Forstå oppdagelse og respons ved endepunktet

EDR – mening og definisjon

EDR (Oppdagelse og respons ved endepunktet) refererer til en kategori med verktøy som kontinuerlig overvåker trusselrelatert informasjon på arbeidsstasjoner med datamaskiner og andre endepunkter. Målet med EDR er å identifisere sikkerhetsbrudd mens de skjer, og å utvikle en rask respons på potensielle trusler. Oppdagelse og respons ved endepunktet – noen ganger kjent som oppdagelse av og respons på endepunkttrusler (EDTR) – beskriver reaksjonsevnen til et sett med verktøy, med detaljer som kan variere avhengig av implementeringen.

Termen var first coined by Gartner i 2013 for å fremheve det som da ble ansett som en ny kategori innen programvare for datasikkerhet.

Hvordan fungerer EDR?

EDR fokuserer på endepunkter. Dette kan være hvilket som helst datasystem i et nettverk, for eksempel arbeidsstasjonene til sluttbrukere eller servere. EDR-sikkerhetsløsninger gir synliggjøring i sanntid og proaktiv oppdagelse og respons. Dette oppnås gjennom en rekke metoder, inkludert:

Innsamling av data fra endepunkter:

Data genereres på endepunktnivå, inkludert kommunikasjon, kjøring av prosesser og brukerpålogginger. Disse dataene anonymiseres.

Sending av data til EDR-plattformen:

De anonymiserte dataene sendes deretter fra alle endepunkter til ett sentralt sted, som vanligvis er en nettskybasert EDR-plattform. Det kan også fungere på stedet eller som en hybrid-nettsky, avhengig av de spesifikke behovene til en bestemt organisasjon.

Analysere dataene:

Løsningen bruker maskinlæring til å analysere data og kjøre atferdsanalyser. Innsikt brukes til å etablere en grunnlinje for normal aktivitet, slik at det er mulig å identifisere avvik som representerer mistenkelig aktivitet. Noen EDR-løsninger omfatter trusselintelligens som gir kontekst ved å bruke faktiske eksempler på dataangrep. Teknologien sammenligner nettverks- og endepunktaktivitet med disse eksemplene for å oppdage angrep.

Flagging og respons på mistenkelig aktivitet:

Løsningen flagger mistenkelig aktivitet og sender varsler til sikkerhetsteam og relevante interessenter. Den starter også automatiske svar i henhold til forhåndsdefinerte utløsere. Et eksempel på dette kan inkludere midlertidig isolering av et endepunkt for å hindre at skadelig programvare sprer seg på nettverket. 

Beholde data for fremtidig bruk:

EDR-løsninger bevarer data for å bruke dem til fremtidige undersøkelser og proaktiv jakt etter trusler. Analytikere og verktøy bruker disse dataene til å undersøke eksisterende langvarige angrep eller tidligere uoppdagede angrep.

Bruken av EDR øker – delvis på grunn av økningen i antall endepunkter som er knyttet til nettverk, og delvis på grunn av mer raffinerte dataangrep som ofte angriper endepunkter fordi de er enklere mål når man skal infiltrere et nettverk.

Hva bør du se etter i en EDR-løsning

EDR-funksjonene varierer fra leverandør til leverandør. Før du velger en EDR-løsning for organisasjonen, er det derfor viktig å undersøke egenskapene til aktuelle systemer og hvor godt de kan integreres med de eksisterende generelle sikkerhetsfunksjonene. En ideell EDR-løsning gir best mulig beskyttelse, samtidig som den krever minst mulig innsats og investering – noe som er verdifullt for sikkerhetsteamet deres, uten at det tapper dere for ressurser. Her er noen viktige egenskaper du bør se etter:

Synligheten til endepunkter:

Når alle endepunktene er synlige, kan du se potensielle trusler i sanntid og stoppe dem umiddelbart.

Trusseldatabase:

Effektiv EDR krever at store mengder data samles inn fra endepunkter og berikes med kontekst, slik at analysen kan identifisere tegn på angrep.

Atferdsrelatert beskyttelse:

EDR omfatter atferdsrelaterte tilnærminger som ser etter indikatorer for angrep (IOK) og varsler relevante interessenter om mistenkelige aktiviteter før bruddene skjer.

Innsikt og intelligens:

EDR-løsninger som integrerer trusselintelligens kan gi kontekst, for eksempel informasjon om den mistenkte angriperen eller andre detaljer om angrepet.

Rask respons:

Hvis EDR legger til rette for rask respons på hendelser, kan det forhindre et angrep før det blir til et brudd for å sikre at organisasjonen kan fortsette å fungere som normalt.

Skybasert løsning:

En skybasert løsning for oppdagelse av og respons på endepunkttrusler sikrer at endepunktene ikke påvirkes og gjør at søk-, analyse- og undersøkelsesfunksjoner kan fortsette nøyaktig og i sanntid.

De nøyaktige detaljene og egenskapene til et EDR-system kan variere avhengig av implementeringen. En EDR-implementering kan omfatte:

• et bestemt spesialutviklet verktøy
• en liten del av et mer omfattende verktøy for overvåking av sikkerhet
• en samling av verktøy som brukes i kombinasjon med hverandre

Angripere utvikler stadig metodene sine, så det er ikke alltid mer tradisjonelle beskyttelsessystemer vil fungere. Eksperter innen datasikkerhet ser på EDR som en form for avansert trusselbeskyttelse.

Derfor er EDR helt avgjørende for bedrifter

De fleste organisasjoner er sårbare for en rekke dataangrep. Dette strekker seg fra enkle, opportunistisk angrep som at en angriper sender et e-postvedlegg med kjent løsepengevirus, til mer avanserte angrep der angripere utnytter kjente smutthull eller angrepsmetoder og prøver å skjule dem ved å for eksempel kjøre skadelig programvare i minnet.

Endepunktsikkerhet er derfor en helt avgjørende del av en organisasjons strategi for datasikkerhet. Nettverksbasert forsvar er effektivt for å blokkere en stor andel dataangrep. Likevel vil noen slippe gjennom, mens andre – som skadelig programvare på flyttbare medier – kan omgå disse forsvarsmekanismene helt. En endepunktbasert forsvarsløsning gjør at organisasjonen kan implementere høyere sikkerhet og dermed øker sjansen for å identifisere og reagere på disse truslene.

Viktigheten av robust endepunktbeskyttelse har økt etter hvert som organisasjoner over hele verden i stadig større grad går over til fjernarbeid. Ansatte som jobber hjemmefra er kanskje ikke like godt beskyttet mot datatrusler som de som jobber i bedriftens lokaler. Dessuten kan det hende de bruker personlige enheter som ikke har de siste sikkerhetsoppdateringene. Ansatte som jobber eksternt kan ofte være mindre oppmerksomme på datasikkerhet enn om de var i et vanlig kontormiljø.

Det fører til at organisasjoner og medarbeiderne deres er utsatt for ekstra datasikkerhetsrisiko. Sterk endepunktsikkerhet er helt avgjørende, fordi det beskytter ansatte mot trusler og kan hindre at kriminelle bruker datamaskinen til en fjernarbeider til å angripe organisasjonens nettverk.

Det kan være både vanskelig og kostbart å rette opp etter et brudd, noe som kanskje er den aller største grunnen til at EDR er nødvendig. Organisasjoner som ikke har en EDR-løsning kan bruke uker på å prøve å bestemme seg for hva de skal gjøre – og ofte er den eneste løsningen å rulle tilbake maskiner, noe som kan være svært uheldig siden det reduserer produktiviteten og medfører økonomiske tap.

EDR kontra antivirus

EDR er ikke antivirusprogrammer, selv om det kan omfatte antivirus eller bruke data fra et antivirusprodukt. Antivirusprogrammer beskytter mot kjente datatrusler, mens et EDR-program identifiserer nye sikkerhetshull mens de oppstår og kan oppdage mistenkelig aktivitet fra en angriper under en aktiv hendelse. Når det er sagt, er EDR-programvare en del av den siste generasjonen med datasikkerhetsprodukter.

Beste praksis for EDR

Det finnes noen beste fremgangsmåter å vurdere når dere implementerer EDR i organisasjonen deres:

Ikke overse brukere

Brukere er ofte den største risikoen for ethvert system, fordi de kan forårsake skade gjennom uredelige hensikter, eller ved rett og slett å gjøre menneskelige feil. Gi brukerne opplæring om datatrusler og risikabel atferd, for å gjøre dem mer sikkerhetsbevisste og redusere skadene forårsaket av taktikker som nettfisking eller sosial manipulasjon. Regelmessig opplæring eller scenarier med etterligning av trusler vil øke bevisstheten rundt problemer med datasikkerhet og fremskynde responstiden når en hendelse inntreffer.

Noen brukere kan finne omgåelser hvis en EDR-løsning er forstyrrende for brukeropplevelsen. Dette kan for eksempel omfatte å deaktivere forsvarsfunksjoner for å forbedre opplevelsen. Angripere kan imidlertid lett finne måter å manipulere en løsning på hvis den er for fleksibel for brukerforespørsler. Det kan hjelpe å være mest mulig åpen med en sluttbruker, for å sørge for at brukeren forstår hvorfor disse løsningene er der. Når det kreves samhandling med brukeren, bør kommunikasjonen være tydelig og direkte. Systemet bør ikke vise unødvendig systeminformasjon som personlige data eller IP-arkitektur.

Integrer med andre verktøy

EDR-løsninger er utformet for å beskytte endepunkter, men de vil ikke gi full sikkerhetsdekning for alle digitale ressurser i organisasjonen deres. EDR bør fungere som ett aspekt ved den generelle informasjonssikkerhetsstrategien deres, sammen med andre verktøy som antivirus, behandling av oppdateringer, brannmurer, kryptering og DNS-beskyttelse.

Bruk nettverkssegmentering

Noen EDR-løsninger isolerer endepunkter når de reagerer på trusler, men de kan ikke erstatte nettverkssegmentering. Eksempel:

• Et segmentert nettverk gjør at dere kan begrense endepunkter til bestemte tjenester og datalagre. Det kan gi en betydelig reduksjon av risikoen for datatap og skadeomfanget et vellykket angrep kan påføre.
• ESP-er (Ethernet Switch Paths) kan gi ekstra nettverksbeskyttelse. Med ESP-er kan dere skjule strukturen til nettverket, slik at angripere ikke enkelt kan forflytte seg mellom segmenter i nettverket.

Iverksett forebyggende tiltak

Dere bør aldri stole utelukkende på aktive reaksjoner på trusler, men heller kombinere aktiv respons med forebyggende tiltak. Sørg for at systemene holdes oppdaterte og oppgraderte, med omfattende protokoller og avhengighetslister, for å redusere antall trusler dere må forsvare dere mot.

Gjennomgå systemene deres regelmessig for å sjekke at verktøy og protokoller fortsatt er riktig konfigurert og brukt. Test systemer og verktøyfunksjoner ved å gjennomføre trusselmodellering og penetreringstesting fortløpende.

Ideelt sett bør organisasjonen din ha en omfattende plan for respons på hendelser, som spesifiserer hvem som reagerer og hvordan man reagerer på eventuelle angrep. En plan vil hjelpe dere med å forbedre reaksjonstiden når det oppstår hendelser, samtidig som det gir dere en struktur for analysering av data som samles inn etter hendelsen.

Bruk tilgjengelige ressurser

Hvis dere bruker tredjeparts verktøy, bør dere benytte dere av alle opplæringsressursene som tilbys av EDR-leverandøren. Mange leverandører tilbyr opplæring og nettseminarer for å holde kundene oppdatert om de nyeste funksjonene og beste fremgangsmåtene. Noen bedrifter tilbyr korte kurs om en rekke sikkerhetsrelaterte emner, enten til en rimelig penge eller helt kostnadsfritt.

Du kan finne nyttige verktøy og ressurser fra fellesskapsbaserte ressurser og informasjonsdelings- og analyseorganisasjoner. Velkjente fellesskapsorganisasjoner med nettsteder som inneholder nyttige data og innsikt om datasikkerhet, omfatter blant annet National Vulnerability Database (NVD) og Open Web Application Security Project (OWASP).

EDR kontra XDR

Tradisjonelle EDR-verktøy fokuserer kun på endepunktdata for å gi innsyn i mistenkte trusler. Utfordringene sikkerhetsteamene står overfor fortsetter å utvikle seg – for eksempel overbelastning av hendelser, verktøy med smalt fokus, mangel på integrering, mangel på ferdigheter og for liten tid – men det gjør også EDR-løsningene.

XDR betyr utvidet oppdagelse og respons, og er den siste tilnærmingen til oppdagelse av og respons på endepunkttrusler. «X» står for «Extended» (utvidet), og representerer alt av datakilder – for eksempel nettverks-, nettsky-, tredjeparts og endepunktdata – for å kjenne igjen begrensningene ved å undersøke trusler i isolerte systemer. XDR-systemer bruker en kombinasjon av analyse, heuristikk og automasjon for å generere innsikt fra disse kildene og dermed øke sikkerheten sammenlignet med isolerte sikkerhetsverktøy. Dette fører til forenklede undersøkelser i sikkerhetsoperasjoner, noe som reduserer tiden det tar å oppdage, undersøke og reagere på trusler.

Relaterte produkter:

• Kaspersky Endpoint Detection and Response Expert
• Kaspersky Endpoint Detection and Response Optimum
• Kaspersky Endpoint Security for Business

Videre lesning:

• Hva er endepunktsikkerhet?
• Grunnen til at Zero Trust-konseptet omformer datasikkerheten totalt
• Hva er datatyveri og hvordan forhindrer du det?
• Slik beskytter man personvern på nett når bedriftsbruk og personlig bruk møtes