Hoppa till innehållet
Avanet
Varför Endpoint Detection and Response (EDR)?

Varför Endpoint Detection and Response (EDR)?

17. JUNI 2019

Sophos erbjuder en dyrare variant med tillägget “EDR” för både Intercept X Advanced och Intercept X Advanced for Server. Eftersom vi mycket ofta får frågan i köprådgivningar vad detta “EDR” exakt betyder och om merkostnaden överhuvudtaget är värd det, vill jag i den här artikeln gå lite mer i detalj om EDR:s funktionalitet och nytta.

EDR-funktionaliteten, utöver Intercept X Advanced, har funnits tillgänglig för arbetsstationer under lång tid. Sedan den 9 maj finns produkten även tillgänglig för servrar.

Vad EDR kan hjälpa till med

Enklare förklarat kan ni med Intercept X Advanced med EDR gå till botten med två väsentliga saker: Vad hände exakt efter en attack och finns det en risk att något mer kan inträffa inom en snar framtid?

1. Vad hände?

För att ta reda på vad som hände efter en attack behöver ni inte nödvändigtvis betala merkostnaden för EDR vid första anblicken. Sophos erbjuder er sedan länge funktionen Root Cause Analysis (RCA), som ingår i funktionsomfånget för Intercept X. Möjligheterna att analysera en attack utökas dock avgörande genom en uppgradering till Intercept X Advanced med EDR.

Med EDR kan ni ta reda på:

  • vad som verkligen hände efter en attack
  • om ett hot har spridit sig
  • vilka insikter SophosLabs har samlat in om ett specifikt program från alla Sophos-kunder
  • om det fortfarande finns vilande skadlig kod i ert företag
  • om ni kan ge er chef klartecken att inga data har stulits

Med EDR får du tillgång till metoder för artificiell intelligens för att låta en process eller filer analyseras ännu mer exakt med maskininlärning. Du kan dessutom tillfälligt isolera den berörda datorn under en analys för att skaffa dig tillräckligt med tid.

2. Kommer något mer att hända?

En vanlig taktik för angripare är att placera ett litet program någonstans på din dator som initialt inte gör något skadligt och därför inte verkar misstänkt. Genom detta ofarliga beteende kan vissa säkerhetsmekanismer först sättas ur spel. Men någon gång kommer detta program att vakna och orsaka skada.

Genom de utökade sökmöjligheterna i Intercept X Advanced med EDR kan sådana “sovande hot” sökas företagsvitt. Ofta har sådana program redan spridit sig till ett flertal system och döljer sig bakom falska filnamn. Sophos erbjuder med EDR den hjälpsamma funktionen att söka igenom alla enheter i företaget efter hashvärden. På så sätt får du snabbt reda på vilka enheter i företaget ett program redan har upptäckts på och med vem det har kommunicerat. På detta sätt kan du t.ex. upptäcka Command and Control-servrar eller hitta servrar från vilka data kan ha läckt ut.

Vad är mervärdet med EDR?

Om en attack inträffar i ett företag förlitar man sig i första hand på skyddsmekanismerna i Sophos Intercept X Advanced. Därefter bör man dock titta närmare på den insamlade datan från attacken och ta reda på om några data stulits eller om hotet exempelvis har spridit sig till andra system. Detta skulle normalt kräva en hord av forensiker som inte gör något annat hela dagen än att söka igenom loggar för att dra några slutsatser. Sophos däremot, för sin EDR-lösning, använder metoder för artificiell intelligens. Processer i nätverket analyseras alltså med maskininlärning och med hjälp av SophosLabs och inte längre av människor. Detta innebär att det här jobbet nu teoretiskt kan utföras av en person som inte behöver vara IT-forensiker. 😎

Behöver jag EDR nu eller inte?

Svaret på frågan om du ska betala extra för EDR eller inte beror på två faktorer:

Faktor 1: Intresse

Tillhör ni dem som nöjer sig med att Intercept X Advanced efter en attack skriver i loggen att hotet kunde stoppas och all data rensades? Då behöver ni förmodligen inte EDR.

Skulle ni däremot vilja titta närmare på attacken och analysera förloppet mer exakt? Vill ni veta om det finns fler skadliga program på datorer eller servrar i företaget som helt enkelt inte har gjort sig märkbara ännu? Då skulle jag säga att ni bör överväga merkostnaden för EDR.

Faktor 2: Efterlevnadskrav

EDR-verktyg behövs senast när ett företag efter en attack måste bevisa att inga data har stulits. Vi talar här om efterlevnadskrav som måste garanteras inom vissa områden, såsom PCI (Payment Card Industry) eller hälso- och sjukvården. Även GDPR (Allmänna dataskyddsförordningen) faller inom detta område, som säger att man måste skydda sina betrodda data enligt den senaste tekniken.

En sådan lag gör naturligtvis ett företag sårbart. Istället för att, som vid en ransomwareattack, kräva lösensumma för att dekryptera företagets data, kan företag nu utpressas för ännu större summor på grund av en överträdelse av GDPR eller efterlevnadskrav.

Sophos EDR-funktioner hjälper er att följa efterlevnadskraven och i en nödsituation bevisa om data har försvunnit eller inte. Om ni anser att ett sådant hjälpmedel är meningsfullt för ert företag, då skulle investeringen i Sophos Intercept X Advanced med EDR definitivt inte vara felplacerad här.

Testa Sophos Intercept X Advanced med EDR

Om ni ännu inte har ett Sophos Central-konto kan ni skapa ett på Sophos webbplats och testa alla funktioner, inklusive “Sophos Intercept X Advanced med EDR” för datorer och servrar, gratis i 30 dagar.

Om ni redan har ett Sophos Central-konto och den 30-dagars testperioden har löpt ut, kan ni beställa en licens för “Sophos Intercept X Advanced med EDR” i vår butik:

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.