Varnost
12.10.2022 11:06
Posodobljeno 2 leta nazaj.

Deli z drugimi:

Share

XDR zaščita: Kaj je pomembno?

EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije. Klasična zaščita pred ransomware-om je že dolgo del operacijskih sistemov, kot je Microsoft Windows. Vendar se mnogi skrbniki in vodje IT zavedajo, da izolirani dnevniki ali zaznave zlonamerne programske opreme ne zagotavljajo pravega vpogleda v taktike in tehnike, ki jih napadalci uporabljajo, ko dobijo dostop do omrežja (zlasti Active Directory).
EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije.
EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije.

Zaščita XDR je odgovor na potrebo po pridobitvi hitrega vpogleda in preglednosti o tem, ali se je ransomware ali drug napadalec infiltriral v organizacijo. Vendar se je pri izbiri rešitve XDR/EDR pomembno osredotočiti na dva vidika: 

  1. Bomo dobili še en generator številnih alarmov, ki jim ne bomo mogli posvetiti ustrezne pozornosti?
  2. Bomo sposobni integrirati informacije z ravni e-poštnega prometa in omrežnega prometa nasploh?

Najprej, kaj po namestitvi (t.i. day two operations)? Ali nas bodo preobremenili varnostni dogodki in opozorila, brez jasne možnosti določanja prioritet? 

Če varnostna rešitev prikaže veliko dnevniških opozoril, brez jasnega fokusa, kar je kritično, lahko prepreči ustrezen odziv, ko je grožnja resnična, torej ko je napadalec v omrežju. Zato je pomembno, da rešitev “stisne” niz navidezno nepovezanih dogodkov v incident, torej manj elementov, ki zahtevajo našo pozornost. 

Današnji incidenti zlonamerne programske opreme so sestavljeni iz desetin ali več dogodkov, od katerih je vsak zase “odkrivanje”. V spodnjem primeru XDR (Trend Micro Vision One) na površje vrže eno, a pomembno “opozorilo”. Gre za aplikacijo, dostavljeno po e-pošti, ki nato sproži dejanja, značilna za sodobne napade, podobne izsiljevalskim programom. 

Zlonamerna skripta poskuša ukrasti poverilnice, dvigniti raven privilegijev v sistemu, “poklicati domov” (phone home), da bi napadalec lahko dobil nadzor na daljavo (…), vse z namenom dokončne izločitve in šifriranja/uničenja podatkov na strežnikih organizacije.

Trend Micro Vision One: Primer tipičnega problema

Poleg tega se ponavljanje ali povezovanje več opozoril samodejno nadalje združi v incident. Na primer, če je isti nabor dejavnosti opažen v več računalnikih, opazimo nastanek incidenta, ki zagotavlja veliko konteksta, od prizadetih računalnikov, kako je bil zlonamerni skript zagnan v vsakem itd.:

Trend Micro Vision One incident: Samodejno združevanje poveča učinkovitost zaščite

Glede na to, da je opozorilo nekaj, kar zahteva našo pozornost, moramo s klikom nanj vse zaznave povezati v celoto, ki daje operativno zavedanje, kot v spodnjem primeru, kjer je prikazana tipična deployment ransomware (kliknite za povečavo):

En dogodek ni ducat posameznih detekcij, ampak povezana celota

Nazadnje, rešitve XDR običajno temeljijo na končnih točkah: natančneje, prenosni računalniki in strežniki so v središču inšpekcije. Vprašanje pa je, ali rešitev omogoča preprosto integracijo z drugimi obstoječimi orodji, zlasti z e-poštnim prometom? 

Komunikacija po elektronski pošti je namreč največji vektor širjenja zlonamerne programske opreme, bodisi z lažnim predstavljanjem bodisi s pošiljanjem zlonamernih povezav/priponk. Zato je integracija z informacijami iz omrežne in e-poštne plasti zelo pomembna. Na srečo lahko današnje rešitve preprosto izmenjujejo podatke prek API-jev. To še posebej velja za Exchange Online (znotraj MS365), zato mora vsaka sodobna rešitev podpirati zunanje integracije z drugimi varnostnimi rešitvami, pa tudi infrastrukturnimi elementi. 

V spodnjem primeru (kliknite za povečavo) je vidno opozorilo, ki nakazuje, da je bila zlonamerna programska oprema prvotno dostavljena po e-pošti določenemu uporabniku. Kar običajno zahteva strokovno “kopanje” po nizu orodij, mora biti na voljo s klikom na gumb, da se hitro seznanimo s tem, kaj se dogaja in kdo je vpleten v organizacijo. V dobi vse bolj množičnih napadov ni druge rešitve.

Potek od dostave e-pošte do izvedbe

Prijavi napako v članku
Vas zanima več iz te teme?
kibernetska varnost

Članek je pripravljen v sodelovanju s partnerjem Exclusive Networks Slovenia d.o.o.
Za več informacij so vam na voljo pri Exclusive Networks Slovenia d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem Exclusive Networks Slovenia d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

REMIS d.o.o.

Letališka cesta 32, 1000 Ljubljana, Tel: 01 521 13 18

J-LAB d.o.o.

Šaleška cesta 20a, 3320 Velenje, Tel: 040 757 323
Vizija podjetja J-Lab je zadovoljiti stranke v skladu s sloganom - hitro, učinkovito in cenovno ugodno, ob tem pa so potrpežljivi in zanesljivi, na voljo ves dan, vse dni v tednu. Klik ... Več

OMREŽJE d.o.o.

Borovec 2, 1236 Trzin, Tel: 01 810 02 10
Združite vse na eni položnici in prihranite denar Ali še vedno plačujete storitve interneta, televizije ter fiksne in mobilne telefonije ločeno? Zagotovo ste že kdaj pomislili, ... Več
Zlati partner

Endava PLC

Vilharjeva cesta 46, 1000 Ljubljana,
Endava spreminja odnos med ljudmi in tehnologijo. Pri izkoriščanju prednosti novih poslovnih modelov in priložnosti na trgu pomagamo nekaterim vodilnim svetovnim podjetjem iz ... Več