Sieć salonów z meblami Agata, Polska Agencja Prasowa, Metro Warszawskie czy Telewizja Polska – to tylko część rodzimych popularnych firm oraz instytucji, które w ostatnim czasie padły ofiarami hakerów. Tymczasem Check Point oznajmia, że statystycznie każda polska firma doświadcza ponad 2000 prób ataków… tygodniowo (!). Wspomniane incydenty, a także ustawowe regulacje, takie jak NIS 2, kreują popyt na rozwiązania do ochrony urządzeń końcowych. Co ważne, rośnie nie tylko liczba sprzedawanych produktów, ale poprawia się także ich jakość.

– To kolejny rok, w którym klienci stopniowo migrują do rozwiązań o większej funkcjonalności. Odchodzą od najprostszych pakietów w kierunku narzędzi wyposażonych w funkcje sandboxingu chmurowego, zarządzania podatnościami, uwierzytelniania wieloskładnikowego czy EDR/XDR – mówi Paweł Jurek, dyrektor ds. rozwoju w DAGMA Bezpieczeństwo IT.

Podobne tendencje dostrzegają specjaliści Almy. Uważają, że rosnący popyt na ochronę stacji końcowych jest kontynuacją trendu rozpoczętego w okresie lockdownów. Natomiast w Net Complex rośnie liczba klientów decydujących się nie tylko na zwiększanie funkcjonalności rozwiązań, ale również zmianę ich producenta. Zyskują dostawcy, którzy oferują kompleksowe i rozbudowane systemy. Zmienia się też sposób postrzegania produktów bezpieczeństwa IT.

– Coraz więcej firm doświadcza ataków w sposób bezpośredni lub pojawiają się one w ich bliskim otoczeniu, w firmach partnerskich, u klientów czy dostawców. Rośnie więc przekonanie, że zakup takich rozwiązań to nie tylko wydatek, ale inwestycja w bezpieczną przyszłość – mówi Bartosz Galoch, CrowdStrike Product Manager w iIT Distribution.

Wciąż jednak istnieje grupa firm oraz instytucji, które stawiają na najprostsze rozwiązania, jak oprogramowanie antywirusowe, ze względu na ich cenę. Na zakup systemów z wyższej półki decydują się dopiero po tym, jak staną się ofiarami cyberataku.

EPP i EDR w duecie

Wybór rozwiązania do ochrony urządzeń końcowych nie jest łatwy. Wyzwaniem jest nie tylko liczba dostawców i ich bogata oferta, ale też dodatkowe czynności i wydatki związane z wdrożeniem oraz eksploatacją.

Obecnie jednym z najpopularniejszych zabezpieczeń do ochrony urządzeń końcowych jest Endpoint Protection Platform (EPP). To zestaw narzędzi używanych do zabezpieczania „końcówek” (komputery stacjonarne, laptopy, serwery, smartfony), obejmujących ochronę antywirusową, szyfrowanie danych czy zapobieganie włamaniom.

– Podstawowe rozwiązania EPP w głównej mierze stosują ochronę sygnaturową i nie zdają egzaminu podczas wyrafinowanych ataków. Nie pozwalają na analizowanie incydentu ze względu na brak telemetrii i danych, a więc nieodzownych atrybutów pracy analityka obsługującego Security Operation Center – tłumaczy Mateusz Kopacz, CISO Alma.

Dlatego też coraz więcej średnich i dużych firm wprowadza dodatkowe zabezpieczenie w postaci Endpoint Detection and Response (EDR). Jego działanie koncentruje się na wykrywaniu i reagowaniu na podejrzane oraz złośliwe działania, z których identyfikacją nie radzą sobie tradycyjne narzędzia prewencyjne. EDR gromadzi dane z urządzeń końcowych w czasie rzeczywistym, analizuje je w celu wykrycia nietypowych działań, prowadzi śledztwo i umożliwia automatyczne lub manualne reagowanie na zagrożenia.

– EDR i EPP często działają komplementarnie, zapewniając kompleksową ochronę produktów końcowych – dodaje Mateusz Kopacz, CISO poznańskiej Almy.

Informacje zbierane przez EDR z urządzeń końcowych  
  • Adresy IP, z którymi był i jest obecnie połączony zabezpieczany sprzęt
  • Próby zmiany hasła, które mogą świadczyć o logowaniu intruzów
  • Dane kont użytkowników końcowych logujących się do urządzeń oraz lokalizacja, z której uzyskali dostęp
  • Aktywność sieciowa realizowana z wykorzystaniem firmowych urządzeń
  • Dane dot. tworzonych i przechowywanych plików (lokalnie i w chmurze)
  • Wykorzystywanie przenośnych nośników pamięci, indeksowanie danych
  • Procesy wykonywane przez system operacyjny i aplikacje