Przejdz do tresci
Avanet
Dlaczego Endpoint Detection and Response (EDR)?

Dlaczego Endpoint Detection and Response (EDR)?

17. CZERWCA 2019

Sophos oferuje zarówno dla Intercept X Advanced, jak i dla Intercept X Advanced dla serwerów droższą wariant z dodatkiem “EDR”. Ponieważ podczas konsultacji handlowych bardzo często zadawane jest pytanie, co dokładnie oznacza “EDR” i czy dopłata w ogóle się opłaca, w tym artykule chciałbym nieco dokładniej omówić zakres funkcji EDR i jego korzyści.

Funkcjonalność EDR, oprócz Intercept X Advanced, jest już od dłuższego czasu dostępna dla stacji roboczych. Od 9 maja produkt jest dostępny również dla serwerów.

W czym EDR może pomóc

Upraszczając, dzięki Intercept X Advanced z EDR możecie dokładnie zbadać dwie kluczowe kwestie: Co dokładnie wydarzyło się po ataku i czy istnieje ryzyko, że coś jeszcze może się wydarzyć w najbliższym czasie?

1. Co się stało?

Aby dowiedzieć się, co wydarzyło się po ataku, na pierwszy rzut oka nie musicie koniecznie płacić dodatkowej opłaty za EDR. Sophos oferuje już od dłuższego czasu funkcję Analizy Głównej Przyczyny (RCA), która jest zawarta w funkcjonalności Intercept X. Jednak możliwości analizy ataku są decydująco rozszerzone przez uaktualnienie do Intercept X Advanced z EDR.

Z EDR możesz dowiedzieć się,

  • co naprawdę wydarzyło się po ataku
  • czy zagrożenie rozprzestrzeniło się
  • jakie wnioski SophosLabs zebrało od wszystkich klientów Sophos na temat konkretnego programu
  • czy w Twojej firmie nadal istnieje uśpione złośliwe oprogramowanie
  • czy możesz zapewnić szefa, że żadne dane nie zostały skradzione

Dzięki EDR uzyskujesz dostęp do metod sztucznej inteligencji, aby jeszcze dokładniej analizować procesy lub pliki za pomocą uczenia maszynowego. Dodatkowo, podczas analizy możesz tymczasowo odizolować zagrożony komputer, aby zyskać wystarczająco dużo czasu.

2. Czy coś jeszcze się wydarzy?

Powszechną taktyką atakujących jest umieszczanie gdzieś na komputerze małego programu, który początkowo nie robi nic złego i dlatego nie wydaje się podejrzany. Dzięki takiemu nieszkodliwemu zachowaniu, niektóre mechanizmy bezpieczeństwa mogą zostać początkowo wyłączone. W pewnym momencie jednak program ten obudzi się i spowoduje szkody.

Dzięki rozszerzonym możliwościom wyszukiwania Intercept X Advanced z EDR, można przeszukiwać całe przedsiębiorstwo w poszukiwaniu takich “uśpionych zagrożeń”. Często takie programy rozprzestrzeniły się już na wielu systemach i ukrywają się pod fałszywymi nazwami plików. Sophos oferuje z EDR przydatną funkcję przeszukiwania wszystkich urządzeń w przedsiębiorstwie pod kątem wartości haszujących. Dzięki temu bardzo szybko dowiesz się, na których urządzeniach w przedsiębiorstwie program został już zauważony i z kim się komunikował. W ten sposób możesz np. wykryć serwery Command and Control lub zidentyfikować serwery, z których mogły wypłynąć dane.

Gdzie leży wartość dodana EDR?

Jeśli w firmie dochodzi do ataku, w pierwszej kolejności ufa się mechanizmom ochrony Sophos Intercept X Advanced. Następnie należy jednak dokładnie przyjrzeć się zebranym danym z ataku i dowiedzieć się, czy skradziono jakieś dane, lub czy zagrożenie rozprzestrzeniło się np. na inne systemy. Do tego zazwyczaj potrzebna byłaby horda biegłych sądowych, którzy przez cały dzień nie robiliby nic innego, jak przeglądali logi, aby wyciągnąć z nich wnioski. Sophos natomiast w swoim rozwiązaniu EDR stawia na metody sztucznej inteligencji. Procesy w sieci są analizowane za pomocą uczenia maszynowego i pomocy SophosLabs, a nie przez ludzi. Dzięki temu zadanie to może być teraz teoretycznie wykonane przez osobę, która nie musi być ekspertem kryminalistyki IT. 😎

Czy potrzebuję teraz EDR, czy nie?

Odpowiedź na pytanie, czy powinniście płacić dodatkową opłatę za EDR, czy nie, zależy od dwóch czynników:

Czynnik 1: Zainteresowanie

Czy należysz do osób, którym wystarcza, gdy Intercept X Advanced po ataku zapisze w logu, że zagrożenie zostało powstrzymane i wszystkie dane zostały usunięte? Wtedy raczej nie potrzebujesz EDR.

Czy jednak chciałbyś przyjrzeć się atakowi nieco dokładniej i przeanalizować jego przebieg? Czy chciałbyś wiedzieć, czy w firmie znajduje się więcej złośliwych programów na komputerach lub serwerach, które po prostu jeszcze się nie ujawniły? Wtedy powiedziałbym, że powinieneś rozważyć dopłatę za EDR.

Czynnik 2: Wymogi zgodności

Narzędzia EDR są potrzebne najpóźniej wtedy, gdy firma po ataku musi udowodnić, że nie skradziono żadnych danych. Mówimy tutaj o wymogach zgodności, które muszą być spełnione w niektórych obszarach, takich jak np. PCI (Payment Card Industry) czy opieka zdrowotna. W ten zakres wchodzi również RODO (Ogólne Rozporządzenie o Ochronie Danych), które mówi, że należy chronić swoje zaufane dane zgodnie z najnowszym stanem techniki.

Takie prawo naturalnie czyni firmę podatną na ataki. Zamiast żądać okupu za odszyfrowanie danych firmy, jak w przypadku ataku ransomware, firmy mogą być teraz szantażowane jeszcze większymi sumami z powodu naruszenia RODO lub wymogów zgodności.

Funkcje EDR firmy Sophos pomagają wam przestrzegać wymagań zgodności i w nagłych wypadkach udowodnić, czy dane zaginęły, czy nie. Jeśli uważacie, że takie narzędzie jest przydatne dla waszej firmy, to inwestycja w Sophos Intercept X Advanced z EDR byłaby tutaj zdecydowanie na miejscu.

Testuj Sophos Intercept X Advanced z EDR

Jeśli nie masz jeszcze konta Sophos Central, możesz je utworzyć na stronie Sophos i przetestować wszystkie funkcje, w tym “Sophos Intercept X Advanced z EDR” dla komputerów i serwerów, bezpłatnie przez 30 dni.

Jeśli posiadasz już konto Sophos Central, a 30-dniowy okres próbny wygasł, możesz zamówić licencję na “Sophos Intercept X Advanced z EDR” w naszym sklepie:

David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.