Wyścig zbrojeń w segmencie cyberbezpieczeństwa nabiera tempa, a to oznacza jeszcze więcej ofiar i wydatków na rozwiązania służące do powstrzymania hakerów. Niestety, badania napływające zarówno od analityków, jak i dostawców bezpieczeństwa IT pokazują, że firmy oraz instytucje coraz gorzej radzą sobie z tym zadaniem. Według danych Chainalysis w 2024 r. ofiary ransomware zapłaciły łącznie aż 814 mln dol. okupu. Za taką kwotę można byłoby kupić 40 tys. Ferrari lub całkiem niezły klub piłkarski, chociażby hiszpańską Valencię CF.

Jednak szczególnie niepokojące z punktu widzenia rodzimych przedsiębiorców oraz instytucji publicznych wydają się być wyniki badania przeprowadzonego przez ESET Research. W drugim półroczu 2024 r. liczba ataków ransomware w Polsce zwiększyła się o 37 proc. w porównaniu do pierwszego półrocza. Problem dotyczy zarówno dużych organizacji, jak i małych i średnich przedsiębiorstw, które często mają ograniczone zasoby na zaawansowaną ochronę. Nasz kraj zajął też niechlubną siódmą pozycję na liście państw najczęściej atakowanych przez gangi ransomware w drugim półroczu 2024. Wygląda na to, że Polska znalazła się w epicentrum cyberataków, do czego w dużym stopniu przyczyniła się wojna na Ukrainie. Nasze firmy, a także jednostki samorządowe nie mogą już dłużej powtarzać sloganu – nasza chata z kraja. Podobnie jak nie mogą budować swojej linii obrony bazując wyłącznie na „podstawowych” narzędziach bezpieczeństwa. Nadszedł czas, aby zarówno przemodelować strategię ochrony, jak i zainwestować w nowoczesne rozwiązania.

Dostawcy systemów bezpieczeństwa IT zachęcają firmy do porzucenia pasywnej strategii (typu „ustawiamy firewall i czekamy”), na rzecz aktywnej ochrony w czasie rzeczywistym. Taki model wymaga nie tylko dobrej woli ze strony przedsiębiorcy, ale również zastosowania odpowiednich narzędzi. Na świecie niesłabnącą popularnością cieszą się systemy EDR (Endpoint Detection and Response), monitorujące, wykrywające i reagujące na zagrożenia występujące na urządzeniach końcowych, takich jak komputery, laptopy, serwery. Naturalnym rozwinięciem tych rozwiązań jest XDR – rozszerzony system ochrony, który łączy dane z wielu źródeł i pozwala działać szybciej oraz skuteczniej.

Analitycy Gartnera definiują XDR jako narzędzie do wykrywania zagrożeń bezpieczeństwa i reagowania na incydenty, który integruje wiele produktów zabezpieczających, tworząc ujednolicony system zarządzania zagrożeniami. W rezultacie organizacje zyskują kompleksowy, a zarazem uproszczony widok na bezpieczeństwo swojego środowiska IT. XDR chroni urządzenia końcowe, sieć, pocztę elektroniczną (blokuje phishing, spam, załączniki zawierające malware), serwery i aplikacje internetowe oraz środowisko chmurowe.

Nie mniej istotną kwestią jest szybkość reakcji na incydenty – im szybciej organizacja jest w stanie wykryć i zareagować na incydent, tym mniejsze są potencjalne szkody. XDR znacząco skraca czas potrzebny do identyfikacji i neutralizacji zagrożeń dzięki automatyzacji i koordynacji działań reakcyjnych, które tradycyjnie wymagały ręcznej interwencji. Inwestycja w XDR to zatem nie tylko kwestia bezpieczeństwa, ale również realnej oszczędności — zarówno czasu, jak i pieniędzy.

Interia inwestuje w XDR

Systemy XDR powoli podbijają nie tylko światowy, ale także rodzimy rynek. Jednym z użytkowników takiego rozwiązania jest portal Interia, który wybrał zaawansowany pakiet ESET PROTECT Enterprise. Wybór tego producenta nie był przypadkowy, bowiem Interia od lat korzysta z jego systemów bezpieczeństwa IT.

– Nasza organizacja wciąż się rozwija, a wraz z nią narzędzia cyberochrony. Bezpieczeństwo jest procesem, mamy tego świadomość. Gdy na jednej z konferencji zobaczyliśmy możliwości, jakie oferuje XDR ESET, zauważyliśmy w nim duży potencjał do wdrożenia w naszej organizacji – mówi Marcin Golizda, Dyrektor ds. Bezpieczeństwa w Interii.

Przed wdrożeniem rozwiązania Interia przeprowadziła gruntowne testy. Sama instalacja i konfiguracja przebiegły bez żadnych problemów. Kluczowym elementem pakietu jest ESET Inspect – narzędzie typu XDR, które daje szeroki wgląd w to, co dzieje się w sieci i na komputerach pracowników.

– Pozytywną zmianą jest możliwość wykrycia zagrożeń związanych z adresami URL. To nowość, do której nie mieliśmy dostępu. Wiedza o tym, jak wygląda cała ścieżka, jest dla nas ogromną wartością, bo widzimy dokładnie, gdzie jest kierowany użytkownik. Nie musimy się tego domyślać – tłumaczy Paweł Hanusik, specjalista ds. bezpieczeństwa w Interii.

Zespół ds. cyberbezpieczeństwa w Interii korzysta również z wielu innych funkcji systemu, na przykład z możliwości tworzenia grup komputerów i masowego wysyłania zadań – co przydaje się chociażby podczas aktualizacji systemu Windows.

– Masowe wysyłki zadań doskonale sprawdzają się w naszej organizacji. W ostatnim czasie przy aktualizacji Windows, co bardzo przyspieszyło naszą pracę. Zwłaszcza, że możemy to zastosować na całe „drzewo” użytkowników albo wykonać zadanie dla konkretnego użytkownika. Przydało nam się to wiele razy w momencie, gdy dowiedzieliśmy się o istnieniu jakiegoś zagrożenia typu zero-day i wymuszaliśmy zdalnie aktualizację – dodaje Tomasz Laszczyk, Specjalista ds. Bezpieczeństwa w Interii.

Atutem ESET PROTECT Enterprise jest także funkcja polegająca na monitorowaniu zarówno całej sieci, jak i pojedynczych urządzeń.

– W przypadku cyberataku, to ESET PROTECT Enterprise daje możliwość szczegółowego prześledzenia, jak do takiego zdarzenia doszło. Na uwagę zasługuje zakładka wskazująca, jak konkretna „binarka” znalazła się na danym komputerze. Dzięki temu można dojść do tego, w jaki sposób komputer został zainfekowany oraz jakie zdarzenia zostały wykonane przez niebezpieczny plik – podsumowuje Paweł Hanusik.