Varnost
12.10.2022 11:06
Posodobljeno 2 leta nazaj.

Deli z drugimi:

Share

XDR zaščita: Kaj je pomembno?

EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije. Klasična zaščita pred ransomware-om je že dolgo del operacijskih sistemov, kot je Microsoft Windows. Vendar se mnogi skrbniki in vodje IT zavedajo, da izolirani dnevniki ali zaznave zlonamerne programske opreme ne zagotavljajo pravega vpogleda v taktike in tehnike, ki jih napadalci uporabljajo, ko dobijo dostop do omrežja (zlasti Active Directory).
EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije.
EDR/XDR zaščita postaja standardni in nepogrešljiv del zaščite vsake organizacije.

Zaščita XDR je odgovor na potrebo po pridobitvi hitrega vpogleda in preglednosti o tem, ali se je ransomware ali drug napadalec infiltriral v organizacijo. Vendar se je pri izbiri rešitve XDR/EDR pomembno osredotočiti na dva vidika: 

  1. Bomo dobili še en generator številnih alarmov, ki jim ne bomo mogli posvetiti ustrezne pozornosti?
  2. Bomo sposobni integrirati informacije z ravni e-poštnega prometa in omrežnega prometa nasploh?

Najprej, kaj po namestitvi (t.i. day two operations)? Ali nas bodo preobremenili varnostni dogodki in opozorila, brez jasne možnosti določanja prioritet? 

Če varnostna rešitev prikaže veliko dnevniških opozoril, brez jasnega fokusa, kar je kritično, lahko prepreči ustrezen odziv, ko je grožnja resnična, torej ko je napadalec v omrežju. Zato je pomembno, da rešitev “stisne” niz navidezno nepovezanih dogodkov v incident, torej manj elementov, ki zahtevajo našo pozornost. 

Današnji incidenti zlonamerne programske opreme so sestavljeni iz desetin ali več dogodkov, od katerih je vsak zase “odkrivanje”. V spodnjem primeru XDR (Trend Micro Vision One) na površje vrže eno, a pomembno “opozorilo”. Gre za aplikacijo, dostavljeno po e-pošti, ki nato sproži dejanja, značilna za sodobne napade, podobne izsiljevalskim programom. 

Zlonamerna skripta poskuša ukrasti poverilnice, dvigniti raven privilegijev v sistemu, “poklicati domov” (phone home), da bi napadalec lahko dobil nadzor na daljavo (…), vse z namenom dokončne izločitve in šifriranja/uničenja podatkov na strežnikih organizacije.

Trend Micro Vision One: Primer tipičnega problema

Poleg tega se ponavljanje ali povezovanje več opozoril samodejno nadalje združi v incident. Na primer, če je isti nabor dejavnosti opažen v več računalnikih, opazimo nastanek incidenta, ki zagotavlja veliko konteksta, od prizadetih računalnikov, kako je bil zlonamerni skript zagnan v vsakem itd.:

Trend Micro Vision One incident: Samodejno združevanje poveča učinkovitost zaščite

Glede na to, da je opozorilo nekaj, kar zahteva našo pozornost, moramo s klikom nanj vse zaznave povezati v celoto, ki daje operativno zavedanje, kot v spodnjem primeru, kjer je prikazana tipična deployment ransomware (kliknite za povečavo):

En dogodek ni ducat posameznih detekcij, ampak povezana celota

Nazadnje, rešitve XDR običajno temeljijo na končnih točkah: natančneje, prenosni računalniki in strežniki so v središču inšpekcije. Vprašanje pa je, ali rešitev omogoča preprosto integracijo z drugimi obstoječimi orodji, zlasti z e-poštnim prometom? 

Komunikacija po elektronski pošti je namreč največji vektor širjenja zlonamerne programske opreme, bodisi z lažnim predstavljanjem bodisi s pošiljanjem zlonamernih povezav/priponk. Zato je integracija z informacijami iz omrežne in e-poštne plasti zelo pomembna. Na srečo lahko današnje rešitve preprosto izmenjujejo podatke prek API-jev. To še posebej velja za Exchange Online (znotraj MS365), zato mora vsaka sodobna rešitev podpirati zunanje integracije z drugimi varnostnimi rešitvami, pa tudi infrastrukturnimi elementi. 

V spodnjem primeru (kliknite za povečavo) je vidno opozorilo, ki nakazuje, da je bila zlonamerna programska oprema prvotno dostavljena po e-pošti določenemu uporabniku. Kar običajno zahteva strokovno “kopanje” po nizu orodij, mora biti na voljo s klikom na gumb, da se hitro seznanimo s tem, kaj se dogaja in kdo je vpleten v organizacijo. V dobi vse bolj množičnih napadov ni druge rešitve.

Potek od dostave e-pošte do izvedbe

Prijavi napako v članku
Vas zanima več iz te teme?
kibernetska varnost

Članek je pripravljen v sodelovanju s partnerjem Exclusive Networks Slovenia d.o.o.
Za več informacij so vam na voljo pri Exclusive Networks Slovenia d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem Exclusive Networks Slovenia d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

Brown Bear Team (BBT)

Gmajna 16, 1236 Trzin, Tel: 01 5622665
POSLOVNA linija – najboljši računalniki posameznega proizvajalca Računalniki iz POSLOVNE linije so tisti, na katere se lahko zanesemo, saj gre za izdelke najvišje kakovosti ... Več
Zlati partner

iRobot Slovenija

Masljeva ulica 3, 1230 Domžale, Tel: 01 530 04 60
Podjetje iRobot se kot vodilni svetovni proizvajalec robotov za domačo rabo že več kot 25 let posveča razvoju, oblikovanju in izdelavi robotov, ki ljudem pomagajo postoriti več. ... Več

ARCHUS.SI d.o.o.

Cankarjeva ulica 9c, 6000 Koper/capodistria, Tel: 070 890 096
O podjetju Archus.si  ARCHUS.SI d.o.o. je podjetje iz Kopra. Kot prvi v Sloveniji so leta 2008 oz. 2009 začeli ponujati nekaj aktualnih in zanimivih produktov nove tehnologije, kot ... Več
Diamantni partner

ZAVOD DIGITALNO INOVACIJSKO STIČIŠČE (DIH SLOVENIJE)

Dimičeva ulica 13, 1000 Ljubljana, Tel: 040 606 710
DIH Slovenije omogoča digitalno transformacijo po principu vse-na-enem-mestu, v Sloveniji in širše. Osvešča in zagotavlja storitve za rast digitalnih kompetenc, izmenjavo digitalnih ... Več