Forståelse af slutpunktsregistrering og -respons

EDR – betydning og definition

Endpoint detection and response (EDR) henviser til en kategori af værktøjer, der løbende overvåger trusselsrelaterede oplysninger på computerarbejdsstationer og andre slutpunkter. Formålet med EDR er at identificere sikkerhedsbrud i realtid og udvikle en hurtig reaktion på potentielle trusler. Slutpunktsregistrering og -respons – undertiden kendt som "endpoint threat detection and response" (ETDR) – beskriver mulighederne i et sæt værktøjer, hvis detaljer kan variere afhængigt af implementeringen.

Begrebet blev først lanceret af Gartner i 2013 for at fremhæve det, der dengang blev betragtet som en ny kategori af cybersikkerhedssoftware.

Hvordan fungerer EDR?

EDR fokuserer på slutpunkter, som kan være et hvilket som helst computersystem i et netværk, såsom slutbrugerarbejdsstationer eller -servere. EDR-sikkerhedsløsninger leverer indsigt i realtid og proaktiv registrering og respons. De opnår dette gennem en række forskellige metoder, herunder:

Indsamling af data fra slutpunkter:

Data genereres på slutpunktsniveau, herunder kommunikation, procesudførelse og brugerlogins. Disse data anonymiseres.

Afsendelse af data til EDR-platformen:

De anonymiserede data sendes derefter fra alle slutpunkter til et centralt sted, som normalt er en cloudbaseret EDR-platform. Det kan også fungere på stedet eller som en hybrid sky, afhængigt af en bestemt organisations behov.

Analyse af data:

Løsningen bruger maskinlæring til at analysere data og udføre adfærdsanalyse. Indsigt bruges til at etablere en basislinje for normal aktivitet, således at anomalier, der repræsenterer mistænkelig aktivitet, kan identificeres. Nogle EDR-løsninger inkluderer trusselsefterretninger til at give kontekst ved hjælp af virkelige eksempler på cyberangreb. Teknologien sammenligner netværks- og slutpunktsaktivitet med disse eksempler for at opdage angreb.

Markering af og svar på mistænkelig aktivitet:

Løsningen markerer mistænkelig aktivitet og sender advarsler til sikkerhedsteams og relevante interessenter. Den iværksætter også automatiserede reaktioner i henhold til forudbestemte udløsere. Et eksempel på dette kan omfatte midlertidig isolering af et slutpunkt for at forhindre malware i at spredes over netværket. 

Opbevaring af data til fremtidig brug:

EDR-løsninger bevarer data for at understøtte fremtidige undersøgelser og proaktiv trusselsjagt. Analytikere og værktøjer bruger disse data til at undersøge eksisterende langvarige angreb eller tidligere uopdagede angreb.

Brugen af EDR er stigende - dels på grund af det stigende antal slutpunkter, der er tilsluttet netværk, dels på grund af de mere sofistikerede cyberangreb, der ofte fokuserer på slutpunkter som lettere mål for infiltrering af et netværk.

Hvad du skal kigge efter i en EDR-løsning

EDR-funktionerne varierer fra leverandør til leverandør, så før du vælger en EDR-løsning til din organisation, er det vigtigt at undersøge funktionerne i det foreslåede system og undersøge, hvor godt det kan integreres med dine eksisterende overordnede sikkerhedsfunktioner. Den ideelle EDR-løsning er en løsning, der giver det højeste beskyttelsesniveau, samtidig med at den kræver mindst mulig indsats og investering — og føjer værdi til dit sikkerhedsteam uden at opbruge ressourcerne. Her er de vigtigste egenskaber, du skal holde øje med:

Synlighed af slutpunkter:

Indsigt på tværs af alle dine slutpunkter giver dig mulighed for at se potentielle trusler i realtid, så du kan stoppe dem med det samme.

Database over trusler:

Effektiv EDR kræver betydelige data indsamlet fra slutpunkter og beriger dem med kontekst, så analysen kan identificere tegn på angreb.

Adfærdsbaseret beskyttelse:

EDR omfatter adfærdsbaserede metoder, der leder efter indikatorer for angreb (IOA'er) og advarer relevante interessenter om mistænkelige aktiviteter, før der sker et brud.

Indsigt and efterretning:

EDR-løsninger, der integrerer trusselsefterretninger kan give kontekst, såsom oplysninger om den formodede angriber eller andre detaljer om angrebet.

Hurtig respons:

EDR, der gør det muligt at reagere hurtigt på hændelser, kan forhindre et angreb, før det bliver til et brud, så din organisation kan fortsætte med at fungere normalt.

Cloud-baseret løsning:

En cloud-baseret slutpunktsregistrering og -respons sikrer nul påvirkning af slutpunkterne, samtidig med at søgnings-, analyse- og undersøgelsesfunktioner kan fortsætte præcist og i realtid.

De præcise detaljer og muligheder i et EDR-system kan variere afhængigt af implementeringen. En EDR-implementering kan omfatte:

• Et specifikt værktøj, bygget til et bestemt formål;
• En lille komponent i et bredere sikkerhedsovervågningsværktøj; eller
• En løs samling af værktøjer brugt i kombination med hinanden.

Da angribere løbende udvikler deres metoder, kan traditionelle beskyttelsessystemer komme til kort. Cybersikkerhedseksperter betragter EDR som en form for avanceret trusselsbeskyttelse.

Hvorfor EDR er afgørende for virksomheder

De fleste organisationer udsættes for en bred vifte af cyberangreb. Disse spænder fra simple, opportunistiske angreb, såsom en trusselsaktør, der sender en e-mailvedhæftet fil med kendt ransomware, til mere avancerede angreb, hvor trusselsaktører kan tage kendte udnyttelser eller angrebsmetoder og forsøge at skjule dem ved hjælp af undvigelsesteknikker, f.eks. ved at køre malware i hukommelsen.

Derfor er sikkerhed på slutpunktet et vigtigt aspekt af en virksomheds cybersikkerhedsstrategi. Selv om netværksbaserede forsvarssystemer er effektive til at blokere en stor andel af cyberangreb, vil nogle slippe igennem, og andre - f.eks. malware på flytbare medier - kan omgå disse forsvarssystemer helt og holdent. En slutpunktsbaseret forsvarsløsning gør det muligt for en organisation at implementere større sikkerhed og øger dens chancer for at identificere og reagere på disse trusler.

I takt med at organisationer verden over i stigende grad går over til fjernarbejde, er vigtigheden af robust beskyttelse af slutpunkter vokset. Medarbejdere, der arbejder hjemmefra, er muligvis ikke beskyttet mod cybertrusler i samme grad som medarbejdere på stedet og bruger muligvis personlige enheder uden de nyeste opdateringer og sikkerhedsrettelser. Medarbejdere, der arbejder eksternt, kan være mindre opmærksomme på deres cybersikkerhed, end hvis de var i et traditionelt kontormiljø.

Som følge heraf er organisationer og deres medarbejdere udsat for yderligere cybersikkerhedsrisici. Stærk slutpunktssikkerhed er afgørende, da den beskytter medarbejderen mod trusler og kan forhindre kriminelle i at bruge en fjernarbejders computer som en måde at angribe organisationens netværk på.

Det kan være vanskeligt og dyrt at afhjælpe et brud, og det er måske den største enkeltstående grund til, at EDR er nødvendig. Uden en EDR-løsning på plads kan organisationer bruge uger på at beslutte, hvilke handlinger de skal foretage - og ofte er deres eneste løsning at gendanne maskiner, hvilket kan være meget forstyrrende, reducere produktiviteten og medføre økonomiske tab.

EDR i forhold til antivirus

EDR er ikke et antivirusprogram, selv om det kan have antivirusfunktioner eller bruge data fra et antivirusprodukt. Antivirussoftware er ansvarlig for at beskytte mod kendte cybertrusler, mens et EDR-program identificerer nye udnyttelser, mens de kører, og kan registrere mistænkelig aktivitet fra en angriber under en aktiv hændelse. Når det er sagt, er EDR-software en del af den seneste generation af cybersikkerhedsprodukter.

Bedste praksis for EDR

Der er forskellige former for bedste praksis, som du skal overveje, når du implementerer EDR i din organisation:

Overse ikke brugerne

Brugere udgør en af de største risici for ethvert system, da de kan forårsage skade enten gennem ondsindet hensigt eller gennem menneskelige fejl. Undervis dine brugere i cybertrusler og risikabel adfærd for at øge deres bevidsthed om sikkerhed og minimere ulemper som følge af taktikker som phishing eller social engineering. Regelmæssig træning eller simulerede trusselscenarier vil øge brugernes bevidsthed om cybersikkerhedsspørgsmål og fremskynde reaktionstiden, når en hændelse opstår.

Nogle brugere kan finde på kompromisløsninger, hvis en EDR-løsning er forstyrrende for brugeroplevelsen. Det kan f.eks. være at deaktivere forsvarsfunktioner for at forbedre deres oplevelse. Men hvis en løsning er for fleksibel i forhold til brugeranmodninger, kan angribere finde det let at manipulere den. Det kan være en hjælp at være så gennemsigtig som muligt for en slutbruger for at sikre, at de forstår, hvorfor disse løsninger er på plads. Når der er behov for brugerinteraktioner, skal kommunikationen være klar og direkte. Systemet bør ikke afsløre unødvendige systemoplysninger, f.eks. personlige data eller IP-arkitekturer.

Integration med andre værktøjer

EDR-løsninger er designet til at beskytte slutpunkter, men de giver ikke fuldstændig sikkerhedsdækning for alle digitale aktiver i din organisation. EDR bør fungere som et aspekt af din overordnede informationssikkerhedsstrategi sammen med andre værktøjer såsom antivirus, administration af rettelser, firewalls, kryptering og DNS-beskyttelse.

Brug netværkssegmentering

Selv om nogle EDR-løsninger isolerer slutpunkter, når de reagerer på trusler, kan de ikke erstatte netværkssegmentering. F.eks.:

• Et segmenteret netværk giver dig mulighed for at begrænse slutpunkter til bestemte tjenester og datalagre. Dette kan markant reducere risikoen for tab af data og omfanget af de skader, som et vellykket angreb kan forårsage.
• Ethernet Switch Paths (ESP'er) kan give yderligere netværksbeskyttelse. ESP'er giver dig mulighed for at skjule netværkets struktur for at sikre, at angribere ikke let kan flytte mellem segmenter af netværket.

Tag forebyggende forholdsregler

Du bør aldrig udelukkende stole på aktive reaktioner på trusler, men i stedet kombinere aktive reaktioner med forebyggende forholdsregler. Sikring af, at systemerne er opdateret og rettet med omfattende protokoller og afhængighedslister, reducerer antallet af trusler, som du skal beskytte dig mod.

Gennemgå regelmæssigt dine systemer for at kontrollere, at værktøjer og protokoller stadig er korrekt konfigureret og anvendt. Test systemer og værktøjsfunktioner ved løbende at udføre trusselsmodellering og penetrationstest.

Ideelt set har din organisation en omfattende beredskabsplan, der angiver, hvem der skal reagere, og hvordan de skal reagere i tilfælde af et angreb. Hvis du har en plan på plads, vil det hjælpe til at øge din responstid på hændelser og give dig en struktur til analyse af data, der indsamles efter hændelsen.

Brug tilgængelige ressourcer

Hvis du bruger værktøjer fra tredjepart, skal du gøre brug af de uddannelsesressourcer, som din EDR-leverandør stiller til rådighed. Mange leverandører tilbyder uddannelse eller webinarer for at holde kunderne opdateret om de nyeste funktioner og bedste praksis. Nogle virksomheder tilbyder korte kurser om en række forskellige sikkerhedsemner for en lav pris eller gratis.

Du kan finde nyttige værktøjer og ressourcer om fællesskabsbaserede ressourcer og organisationer for informationsdeling og -analyse (ISAO'er). Kendte fællesskabsorganisationer, hvis websteder indeholder nyttige data og indsigt om cybersikkerhed, er bl.a. National Vulnerability Database (NVD) samt Open Web Application Security Project (OWASP).

EDR i forhold til XDR

Traditionelle EDR-værktøjer fokuserer kun på data fra slutpunktet og giver indsigt i formodede trusler. Eftersom de udfordringer, som sikkerhedsteams står over for - f.eks. overbelastning af hændelser, snævert fokuserede værktøjer, manglende integration, manglende færdigheder og for lidt tid - fortsætter med at udvikle sig, udvikler EDR-løsninger sig også.

XDR, eller udvidet registrering og respons, er en nyere tilgang til registrering og respons på slutpunktstrusler. "X" står for "udvidet" og repræsenterer enhver datakilde, såsom netværks-, cloud-, tredjeparts- og slutpunktsdata med anerkendelse af begrænsningerne ved at undersøge trusler i isolerede siloer. XDR-systemer bruger en kombination af analyse, heuristik og automatisering til at generere indsigt fra disse kilder, hvilket forbedrer sikkerheden sammenlignet med siloopdelte sikkerhedsværktøjer. Resultatet er simplificerede undersøgelser på tværs af sikkerhedsoperationer, som reducerer den tid, det tager at opdage, undersøge og reagere på trusler.

Relaterede produkter:

• Kaspersky Slutpunktsregistrering og -respons
• Kaspersky Slutpunktsregistrering og -respons Optimum
• Kaspersky Endpoint Security for Business

Læs videre:

• Hvad er slutpunktssikkerhed?
• Hvordan nultillidskonceptet er med til at forme cybersikkerhed i stor skala
• Hvad er datatyveri, og hvordan undgår man det
• Sådan beskytter du fortroligheden på nettet, når virksomhedens og personlig brug overlapper hinanden