SAMSUNG_062022 Advertisement SAMSUNG_062022 Advertisement SAMSUNG_062022 Advertisement

ESET PROTECT / Útoky na firmy pribúdajú, odpoveďou je sofistikovaný nástroj rozšírenej detekcie a reakcie XDR

Bezpečnosť
0

Jedným z hlavných cieľov hodnotení ­ATT&CK Evaluations spoločnosti MITRE ­Engenuity je pomôcť firmám a organizáciám získať prehľad o úrovni zabezpečenia, ktorú poskytujú riešenia na detekciu útokov na koncové zariadenia a následnú reakciu (EDR – Endpoint Detection and Response), aby firmy dokázali v reálnom čase odhaliť sofistikované hrozby číhajúce v sieti a adekvátne na ne reagovať. Na základe prehľadu si aj firmy bez špecializovaných tímov dokážu vybrať riešenie adekvátne ich požiadavkám.

Ďalšie metriky posudzované v hodnoteniach ATT&CK Evaluations sa zameriavajú na kontext, ktorý sprevádza detekciu konkrétnych škodlivých techník. Ich význam sa v každej organizácii líši v závislosti od úrovne jej vyspelosti, od bezpečnostných politík a predpisov, ktoré musí dodržiavať, a množstva ďalších potrieb špecifických pre jednotlivé odvetvia, spoločnosti a lokality. Do úvahy sa berú aj požiadavky na výkon a zdroje, množstvo upozornení, jednoduchosť používania či integrácia s iným bezpečnostným softvérom. Riešenia EDR na vyhľadávanie hrozieb sa často používajú súčasne s riešením SIEM (správa bezpečnostných informácií a udalostí). Stratégia spočíva v tom, že to, čo chýba jednému nástroju, môže nahradiť druhý.

Niekto by si mohol myslieť, že keby sa podarilo zlúčiť EDR s platformou bezpečnostnej analýzy, bezpečnostní pracovníci by mali v rukách dokonalý nástroj. Analytici spoločnosti Forrester však vidia situáciu inak. EDR sa musí vyvinúť do rozšírenej detekcie a reakcie (XDR) tým, že na zaistenie analýzy a reakcie sa naučí prijímať údaje z dátových informačných kanálov mimo koncových zariadení. Na druhej strane, aby si platformy bezpečnostnej analýzy udržali konkurencieschopnosť, musia byť vybavené funkciami EDR, ako sú kvalitnejšie upozornenia a možnosti reakcie na hrozby, a efektívnejšie využívať zdroje.

Rovnaký postoj ako Forrester má aj ESET, ktorý vníma XDR ako novú generáciu EDR, ktorá presahuje rámec koncových zariadení a zhromažďuje údaje aj zo sieťových zariadení, e-mailových serverov, cloudových služieb a ďalších zdrojov, čím umožňuje bezpečnostným pracovníkom odhaliť viac hrozieb a reagovať na ne. Na dosiahnutie cieľov môže XDR využívať dve stratégie integrácie: hybridnú a natívnu. Hybridná stratégia sa zameriava na integráciu s nástrojmi tretích strán. Natívna stratégia sa orientuje na integráciu s nástrojmi od toho istého dodávateľa. V súčasnosti však žiadny dodávateľ neponúka kompletné riešenie XDR. ESET plánuje vytvoriť platformu ESET PROTECT ako kompletné riešenie XDR zlepšovaním nástroja ESET Inspect (predtým Enterprise Inspector) a pridávaním integrácií s ekosystémom svojich bezpečnostných nástrojov, ako aj s nástrojmi tretích strán. Platforma je vhodná pre veľké podniky aj menšie bezpečnostné tímy.

ESET Inspect je nová verzia s lepším prehľadom a možnosťami nápravy. Ponúka funkcie známe z predchádzajúcich verzií, ako je odkazovanie na databázu znalostí MITRE ATT&CK, rozhranie REST API na integráciu s funkciami orchestrácie zabezpečenia, automatizácie a reakcie (SOAR), riešeniami SIEM, systémami žiadostí o podporu a inými podobnými nástrojmi či možnosť spustenia vzdialenej relácie PowerShell na počítačoch so systémom Windows na presnú reakciu a nápravu.

V aktuálnej verzii 1.7 je okrem Windows a Mac OS podporovaných aj niekoľko hlavných distribúcií Linuxu. ESET Inspect funguje na počítačoch s Linuxom v súčinnosti s riešeniami ESET Endpoint Antivirus for Linux a ESET Server Security for Linux. ESET Inspect zahŕňa aj rozšírený súbor pravidiel, ktorých je v súčasnosti takmer tisíc. Pravidlá sa používajú na analýzu udalostí, ktoré sa odohrávajú na koncových zariadeniach, údajov firewallu a siete, akcií v po­užívateľských účtoch a ďalších údajov z hľadiska potenciálne škodlivého správania, ktoré majú bezpečnostní inžinieri preskúmať. Výskumníci rozšírili výber pravidiel o automatické reakcie, napríklad možnosť izolovať počítač alebo zablokovať spustiteľný súbor.

Priebežné dopĺňanie súboru pravidiel ESET Inspect a jeho integrácia s ostatnými bezpečnostnými produktmi je dobrý príklad vytvárania natívneho riešenia XDR. Jadro tejto integrácie spočíva v konzole na správu ESET PROTECT pre IT správcov, ktorá slúži na nasadenie a konfiguráciu bezpečnostných produktov ESET. Platforma ESET PROTECT spája v jednej konzole riešenia na ochranu koncových zariadení a serverov, šifrovanie, cloudové riešenia a riešenia na detekciu a následnú reakciu, aby firmám poskytla škálovateľnú schopnosť prevencie, detekcie a reakcie.

Riešenie XDR spoločnosti ESET je postavené na platforme ESET PROTECT Enterprise, ktorá okrem nástroja ESET Inspect zahŕňa aj ochranu koncových zariadení a serverov, cloudovú detekciu hrozieb a šifrovanie, čím poskytuje komplexné zabezpečenie.

XDR potrebuje prijímať viac údajov, čo však znamená potrebu väčšej kapacity úložiska databázy. Investovanie do hardvéru na podporu lokálnych databázových riešení je, samozrejme, možné, no takémuto prístupu chýba flexibilita. Naproti tomu pri cloudovom nasadení je škálovanie na uspokojenie požiadaviek na ukladanie údajov oveľa flexibilnejšie, pretože netreba kupovať nový hardvér. Náklady spočívajú v prenájme väčšieho úložného priestoru a prípadne výkonnejších počítačov – takáto zmena sa dá vykonať rýchlo. Flexibilita a škálovateľnosť, ktoré ponúka cloud, sú presne tie vlastnosti, ktoré sa vyžadujú od riešenia XDR, ako zdôrazňuje Forrester.

Predtým bolo možné riešenia ESET PROTECT a ESET Inspect nasadiť len lokálne, čo si mohlo vyžadovať značné investície do hardvéru, náklady na údržbu servera a zamestnancov na mieste. V súčasnosti sú preto obidve riešenia dostupné aj v cloude, čím reagujú na požiadavku cloudovej podpory v rámci XDR.

Niekedy, najmä v prípade menších organizácií alebo firiem, ktorých hlavným zameraním nie je bezpečnosť, môže byť príliš náročné naplno využívať riešenie XDR vo vlastnej réžii. Na správu riešenia ESET PROTECT Enterprise sú potrební buď bezpečnostní pracovníci na plný úväzok, alebo poskytovateľ riadenej detekcie a reakcie (MDR), ktorí prevezmú čiastočnú, ak aj nie celú zodpovednosť za každodennú prácu v súvislosti so zabezpečením.

Zlepšená služba MDR spoločnosti ESET pomáha bezpečnostným tímom nastaviť riešenia s najlepšou možnou konfiguráciou a optimalizáciou pre ich siete. Služba zahŕňa aj pravidelné kontroly stavu s cieľom riešiť akékoľvek zlé bezpečnostné postupy alebo chybné konfigurácie, ktoré sa mohli časom objaviť. Organizácie môžu požiadať o pomoc bezpečnostných inžinierov ESETu pri vyhľadávaní hrozieb na požiadanie alebo proaktívnom vyhľadávaní hrozieb.

Hodnotenie ATT&CK Evaluations aj snaha o XDR pomôžu získať prehľad o celej škále bezpečnostných postupov – od základných konfigurácií a politík až po pokročilé dolaďovanie a optimalizáciu, ktoré by mali byť zavedené na ochranu aj pred najbežnejšími hrozbami. Dopyt po XDR v rámci cloudu navyše otvára dvere lepšiemu zabezpečeniu aj pre organizácie bez osobitných bezpečnostných tímov. Takéto organizácie môžu pri zapojení sa do tejto diskusie zistiť, že ich bezpečnostné postupy nespĺňajú štandardy v odvetví. Prinajmenšom týmto spôsobom – rozhodnutím dohnať zameškané v oblasti zabezpečenia – môžu hodnotenia ATT&CK Evaluations a diskusia o XDR poskytnúť použiteľné poznatky aj menej vyspelým organizáciám.

 

Zobrazit Galériu

ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať