Ви довіряєте своїй EDR?

Давайте почнемо з визнання того, що 10 років тому EDR приніс серйозну зміну парадигми у світі кібербезпеки. Це зміцнило організації та їхню здатність виявляти, реагувати та відновлюватися після атаки швидше, ніж класичні антивіруси та інші інструменти.

Зміна була побудована на припущенні, що станеться напад і маючи відповідні інструменти та інформацію, захисники зможуть ідентифікувати атаку та відновитися протягом днів/тижнів, а не місяців.

У 2013 році, коли було введено термін EDR, загальна кількість виявлених шкідливих програм становила близько 120 мільйонів. Сьогодні загальна сума оцінюється в понад 5 білліонів (так, це білліони) і зростає, залишаючи захисників у програшній битві проти загроз.

Але чому багато представників бізнесу не використовують EDR? Їх упередження базується на висловленнях:

• EDR блокує після виконання, [зазвичай] не призначений для використання перед виконанням
• Менталітет «припустити порушення» є помилковим
• EDR — це реактивний, а не проактивний підхід
• EDR покладаються на AI/ML, який схильний до помилок і упередженої інформації, а також може бути поглинений з поганими даними
• EDR дають високу кількість помилкових спрацьовувань
• Впровадження EDR складне
• EDR вимагає ресурсів, оскільки кожна дія записується

Але ми вже знаємо, що загрози перемагають, давайте зрозуміємо, чому.

По-перше, численні дослідники безпеки заявили про свою здатність знаходити слабкі місця в продуктах EDR і обходити їхній захист, забезпечуючи повний контроль над кінцевою точкою, а згодом і можливість безперервно атакувати її за допомогою шкідливих програм! Ось кілька прикладів ухилення від захисту EDR:

• Обхід Cortex XDR | mr.d0x
• Перетворення EDR на зловмисні очисники за допомогою нульових експлойтів
• Blindside: нова техніка для уникнення EDR з апаратними точками зупинки – Cymulate

Крім того, за допомогою різних досліджень ми можемо зрозуміти, що для того, щоб забезпечити повний захист, захисники повинні укомплектовувати EDR 24/7 і забезпечувати постійний моніторинг, сортування та реагування, щоб він працював ефективніше.

Кілька ключових моментів, які мають насторожити нас як спеціалістів із безпеки:

• Ще 11% MSP планують інвестувати в EDR протягом наступних 12 місяців, що означає, що з прийняттям EDR досягне майже двох третин доходу у 2024 році.
• Можливо, тоді це не дивно, лише 5% MSP сказали, що вони мають особу, призначену для керування EDR.
• 27% сказали, що немає покриття вночі чи у вихідні дні.
• Згідно зі звітом IDC,70% успішних порушень починаються з кінцевих пристроїв.
• 42% респондентів заявили, що бізнес змінив кадровий склад за рахунок додаткових спеціалістів з безпеки.

Висновок: EDR виявився необхідним інструментом у боротьбі із загрозливими суб’єктами, але йому не вистачає здатності самостійно запобігати атакам, що робить його недостатнім для організацій і навіть MSP і MSSP, щоб прийняти та використовувати його в повній мірі.

Чи означає це, що потрібно скасувати EDR?

Ні, безпека – це складне питання, і ніхто не повинен миттєво відмовлятися від своїх засобів захисту лише тому, що вони не є куленепробивними. EDR можуть знадобитися в регульованих середовищах і надавати певні можливості, які покращать вашу команду безпеки та видимість середовища в разі успішної атаки.

Які є альтернативи?

Deceptive Bytes змінює парадигму кібербезпеки за допомогою свого підходу, спрямованого на запобігання, використовуючи методи ухилення від самого зловмисного програмного забезпечення та скорочуючи час очікування для виявлення атаки та її пом’якшення до нуля, даючи захисникам час, необхідний для зосередження на інших аспектах безпеки організації.

Крім того, коли зловмисне програмне забезпечення намагається ідентифікувати та уникнути поточного рішення EDR на кінцевій точці, воно надасть Deceptive Bytes високоточне попередження про зловмисника всередині кінцевої точки, і його буде миттєво заблоковано.

Застосування багаторівневого підходу!

Різні рішення в організації можуть зупинити загрози в різних системах, навіть до того, як вони досягнуть кінцевої точки. Незалежно від того, чи це рішення для шлюзу, захист електронної пошти, середовище ізольованого програмного середовища, мережа тощо, і якщо загроза досягла кінцевої точки, класичні антивіруси мають ~20% шансів ідентифікувати її, EDR має кращі шанси, ніж класичні антивіруси, але не може гарантувати 100% ідентифікації. І коли все інше зазнає невдачі (а в якийсь момент це станеться), рівень запобігання зловмисному програмному забезпеченню Deceptive Bytes досягне понад 99,9% які зміцнюють безпеку організації, одночасно зменшуючи робоче навантаження, витрати та час на запобігання.

Висновок:

EDR, незважаючи на свої обмеження, відіграє важливу роль у боротьбі проти загроз, особливо в регульованих середовищах. Однак організації повинні визнати його недоліки та впровадити багаторівневу стратегію безпеки, яка включає додаткові рішення для створення надійної захисної позиції. Роблячи це, організації можуть підвищити свою безпеку, зменшити ризики та випереджати нові загрози в дедалі складнішому кібернетичному середовищі.

Про компанію Deceptive Bytes.

Deceptive Bytes — це ізраїльська компанія, що розробляє інноваційні рішення з кібербезпеки. Їх флагманський продукт, Active Endpoint Deception, використовує технологію маскування для захисту кінцевих точок (серверів і робочих станцій) від кібератак.

Ось деякі ключові моменти про Deceptive Bytes:

• Лідер у галузі маскування кінцевих точок: Deceptive Bytes визнана Gartner Cool Vendor у звіті Security Operations and Threat Intelligence.
• Превентивний захист: Рішення Deceptive Bytes не просто реагують на загрози, а й запобігають їм.
• Ефективність понад 99,9%: Технологія Deceptive Bytes блокує широкий спектр кібератак, включаючи нові та невідомі загрози.
• Легке використання: Рішення Deceptive Bytes не потребує значного втручання користувача або додаткового налаштування.
• Низький вплив на ресурси: Deceptive Bytes використовує мінімальні ресурси CPU, пам’яті та дискового простору.

Основні характеристики Active Endpoint Deception:

• Створення фіктивного середовища: Deceptive Bytes генерує фейкові дані, щоб обдурити зловмисників і змусити їх вважати, що вони атакують реальну систему.
• Прогнозування атак: Deceptive Bytes використовує алгоритми машинного навчання для прогнозування можливих атак і захисту вразливих місць.
• Динамічна відповідь на загрози: Deceptive Bytes адаптується до поведінки зловмисників під час атаки.
• Рішення Deceptive Bytes масштабуються, щоб відповідати потребам будь-якої організації.
• Deceptive Bytes може допомогти запобігти кібератакам, перш ніж вони завдадуть шкоди.
• Рішення Deceptive Bytes легко впровадити та використовувати.

В Україні Deceptive Bytes представляє офіційний дистриб’ютор – компанія Ідеалсофт.