Kybernetické útoky sa v posledných rokoch výrazne menia a tradičné nástroje ochrany, ako je antivírus, už nedokážu držať krok s modernými hrozbami.

Do popredia sa preto dostávajú tzv. EDR riešenia (Endpoint Detection and Response), ktoré firmám umožňujú sledovať a vyhodnocovať správanie zariadení v reálnom čase a odhaliť podozrivé správanie a anomálie, ktoré môžu indikovať aj doteraz neznáme útoky. Príkladom takéhoto riešenia je služba safe:LINK EDR od Slovanetu, ktorá je postavená na platforme CrowdStrike Falcon.

Hlavným prínosom EDR riešení je posun od pasívnej ochrany k aktívnemu monitoringu. Kým antivírus pracuje najmä so známymi hrozbami na základe databáz signatúr, EDR systémy sledujú správanie zariadení, aplikácií a procesov.

„EDR riešenia sledujú dianie na koncových zariadeniach a vyhodnocujú anomálie v ich správaní,“ vysvetľuje Lukáš Karlík, obchodný riaditeľ pre korporátny predaj v spoločnosti Slovanet. Vďaka tomu dokážu tieto systémy identifikovať aj podozrivé aktivity, ktoré ešte nie sú evidované ako známy útok, čím výrazne zlepšujú ochranu pred zero-day hrozbami.

•Zdroj: TOUCHIT

Agent na koncových zariadeniach

EDR riešenia využívajú softvérového agenta, ktorý sa nainštaluje na koncové zariadenia, ako sú počítače, notebooky, servery či mobilné zariadenia. Zbiera telemetrické dáta o dianí v systéme, sleduje prístup k súborom, spúšťanie procesov a komunikáciu zariadení v sieti. Následne tieto informácie vyhodnocuje a v prípade podozrivého správania generuje upozornenia takmer v reálnom čase.

„Nezameriavame sa len na známe signatúry, ale sledujeme správanie útočníkov a tzv. indikátory útoku,“ dopĺňa Martin Huňa, Account Executive zo spoločnosti CrowdStrike Czechia. Práve tento prístup umožňuje zachytiť aj sofistikované útoky, ktoré prebiehajú v dlhšom časovom horizonte, niekedy aj niekoľko týždňov či mesiacov.

Aktuálny trend ukazuje, že útočníci si nevyberajú konkrétne krajiny ani veľkosť firiem. Útoky sú často plošné a zasahujú organizácie naprieč celým svetom vrátane Slovenska. „Útočné skupiny dnes cielia prakticky na každú organizáciu bez ohľadu na jej veľkosť. Nikto nemôže povedať, že sa ho to netýka,“ upozorňuje Huňa.

Motiváciou býva najmä získanie finančných prostriedkov, napríklad prostredníctvom ransomvéru, ale aj krádež citlivých dát v rámci špionážnych aktivít.

•Zdroj: TOUCHIT

Prečo už nestačí iba antivírus

Zásadný rozdiel medzi antivírusom a EDR riešením možno prirovnať k fyzickej bezpečnosti. „Antivírus funguje ako vrátnik pri dverách, ale ak sa útočník dostane dnu inou cestou, už ho nikto nekontroluje. EDR monitoruje celé vnútro systému,“ vysvetľuje Karlík. Práve preto dnes tradičné antivírusové riešenia prestávajú byť dostatočné a firmy prechádzajú na pokročilejšie bezpečnostné modely.

Služba safe:LINK EDR zapadá do konceptu viacvrstvovej ochrany, ktorú Slovanet ponúka slovenským firmám. Bezpečnosť sa rieši od perimetra siete až po koncové zariadenia.

Platforma CrowdStrike Falcon umožňuje nasadenie bez potreby budovania vlastnej infraštruktúry a využíva agenta na koncových zariadeniach v kombinácii s cloudovou platformou. Výhodou je možnosť integrácie s ďalšími nástrojmi, ako sú XDR, SIEM alebo SOAR, ktoré rozširujú schopnosti detekcie a automatizácie reakcií na incidenty.

EDR riešenie si môžete vopred vyskúšať

Firmy si môžu EDR riešenia vyskúšať ešte pred nasadením do ostrej prevádzky. Slovanet ponúka pilotné nasadenie aj testovanie priamo v prostredí zákazníka. Takisto robí pravidelné workshopy a svojich zákazníkov vzdeláva. „Zákazníkom chceme ukázať reálne fungovanie riešenia, ideálne na zariadeniach a dátach, ktoré budú zodpovedať tomu, čo môžu očakávať v ich prostredí,“ dopĺňa Karlík.

CrowdStrike tiež umožňuje nasadenie testovacej verzie priamo do existujúcej infraštruktúre bez zásahu do aktuálnych bezpečnostných nástrojov. Ďalšie informácie sa dozviete v našom videorozhovore s Lukášom Karlíkom zo Slovanetu a Martinom Huňom z CrowdStrike Czechia.

Cena riešení ako safe:LINK EDR závisí od počtu zariadení a rozsahu ochrany. Konkrétne detaily vám poskytnú priamo v Slovanete.