Mada EDR (Endpoint Detection and Response) i XDR (eXtended DR) rešenja čak i za hobiste u sajber bezbednosti već neko vreme nisu neka novost, još uvek nisu postala sveprisutna u firmama na način na koji je, na primer, već dugo prisutna klasična endpoint antivirusna zaštita radnih stanica i servera.
To nije posebno čudno, iz više razloga… Ako imate dovoljno godina, znaćete da se, dok ste još bili mladi, ni endpoint AV zaštita nije podrazumevala na svakom računaru (trebalo je vremena i par ozbiljnih incidenata da se prihvati).
Drugi i ozbiljniji razlog je taj što se EDR pozicionira kao alat za vrhunske analitičare i stručnjake za sajber bezbednost, a svi znamo da je ponuda takvih ljudi vrlo oskudna u skoro svim našim firmama. Zašto bismo ga, uostalom, kupili ako nemamo jednog takvog koji bi znao da ga upotrebi, sasvim je legitimno pitanje, bez dileme.
Međutim, ljubopitljiv čovek bi se s pravom zapitao da li smo svi stručnjaci za viruse, crve, trojance, dropere i slične digitalne napasti? Sigurno da nismo. Ali to nas i dalje ne sprečava da srećno i bezbrižno koristimo endpoint AV zaštitu na svakom našem računaru, zar ne? Štaviše, ne znamo do detalja ni kako radi mobilni telefon, Internet, računar i brojni drugi kompleksni uređaji koje svakodnevno koristimo… Pošto ransomware napadi ne pokazuju znake slabljenja, odnoseći i javno i tajno „velike skalpove“ i u našoj zemlji, mogli bismo da iz krajnje praktičnog ugla pogledamo šta dobar XDR alat može da uradi za našu bezbednost.
Raznovrsni napadi
Da krenemo od početka. Dobar i promišljen ransomware napad uvek ima brojne korake koji prethode onome što na kraju svi vide kao rezultat napada – kriptovane fajlove i traženje otkupa uz pretnju kompromitovanja firminih podataka.
ESET Inspect vam, na primer, može reći da je neko ušao u vaše IT dvorište, u kratkom periodu iza toga pod validnim nalogom vaše sekretarice pokrenuo par zanimljivih inače benignih alata koji skeniraju mrežu
U tim koracima, digitalni otmičari često koriste mešavinu tehnika, procedura i alata, od kojih jedan deo čini maliciozne programe (lak obrok za dobru endpoint AV zaštitu) dok drugi deo čine potpuno legitimni alati i postupci koje upotrebljava svaki administrator u svom poslu. Upotrebu tih alata ne detektuje nijedna endpoint AV zaštita (pajser je istovremeno i oružje i alat, zavisno od raspoloženja rukovaoca) i to i otmičari i eksperti za bezbednost odlično znaju.
Ako sretnemo u pola noći u mračnom hodniku našeg stana čoveka sa fantomkom i pajserom u ruci, jako su skromne šanse da je to komšija s trećeg sprata svratio na kafu i rakiju. E, to je oblast u kojoj naš XDR iskazuje svoj puni sjaj i značaj i gde dvoličnost pajsera mnogo lakše izlazi na videlo.
ESET Inspect vam, na primer, može reći da je neko ušao u vaše IT dvorište, u kratkom periodu iza toga pod validnim nalogom vaše sekretarice pokrenuo par zanimljivih inače benignih alata koji skeniraju mrežu, a zatim pokušao da pokrene nekoliko sumnjivih operacija koje po memoriji traže tragove lozinki ljudi sa sistemskim privilegijama u vašoj firmi. Dok vi mirno sedite za računarom u blaženom neznanju, stručnjaku za sajber bezbednost koji bi ovo gledao na ESET Inspect ekranu bi već srce uveliko tuklo kao ludo – neko s fantomkom je u našem hodniku i zamahuje IT štanglom za napad!!!
Inspektor za IT infrastrukturu
Kako je to ESET Inspect znao? Dobar inspektor (kako mu i samo ime kaže), zna odlično kako lopovi i otmičari najčešće ulaze u kuće i stanove. ESET-ovi stručnjaci su napravili više od hiljadu pravila za detekciju sumnjivih ponašanja na računarima i serverima, koja mogu ukazivati na to da postoje nezvani gosti u vašoj mreži. U svakoj fazi napada se koriste određene tehnike, koje same po sebi mogu biti legitimne aktivnosti, ali nekoliko njih u zbiru može i treba da privuče pažnju prilježnog administratora.
Ovaj izazov se ublažava u toku inicijalne postavke, gde Inspect „upoznajete“ s vašom mrežom i aplikacijama, praveći referentnu sliku vašeg okruženja kreiranjem izuzetaka u odnosu na postojeća pravila kako bi kasnije Inspect lakše mogao da uoči anomalije koje zahtevaju vašu pažnju, što je i poenta celog rešenja.
Od velike koristi u ovom procesu vam može biti i ESET LiveGrid, ESET-ov sistem baziran na reputaciji u kome dobrovoljno učestvuju milioni korisnika, koji vam može reći koliko je često neki izvršni fajl prisutan na računarima drugih korisnika na svetu.
Hm… A šta ako zapnem s tim pravilima ili, ne daj Bože, shvatim da je neko nezvan u hodniku firme? Ovo je solidan trenutak da se setite da možda znate nekoga ko zna, i proverite koliko vam zaista vredi ruka podrške partnera i proizvođača u pokušaju da vas izvuče iz hladne, mutne vode, pruži vam neki topli napitak i pokaže put u neke vedrije i sunčanije krajeve…
Autor: Bojan Miljković, CEO, Extreme d.o.o.
Preuzeto sa: ESET Inspect – primena EDR/XDR rešenja bez doktorske disertacije | PC Press
