Rok 2020 byl rokem, kdy se hromadně řešily vstupy do firem a zabezpečení účtů pomocí vícefaktorových autentizací. Tento rok nejčastěji s klienty řešíme implementace EDR a komunikaci mezi obranou a penetračními testery, takzvaný purple tým. Nyní ale k EDR, které se dostalo do úrovně must have pro všechny kdo to s obranou svých dat myslí vážně. Vybrali jsme několik řešení a dáme Vám jejich základní popis a zhodnocení. Pro případnou implementaci některého řešení se neváhejte ozvat.

Co je EDR ?

Detekce a odezva koncových bodů (EDR) je forma bezpečnostního řešení, která nabízí v reálném čase přehled o anomálním chování koncových zařízení díky nepřetržitému zaznamenávání, ukládání a monitorování informací z počítačů a notebooků.

Softwarová řešení EDR automaticky spouštějí výstrahy pro podrobnější vyšetřování, když identifikují podezřelé chování. Pomocí těchto informací mohou bezpečnostní týmy také ručně izolovat, zkoumat a reagovat na různé pokročilé hrozby kybernetické bezpečnosti, případně zařízení zcela izolovat od sítě.

Slabým místem v EDR je však to, že pokud je škodlivý software již přítomen na koncovém bodu, může začít poškozovat a infikovat další koncové body dříve, než bezpečnostní týmy zareagují.

Zde přichází na řadu sandbox – sandbox vytváří bezpečné, izolované prostředí na koncovém bodu, kde mohou být podezřelé soubory drženy, dokud nebudou prošetřeny.

Co je to sandbox a proč je to důležité?

Sandbox je samostatné testovací prostředí, kde uživatelé mohou spouštět soubory a spouštět programy, aniž by ohrozili systém, platformu nebo aplikaci, kterou používají. Softwaroví specialisté používají sandboxy ke studiu podezřelého kódu, aniž by ohrozili síť nebo zařízení.

Sandboxy jsou automatizovaným řešením pro studium škodlivých souborů. Jedná se o běžnou metodu, kterou bezpečnostní specialisté používají k detekci hrozeb a narušení testováním softwaru, adres URL a malwaru.

Identifikace malwaru v karanténě vytváří další vrstvu obrany, která chrání před bezpečnostními riziky, jako jsou skryté exploity a útoky, které využívají zranitelnosti zero-day. Systémy endpoint and detection response (EDR) obsahují mnoho z nejpopulárnějších sandboxů, které se dnes používají.

Sandboxing poskytuje následující možnosti:

• Pomůže vám izolovat nejnebezpečnější a nejnovější hrozby, minimalizovat rizika a zvýšit spolupráci. Jelikož sandbox funguje v izolovaném systému, chrání klíčovou infrastrukturu organizace před škodlivým kódem.
• Umožňuje analytikům SOC zkoumat nebezpečný kód v kontrolovaném prostředí, aby pochopili, jak funguje v systému, a snadněji identifikovali podobné hrozby malwaru.
• Poskytuje další způsob identifikace malwaru namísto spoléhání se pouze na sledování chování. Jak se malware stává sofistikovanějším, jeho odhalování sledováním podezřelého chování je stále náročnější.
• Umožňuje analytikům pochopit, jak malware funguje. Nejsložitější antivirový a monitorovací software nemůže vždy předvídat, co udělá škodlivý kód po svém spuštění. Antivirový

software může skenovat programy při jejich stahování, ukládání a přenášení.

EDR řešení s sandboxingem

Kaspersky Sandbox

Kaspersky Sandbox je součástí aplikace Kaspersky Optimum Security a je vyvíjen s využitím osvědčených postupů pro boj s útoky na úrovni APT a sofistikovanými hrozbami. Společně s řešeními EDR a EPP nabízí Kaspersky Sandbox automatizovanou pokročilou detekci zkoumáním hrozeb v izolovaném prostředí:

• Detekce – podezřelé soubory a data jsou umístěny v odděleném prostředí, kde se provádí podrobné zkoumání, aby se automaticky rychle izolovaly a zablokovaly nové i neznámé kybernetické hrozby.
• Spravovatelnost – tento sandbox se snadno ovládá a instaluje a integruje se s infrastrukturou organizace i bez vysoce kvalifikovaných odborníků na bezpečnost IT.
• Škálovatelnost – základní konfigurace podporuje až tisíc chráněných koncových bodů. Řešení lze snadno škálovat a poskytuje trvalou bezpečnost pro velké infrastruktury.
• Integrace – pokročilé detekční schopnosti Kaspersky Sandbox se integrují s Kaspersky Endpoint Security for Business a Kaspersky EDR Optimum a nabízejí vícevrstvé zabezpečení koncových bodů.

Cynet 360

Platforma pro identifikaci hrozeb a odezvu Cynet 360 zefektivňuje zabezpečení organizace tím, že nabízí holistický přístup k požadavkům na prevenci a zabezpečení organizace. Cynet 360 minimalizuje výdaje na zabezpečení tím, že nabízí různé funkce v jednom řešení, aniž by vyžadoval příliš mnoho z rozpočtu organizace, pracovních sil a zdrojů.

• Platforma 360 nabízí nejvyšší úroveň zabezpečení organizace tím, že koreluje indikátory mezi systémy, čímž zajišťuje přesnost a viditelnost detekce, aniž by bylo potřeba několik přístupů k kybernetické bezpečnosti.
• Cynet 360 nabízí řadu funkcí podnikového zabezpečení, přizpůsobených organizacím, které potřebují nejlepší úroveň prevence a ochrany u tisíců koncových bodů:

• Identifikace a reakce koncových bodů – platforma Cynet 360 detekuje a nasazuje hrozby na tisících koncových bodů za méně než dvě hodiny. Komplexní řešení Cynet 360 korelují ukazatele a nabízejí úplnou viditelnost v celém podniku.
• Analýza chování entit a uživatelů – schopnosti platformy UEBA pomáhají týmům pro kybernetickou bezpečnost izolovat kompromitované účty, cílené útoky a nepoctivé zasvěcence dříve, než mohou poškodit podnik.
• Reakce na incidenty – platforma pomáhá organizacím, které jsou napadeny, 24/7 globální reakcí na incidenty, kterou provozuje tým bezpečnostních expertů.
• Threat Intelligence – platforma využívá 20 interních a externích databází obsahujících nejaktuálnější informace o hrozbách a integruje vstupy z IOC. Organizace tak mají další vrstvu ochrany před škodlivými a podezřelými aktivitami.
• Sandbox – platforma nabízí sandbox pro dynamickou analýzu procesů a statickou analýzu souborů pro bezpečnou kontrolu položek, které jsou považovány za podezřelé. 

Symantec Endpoint Detection and Response

• Symantec EDR využívá behaviorální analytiku a strojové učení k odhalení a detekci podezřelého chování sítě. Symantec EDR vás informuje o možné nebezpečné aktivitě, upřednostňuje události pro rychlé třídění a umožňuje vám procházet záznamy o aktivitě koncových bodů během vaší forenzní analýzy možných útoků.
• Symantec EDR vám umožňuje izolovat koncové body, které by mohly být ohroženy, obsahovat podezřelé incidenty a odstraňovat škodlivé soubory a související artefakty.
• Symantec EDR může přesouvat soubory do sandboxingové služby, aby uvolnil možný malware ve virtuálním prostředí a prozkoumal jeho chování. Výchozí nastavení sandboxingu je cloudový malwarový systém společnosti Symantec – Cynic. Symantec EDR můžete také nakonfigurovat tak, aby přesouval neznámé nebo podezřelé soubory do zařízení sandbox na místě.

Trend Micro Apex One

Ochrana Trend Micro Apex One poskytuje automatickou reakci na hrozby a detekci rostoucího počtu hrozeb, jako je ransomware a bez souborů. Jejich mezigenerační využití nejnovějších technik nabízí vysokou úroveň ochrany koncových bodů, která optimalizuje efektivitu a výkon.

Dosáhněte praktických poznatků, lepších vyšetřovacích schopností a centralizované viditelnosti pomocí sady nástrojů EDR, otevřené sady API a robustní integrace SIEM. Máte možnost provádět rozšířené, korelované vyšetřování hrozeb, které je pokročilejší než koncový bod, a zvýšit počet svých bezpečnostních týmů prostřednictvím služby řízené identifikace a odezvy.

Apex One využívá různé mezigenerační techniky hrozeb, aby nabídl nejširší ochranu proti všem typům hrozeb, včetně:

• Účinná ochrana před injekcí, skripty, ransomware, prohlížečem a útoky na paměť prostřednictvím nové analýzy chování.
• Cloud sandbox pro analýzu adres URL, vícefázové stahování a podobně v zabezpečeném prostředí.

Na závěr dva hodně používané systémy v našich zemích a jejich krátké hodnocení

Microsoft Endpoint defender plan 1 , plan 2

Microsoft mezi své ochrany přidal rozšíření pro office 365 plány, které přidává základní funkce EDR systému, bohužel bez funkce sandboxingu, ten můžete ale případně mít alespoň v perimetrovém zařízení.

ESET Enterprise Inspector

Sofistikovaný nástroj pro detekci a reakci na hackerské a kybernetické útoky na koncová zařízení (EDR – Endpoint Detection & Response), který slouží k identifikaci nezvyklého chování, hackerských průniků a posouzení rizik kybernetické bezpečnosti stejně jako k vyšetření, nápravě a odpovědi na bezpečnostní incidenty. Bohužel funkce EDR jsou prozatím nové ale jsou vyvíjeny a věříme, že pro uživatele antiviru ESET jsou rozhodně lepší volbou než žádné EDR