz bazy danych. Według analiz Insight Partners, amerykańskiego funduszu venture capital, w latach 2017–2025 globalny rynek EDR będzie rósł w rocznym tempie 29 proc. To oznacza, że EDR staje się standardowym narzędziem cyberbezpieczeństwa dla większości firm. Niestety, dotyczy to przede wszystkim klientów korporacyjnych. W przypadku mniejszych przedsiębiorstw sprawy się nieco komplikują.

– MŚP coraz częściej pytają o rozwiązania klasy EDR. W naszej ocenie zazwyczaj jest to efekt medialnej popularności tych produktów. Natomiast brakuje specjalistów do analizy informacji płynących z modułów EDR. Niestety, są oni bardzo drodzy. W związku z tym firmy interesują się produktami posiadającymi elementy pozwalające na automatyczną analizę danych – mówi Grzegorz Michałek.

Na inny aspekt sprawy zwraca uwagę Przemysław Kania. Jego zdaniem EDR staje się naturalnym następcą antywirusa, aczkolwiek to kwalifikacje pracowników, a nie wielkość firm, decyduje o zakupie produktu. Z badania Cybersecurity Readiness Index przeprowadzonego przez Cisco wynika, że brak odpowiednich specjalistów ds. cyberbezpieczeństwa nie zawsze wiąże się z wielkością firmy. Co więcej, można nawet dojść do wniosku, że to właśnie małe firmy są nieco mniej ograniczone tymi brakami, bowiem 32 proc. respondentów z sektora MŚP uznawało ten deficyt za palący, zaś w przypadku największych firm ten odsetek był większy i wyniósł 43 proc.

Część firm, ze względu na ograniczone możliwości w zakresie ochrony urządzeń końcowych, zwróci się o wsparcie do firm zewnętrznych. Gartner szacuje, że do końca 2025 r. aż połowa podmiotów będzie korzystać z Managed Detection Response (MDR), czyli usług zarządzonego wykrywania zagrożeń i reagowania na nie.

Trzy sposoby na ochronę sieci

W rodzimych firmach większość stosowanych zabezpieczeń sieci bazuje na klasycznej architekturze, często porównywanej do zamku i fosy. W tym modelu pierwszoplanowe rolę odgrywają systemy UTM oraz firewalle, które pełnią rolę fosy powstrzymującej napastników przed wtargnięciem do wnętrza firmowej infrastruktury (zamku). MŚP nie stanowią żadnego wyjątku, z tą różnicą, że w porównaniu z korporacjami częściej stawiają na fosę w postaci UTM (Unified Threat Management).

Największym rywalem UTM-ów są firewalle. W tym segmencie produktów, podobnie jak w przypadku antywirusów, zaszły istotne zmiany. Wcześniejsze wersje zapór ogniowych zapewniały kontrolę ruchu sieciowego, obsługę VPN i filtrowanie pakietów. Z kolei Next Generation Firewall (NGFW) oferuje bardziej zaawansowane funkcje, takie jak inspekcja warstwy aplikacji, rozpoznawanie tożsamości użytkownika, mechanizmy zapobiegania włamaniom czy filtrowanie stron internetowych na podstawie kategorii, a także łączą infrastrukturę lokalną i chmurową.

– UTM i NGWF należy traktować tożsamo. Są to obecnie najpopularniejsze rozwiązania do ochrony brzegowej, nie tylko wśród MŚP, ale także w dużych firmach. W mniejszych podmiotach o wyborze konkretnego rozwiązania decyduje cena urządzenia. Ciekawą opcją jest model subskrypcyjny, w którym klient może sprawdzić wyższy pakiet, a po roku wrócić do niższego, jeśli nie dostrzega korzyści wynikających z rozszerzonej ochrony – tłumaczy Marceli Matczak, dyrektor handlowy Labyrinth Security Solutions.

Ciekawą alternatywę dla UTM oraz NGWF stanowi NDR (Network Detection Response). Według statystyk Gartnera jest to drugi pod względem dynamiki wzrostu segment bezpieczeństwa (palma pierwszeństwa należy do Cloud Access Security Broker). NDR analizuje ruch sieciowy, modeluje bazę normalnego zachowania sieci i ostrzega zespoły IT o każdym podejrzanym ruchu wykraczającym poza standardowy zakres.

– UTM zapewnia najtańszą i podstawową ochronę przed zagrożeniami z sieci. Jednak podobnie jak firewall, jest ograniczony miejscem podłączenia urządzenia. NDR zapewnia jako jedyny pełną ochronę przed zagrożeniami bez względu na lokalizację pracownika, co jest bezcenne w obecnych czasach – tłumaczy Przemysław Kania.

Nie ulega wątpliwości, że NDR ma kilka niezaprzeczalnych zalet, aczkolwiek jego obsługa wymaga wykwalifikowanych pracowników, a poza tym nie jest to tani produkt.

Zdaniem integratora

Grzegorz Świrkowski, prezes, Net Complex Grzegorz Świrkowski, prezes, Net Complex  

Mali i średni przedsiębiorcy popełniają różne błędy w czasie tworzenia systemu bezpieczeństwa. Jednym z najczęstszych jest niewłaściwy dobór produktów. Często decydują się na najtańsze i najprostsze produkty bez dokładnej ich analizy pod względem funkcjonalności i zgodności z wymaganiami firmy. Niejednokrotnie pojawiają się problemy z zaplanowaniem systemu bezpieczeństwa pod kątem działań wewnętrznych i zewnętrznych. Nieuwzględnienie różnych zagrożeń i sposobów ich minimalizacji może prowadzić do niedostatecznej ochrony. Z kolei brak polityki bezpieczeństwa i procedur wymaganych do zachowania ciągłości działania firmy w przypadku awarii lub ataku, może prowadzić do chaotycznej reakcji na zagrożenia. Jedną z największych bolączek jest zbyt mała liczba lub brak regularnych szkoleń dla pracowników w zakresie ochrony przed cyfrowymi zagrożeniami.