Régen úgy tekintettünk az antivírus-szoftverekre, mint csodafegyverekre: elég csak feltelepíteni őket a számítógépünkre, és az rögvest sebezhetetlenné válik. Ez sosem volt igaz, ráadásul egyre több olyan támadásról hallunk, amely ellen a hagyományos, szignatúra alapú antivírus-védelem már nem elég. A korábbi vírusvédelmi megoldások (amelyek az adott gyártó központi adatbázisából dolgoztak) már nem képesek lépést tartani a felkészült támadókkal. Ma már percek alatt, minimális befektetéssel, akár pár ezer forintért, a hagyományos vírusirtó motorok által nem ismert, különféle malware-eket lehet vásárolni.
A szakértők számára nem titok, hogy a védelem sosem lehet százszázalékos, ezért bizonyos esetekben a megelőzésen kívül a gyors és hatékony reagálás képességére is fel kell készülniük a kibervédelmi szakembereknek. Erre egyáltalán nem, vagy csak nagyon korlátozott mértékben alkalmasak a hagyományos, főleg a támadás elhárítására fejlesztett antivírus megoldások.
Kibervédelem gyors reagálással
A nagyobb vizibilitás és az eredményes reagálási képesség igényére jelentenek választ az EDR (Endpoint Detection and Response), illetve az EPP (Endpoint Protection Platform) termékek, amelyek kiterjesztik a hagyományos antivírus-képességeket, például USB-eszközök kezelésével, illetve a telepített programok és futó folyamatok listázásával. Ezek használatával a vállalatok jelentősen növelhetik a védelem hatékonyságát, mivel így például meg lehet tiltani a beépített Bluetooth használatát vagy külső, ismeretlen 4G modem csatlakoztatását, hiszen ezek a különféle hálózati támadások melegágyai lehetnek. Itt érdemes megemlíteni, hogy a legtöbb hagyományos EDR-megoldás nem foglalkozik a hálózati forgalommal, nem használja ki a gépi tanulás és az MI használatával járó előnyöket, amelyekkel a hagyományos hash-alapú vizsgálatokat el lehet hagyni vagy hatékonyságukat nagyban lehet növelni. A hagyományos EDR-megoldások nem képesek megfelelő védelmet nyújtani a teljesen file nélküli támadások, exploit technikák ellen. Ezek mellett megfontolandó szempont az is, hogy hatékony használatukhoz komoly hozzáértés szükséges, mivel a riasztások között sokszor nehéz eligazodni, és nem könnyű megtalálni a támadások eredetét.
Az új támadási technikák, illetve a nagyobb szintű korreláció és viselkedéselemzés integrációja miatt jelentek meg a piacon ma a legfejlettebb technológiának számító XDR, illetve az újgenerációs EPP/EDR-megoldások. Ezek a korábbi EDR-megoldások képességeit ötvözik a legújabb technológiákkal: a gépi tanulással és a mesterséges intelligencia-alapú támadásfelismeréssel. Képesek korrelálni a hálózaton található gépek viselkedését, felismerni és megakadályozni például egy ransomware-támadás terjedését. A nagymértékű esemény-korrelációnak köszönhetően használatukkal a legtöbb esetben hatékonyan csökkenthető a támadások felderítéséhez és a reagáláshoz szükséges idő. Az égető szakemberhiány hatásait is csökkenthetik, mivel kevesebb emberi erőforrás szükséges a támadások felderítésére, a riasztások vizsgálatára.
Az erős korreláció és automatizáció viszont nem jelenti azt, hogy később, esetleg egy nyomozás során kevesebb információ áll a biztonsági csapat rendelkezésére, sőt, ezek a megoldások általában a korábbiaknál sokkal könnyebben használható és jobb minőségű adatokat biztosítanak a kibervédelmi szakembereknek. Szintén a nyomozás és a támadások felderítésének megkönnyítésére a termékek általában tartalmaznak valamilyen szintű integrációt a jelenleg méltán elismert MITTRE ATT&CK keretrendszerrel is, melynek használatával lepésekre bontva felderíthetjük, hogy melyik művelettel mi lehetett a támadó célja, és milyen támadási technikákat, illetve taktikákat alkalmaztak ellenünk.
Az általunk ismertetett, a Clico portfóliójában megtalálható különböző végpontvédelmi termékek közül mindegyik fejlett védelmi megoldást nyújt a felvázolt problémákra.
Palo Alto Networks Cortex XDR
A korábbi, Traps végpontvédelmi termék továbbfejlesztett és kibővített újgenerációs XDR-megoldása tükrözi a PaloAlto Networks platformszemléletét, integrálódik a különböző Palo Alto termékekkel, például képes korrelálni a logokat a különböző védelmi vonalak között, legyen az Palo Alto-tűzfal, felhős védelem vagy végpontvédelmi termék. Ennek köszönhetően végigkövethetjük, hogyan jutott be az adott fájl a végpontunkra, illetve hogyan próbált a támadó mozogni az erőforrásaink között.
A megoldás fejlett, gépi tanulási algoritmusokat használ, elemzi a végpontok viselkedését, és képes kiszűrni, ha egy támadó átveszi az irányítást egy gép felett, vagy megpróbálja a támadást ártalmatlannak tűnő folyamatok használatával végrehajtani. Fontos eleme a védelemnek a gyártó sandbox megoldása, amely együtt tud működni a végponttal, és képes megakadályozni az ismeretlen file-ok futtatását, illetve segít ezek elemzésében. A megoldás felhős menedzsmenttel és központi log-gyűjtő tárhellyel működik együtt, ahová a Palo Alto termékeken kívül külsős log-forrásokat is be tudunk kötni. Ezek korrelációja után azon riasztások száma, amelyekkel az elemzőinknek foglalkoznia kell, jelentősen csökkenthető.
SentinelOne újgenerációs EDR/XDR
Nemrég jelent meg a közép-európai piacon ez a végpontvédelmi termék, amely iránt egyre nagyobb az érdeklődés. A gyártó szerint megoldásuk használatával minden végpont és a rajta található agent egy mini, automatizált SOC funkcióját képes betölteni. A hagyományos EDR-képességeket például finomhangolható USB-eszköz kontroll és telepített alkalmazások listázása ötvözi a modern, újgenerációs EPP- és EDR-megoldásokra jellemző képességekkel. Ilyen például a fejlett VDI- (Virtual Desktop Infrastructure) környezetkezelés és az egyedülálló ransomware védelem, amelynek segítségével támadás esetén is képes a rendszer visszaállítani a fájlokat (Windows rendszerek esetén), és erre garanciát is vállal a gyártó. Ezenfelül a telepített agent képes a statikus mesterséges intelligenciát használva valós időben felismerni a különböző támadási technikákat és taktikákat, illetve elemzi a folyamatok viselkedését, majd készen áll megtenni a szükséges lepéseket a támadás elhárítása érdekében. Ez jelentheti akár az összes malware által módosított fájl karanténozását vagy VSS (Volume Shadow Copy Service) használatával történő visszaállítását.
Fidelis Cybersecurity Endpoint
Egy komplex megoldás, a Fidelis Elevate Platform része. Képes együttműködni a gyártó hálózati forgalomelemző és deception megoldásaival. A végpontvédelmi kliens a beépített malware-védelem mellett számos megírt viselkedési szabályt tartalmaz, melyeket bármikor kiegészíthetünk egyedi védelmi szabályokkal, így szükség esetén teljesen testre szabható a rendszer, így bármilyen, számunkra releváns védelmet meg tudunk valósítani. A menedzsmentfelület használatával valós időben tudjuk megvizsgálni, milyen folyamatok futnak a végponton. Kétirányúan tudunk akár file-okat is mozgatni a kliens és a menedzsment között, vagy szükség esetén át tudjuk venni az irányítást bash, illetve powershell parancssoros felületen keresztül.
MobileIron Threat Defense (MTD)
A sorból kicsit kilóg a MobileIron terméke, amely inkább az UEM (Unified Endpoint Management) és az MTD (Mobile Threat Defense) kategóriába tartozik, viszont érdemes megemlíteni a végpontvédelmi megoldásoknál. A MobileIron hagyományosan a mobil eszközök, például okostelefonok és tabletek számára nyújt védelmet, illetve ilyen eszközök használata esetén képes a vállalati kibervédelmi csapatok kezébe visszaadni az irányítást. Segítségével alkalmazásokat és programokat telepíthetünk a céges eszközökre, legyen az mobil vagy laptop, illetve elkülöníthetjük a céges adatokat a privát adatoktól akár egy eszközön belül is, így meggátolva az adatszivárgást. Emellett a bemutatott termékek közül egyedülállóan nekik van iOS- és Android-kliensekre telepíthető mobilvédelmi termékük.
A termék mind a saját, mind a céges tulajdonban lévő mobileszközök hatékony védelmét biztosítja. Lehetőséget teremt az eszközök, a hálózat és az alkalmazások szintjén fellépő támadások megfigyelésére, kezelésére és az ezek elleni védekezésre, illetve képes a mobil adathalász-támadások megakadályozására is. Az alkalmazás (felhasználói beavatkozás nélkül) még azelőtt megállítja az ismert és „zero-day” támadásokat, mielőtt azok bármilyen kárt okozhatnának az eszközökön. Működése egyedi, mert ez a megoldás magán az eszközön, tehát helyben hajt végre egy megfelelőségi műveletet, amely felismeri és hatástalanítja az eszközt ért támadásokat, még akkor is, ha az eszköz sem wifi-, sem mobilhálózathoz nem kapcsolódik.
E termékek mindegyike szélesen lefedi a támadásokat. Mivel azonban a gyártók különböző megközelítéseket alkalmaznak, nehéz következtetéseket levonni, és ahogy általában, úgy itt sincs egyetlen, mindenre használható, tökéletes és örökérvényű termék.
A megfelelő megoldás kiválasztásában, ha az elvárt funkciók és a környezeti adatok rendelkezésre állnak, szívesen nyújtunk segítséget, illetve a termékek tesztelésében is számíthatnak a Clico Hungary csapatára!
A blogbejegyzés az IT Business cikkének átdolgozott változata.