Muitas organizações consideram Detecção de Endpoint e Resposta (EDR) como sua principal proteção contra violações. EDR, como uma categoria, surgiu em 2012 e foi rapidamente reconhecida como a melhor resposta às numerosas ameaças que o legado AV sem sucesso lutado para superar – exploits, malware e fileless ataques de dia zero são exemplos proeminentes.
Embora não exista uma disputa sobre a eficiência do EDR contra uma porção significativa de ameaças avançadas de hoje, uma nova geração de soluções “de próxima geração EDR” estão agora disponíveis (saiba mais aqui), que em cima de com todas as capacidades EDR, ir além disso para proteger contra vetores de ataque de destaque que EDR não cobre tais como aqueles usuários que envolvem e redes.
“Muitas pessoas misturam sem saber duas coisas diferentes – proteção de endpoint e proteção violação”, explicou Eyal Gruner, co-fundador da Cynet (uma solução EDR de próxima geração).
“É perfeitamente verdade que muitos ataques começar no endpoint e envolvem arquivos e processos maliciosos, tornando EDR uma solução perfeita para o ponto final. No entanto, a superfície de ataque real é muito mais amplo do que isso, e no final do dia, não é o endpoints que deseja proteger. – é a sua organização”
Gruner, um ex-hacker white-hat (começando quando tinha 15 anos de idade), também fundou BugSec, a maior empresa de segurança cibernética de consultoria de Israel. Hoje, ele é um mundialmente reconhecidas especialista 0n atacante ferramentas, técnicas e práticas.
“Pense nisso como este:.., Por definição, a actividade de cada atacante gera algum tipo de anomalia Ela só faz sentido, porque o que nós consideramos ser ‘comportamento normal’ não inclui comprometer os recursos e roubar dados Estas anomalias são a âncora que permitir que os produtos de segurança – ou analistas de ameaças para que o assunto – para identificar de que algo ruim está acontecendo e bloqueá-lo “.
Gruner disse que estas anomalias poderia se manifestar em três lugares centrais – execução de processos, tráfego de rede, ou atividade do usuário. Por exemplo, ransomware gera uma anomalia execução do processo uma vez que existe um processo que tenta interagir com um grande número de arquivos.
Muitos tipos de movimento lateral, por outro lado, incluem uma anomalia de tráfego de rede na forma de tráfego excepcionalmente alto SMB. De maneira semelhante, quando um atacante faz logon para um servidor crítico com as credenciais da conta de usuário comprometida, a única anomalia está no comportamento do usuário. Em ambos os casos, é impossível desvendar o ataque por meio de processos de monitoramento sozinho.
“EDR é uma ótima ferramenta para os ataques que podem ser identificados através de anomalias processo”, disse Gruner. “Senta-se no comportamento do processo endpoint e monitores, então você está bastante coberto contra este grupo de ameaças. Mas o que sobre todo o resto? Há muitos vetores principais que operam sobre o comportamento tráfego de rede e usuário sem disparar o menor processo de anomalia e EDR é praticamente cego a essas ameaças “.
Next Gen EDR Detecção de atividade maliciosa Do outro lado Endpoint, rede e usuários
Para entender melhor o problema, vamos tomar o lugar do atacante. Ele tem comprometido com sucesso um ponto final e agora está calculando o seu caminho para a frente no meio ambiente, para acessar e, em seguida, exfiltrate dados sensíveis. Há várias etapas necessárias para realizar essa tarefa. Vamos usar um como um exemplo – o roubo de credenciais.
credenciais alto privilégio são essenciais para acessar recursos no ambiente. O atacante pode tentar despejá-los da memória do endpoint comprometida. Um EDR provavelmente iria pegar isso porque ele poderia causar um processo anomalia.
No entanto, os hashes de senha também pode ser colhido por interceptar o tráfego da rede interna (utilizando técnicas tais como envenenamento ARP ou responder DNS) que pode ser identificado apenas por meio de monitoramento para um tráfego de rede anomalia – e EDR perderia isso por completo.
“Da minha experiência, os atacantes que são bons em seu trabalho geralmente aprendem rapidamente o que as medidas de defesa estão no lugar e agir em conformidade”, disse Gruner. “Se há uma boa EDR no lugar, eles vão mudar suas técnicas para os campos rede e de usuários e operar livremente sob o radar do EDR.”
“Então, se você quiser um componente em sua pilha de segurança que irá protegê-lo apenas a partir de ataques baseados em processos como malwares, exploits, etc, EDR pode fornecer cobertura. Se o que você está procurando é a proteção contra violações, você precisa acho muito mais ampla – é por isso que nós criamos Cynet 360.”
Cynet 360 monitora continuamente os processos, o tráfego de rede e atividade do usuário, proporcionando uma cobertura completa dos vetores de ataque que são usados em ataques avançados de hoje.Isto significa essencialmente todas as capacidades de um EDR, ampliado e integrado com o comportamento do usuário Analytics e de rede Analytics, e complementada por uma camada de engano robusto que permite aos operadores arquivos planta chamariz de dados, senhas, compartilhamentos de rede, etc. e enganar atacantes para atrair sua presença.
Mas Cynet dá muito mais do que o valor apenas incremental. “Ameaças baseadas em processo Não é apenas mais ameaças, mais baseados no usuário ameaças baseadas na rede, disse Gruner.” Quanto mais avançado o atacante é, melhor ele é em esconder sua presença e atividade. Portanto, há muitos ataques que são invisíveis se você só olhar para os processos ou tráfego ou o comportamento do usuário “.
“É apenas juntando estes sinais para formar um contexto que você pode identificar que há algo malicioso acontecendo. Cynet 360 automatiza a criação deste contexto para revelar múltiplas ameaças que são de outra maneira invisível.”
Next Gen EDR oferece total visibilidade todas as ameaças
Gruner conclui, “Sem proteção é cem por cento, mas você deve ter guardas em todas as estradas principais. Pode atacantes ignorá-los? Eu acho que a resposta é sim, se eles são qualificados, determinado e recursos suficientes. Mas se você monitorar tudo os principais caminhos anomalia, seria obrigá-los a trabalhar muito duro – mais do que a maioria deles iria querer “, acrescentou Gruner.
“EDR é uma coisa incrível, e é por isso Cynet 360 inclui todas as suas capacidades -. Além de mais EDR por si só não é suficiente para a proteção de som violação, e é por isso que deu Cynet 360 todo o resto.”
Saiba mais sobre EDR de próxima geração aqui.