Varnost
12.10.2022 11:06
Posodobljeno 2 leta nazaj.

Deli z drugimi:

Share

XDR zaščita: Kaj je pomembno?

EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije. Klasična zaščita pred ransomware-om je že dolgo del operacijskih sistemov, kot je Microsoft Windows. Vendar se mnogi skrbniki in vodje IT zavedajo, da izolirani dnevniki ali zaznave zlonamerne programske opreme ne zagotavljajo pravega vpogleda v taktike in tehnike, ki jih napadalci uporabljajo, ko dobijo dostop do omrežja (zlasti Active Directory).
EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije.
EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije.

Zaščita XDR je odgovor na potrebo po pridobitvi hitrega vpogleda in preglednosti o tem, ali se je ransomware ali drug napadalec infiltriral v organizacijo. Vendar se je pri izbiri rešitve XDR/EDR pomembno osredotočiti na dva vidika: 

  1. Bomo dobili še en generator številnih alarmov, ki jim ne bomo mogli posvetiti ustrezne pozornosti?
  2. Bomo sposobni integrirati informacije z ravni e-poštnega prometa in omrežnega prometa nasploh?

Najprej, kaj po namestitvi (t.i. day two operations)? Ali nas bodo preobremenili varnostni dogodki in opozorila, brez jasne možnosti določanja prioritet? 

Če varnostna rešitev prikaže veliko dnevniških opozoril, brez jasnega fokusa, kar je kritično, lahko prepreči ustrezen odziv, ko je grožnja resnična, torej ko je napadalec v omrežju. Zato je pomembno, da rešitev “stisne” niz navidezno nepovezanih dogodkov v incident, torej manj elementov, ki zahtevajo našo pozornost. 

Današnji incidenti zlonamerne programske opreme so sestavljeni iz desetin ali več dogodkov, od katerih je vsak zase “odkrivanje”. V spodnjem primeru XDR (Trend Micro Vision One) na površje vrže eno, a pomembno “opozorilo”. Gre za aplikacijo, dostavljeno po e-pošti, ki nato sproži dejanja, značilna za sodobne napade, podobne izsiljevalskim programom. 

Zlonamerna skripta poskuša ukrasti poverilnice, dvigniti raven privilegijev v sistemu, “poklicati domov” (phone home), da bi napadalec lahko dobil nadzor na daljavo (…), vse z namenom dokončne izločitve in šifriranja/uničenja podatkov na strežnikih organizacije.

Trend Micro Vision One: Primer tipičnega problema

Poleg tega se ponavljanje ali povezovanje več opozoril samodejno nadalje združi v incident. Na primer, če je isti nabor dejavnosti opažen v več računalnikih, opazimo nastanek incidenta, ki zagotavlja veliko konteksta, od prizadetih računalnikov, kako je bil zlonamerni skript zagnan v vsakem itd.:

Trend Micro Vision One incident: Samodejno združevanje poveča učinkovitost zaščite

Glede na to, da je opozorilo nekaj, kar zahteva našo pozornost, moramo s klikom nanj vse zaznave povezati v celoto, ki daje operativno zavedanje, kot v spodnjem primeru, kjer je prikazana tipična deployment ransomware (kliknite za povečavo):

En dogodek ni ducat posameznih detekcij, ampak povezana celota

Nazadnje, rešitve XDR običajno temeljijo na končnih točkah: natančneje, prenosni računalniki in strežniki so v središču inšpekcije. Vprašanje pa je, ali rešitev omogoča preprosto integracijo z drugimi obstoječimi orodji, zlasti z e-poštnim prometom? 

Komunikacija po elektronski pošti je namreč največji vektor širjenja zlonamerne programske opreme, bodisi z lažnim predstavljanjem bodisi s pošiljanjem zlonamernih povezav/priponk. Zato je integracija z informacijami iz omrežne in e-poštne plasti zelo pomembna. Na srečo lahko današnje rešitve preprosto izmenjujejo podatke prek API-jev. To še posebej velja za Exchange Online (znotraj MS365), zato mora vsaka sodobna rešitev podpirati zunanje integracije z drugimi varnostnimi rešitvami, pa tudi infrastrukturnimi elementi. 

V spodnjem primeru (kliknite za povečavo) je vidno opozorilo, ki nakazuje, da je bila zlonamerna programska oprema prvotno dostavljena po e-pošti določenemu uporabniku. Kar običajno zahteva strokovno “kopanje” po nizu orodij, mora biti na voljo s klikom na gumb, da se hitro seznanimo s tem, kaj se dogaja in kdo je vpleten v organizacijo. V dobi vse bolj množičnih napadov ni druge rešitve.

Potek od dostave e-pošte do izvedbe

Prijavi napako v članku
Vas zanima več iz te teme?
kibernetska varnost

Članek je pripravljen v sodelovanju s partnerjem Exclusive Networks Slovenia d.o.o.
Za več informacij so vam na voljo pri Exclusive Networks Slovenia d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem Exclusive Networks Slovenia d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

TISKARNA SILVECO

PE Stegne, Stegne 3, 1000 Ljubljana, Tel: 031 707 667
Ali iščete način za preboj komunikacijske ovire med vami in vašimi potencialnimi strankami ali partnerji? V današnji digitalni dobi je trg enostavno prenasičen s spletnimi oglasi ... Več

ARTIO PRINT & DESIGN

Cerkvenjak 13, 2236 Cerkvenjak, Tel: 031 538 000
Storitve tiska po meri sodobnega naročnika Pomislite na naslednje: iščete ponudnika za tisk letakov, brošur ali vizitk, storitev, ki jo v visoko konkurenčnem okolju potrebujemo ... Več

COMCOM d.o.o.

Lapajnetova ulica 29, 5280 Idrija, Tel: 05 372 20 20
Ukvarjajo se s: SAP svetovanjemPodatkovno analitiko in inženiringom Več
Diamantni partner

Miklavčič marketing, d.o.o.

Zgornji Brnik 130H, 4210 Brnik aerodrom, Tel: 041 414 847