Många organisationer anser Endpoint Detection and Response (EDR) som deras primära skydd mot kränkningar. EDR, som en kategori, uppstod 2012 och erkändes snabbt som det bästa svaret på olika hot som den gamla AV inte lyckades övervinna – exploatering, nolldagars skadlig programvara och fileless attacker är framstående exempel.
Även om det inte finns några tvister om effektiviteten hos EDR mot de flesta av de nuvarande avancerade hoten, finns det nu en ny generation av “nästa generations EDR” -lösningar (läs mer här), som förutom att visa alla EDR-kapaciteter, går ett steg längre för att skydda mot ledande attackvektorer vilket inte täcker EDR eftersom det involverar användare och nätverk.
“Många människor blandar omedvetet två olika saker – skydd för slutpunkter och skydd mot kränkningar,” förklarar Eyal Gruner, en av grundarna av Cynet (nästa generations EDR-lösning).
“Det är sant att många attacker börjar vid slutpunkten och involverar skadliga filer och processer, vilket gör EDR till den perfekta lösningen för slutpunkten. Den faktiska ytan på attacken är dock mycket bredare än detta, och i slutändan är det inte slutpunkten du vill skydda. – det här är din organisation. “
Gruner, en före detta vit hatthacker (startade när han var 15 år), grundade också BugSec, Israels största konsultföretag för cybersäkerhet. Idag är det en världs erkänd expertattacker, verktyg och praktik.
“Tänk på det här sättet: per definition genererar varje angripares verksamhet någon form av avvikelse. Det är bara meningsfullt, eftersom det vi anser som” normalt beteende “inte innehåller kompromisser med resurser och att stjäla data. Denna anomali är det ankare som möjliggör säkerhetsprodukter – eller hotanalytiker för den delen – för att identifiera att något dåligt händer och blockera det. “
Gruner sa att denna avvikelse kan manifestera sig på tre kärnplatser – processutförande, nätverkstrafik eller användaraktivitet. Till exempel genererar ransomware processutförande avvikelser eftersom det finns processer som försöker interagera med ett stort antal filer.
Många typer av sidorörelser inkluderar å andra sidan nätverkstrafikavvikelser i form av ovanligt hög SMB-trafik. På samma sätt, när en angripare går in i en kritisk server med komprometterade användarkontokriterier, är den enda anomalin användarnas beteende. I båda fallen var det inte möjligt att avslöja attacken enbart genom övervakningsprocessen.
“EDR är ett bra verktyg för attacker som kan identifieras genom en anomal process,” sade Gruner. “Det är i slutet och övervakar processens beteende, så du är ganska skyddad mot den här hotgruppen. Men hur är det med de andra? Det finns många mainstreamvektorer som fungerar på nätverkstrafik och användarbeteende utan att utlösa ens den minsta avvikelsen. EDR praktiskt taget blind för detta hot. “
 |
| Nästa EDR-gener upptäcker farliga aktiviteter i slutpunkter, nätverk och användare |
För att bättre förstå problemet, låt oss ange angriparens position. Han har framgångsrikt komprometterat slutpunkterna och beräknar nu nästa sökväg i miljön, för att komma åt och sedan pressa känslig data. Det krävs flera steg för att slutföra denna uppgift. Låt oss använda ett som exempel – legitimationsstöld.
Intyg med höga privilegier är mycket viktigt för att få tillgång till resurser i miljön. Angriparen kan försöka bli av med dem från minnet om den komprometterade slutpunkten. EDR kommer förmodligen att fånga detta eftersom det kommer att orsaka en anomaliprocess.
Hastiga lösenord kan emellertid också skördas genom att fånga in intern nätverkstrafik (med hjälp av tekniker som ARP-förgiftning eller DNS-svar) som bara kan identifieras genom övervakning av anomalier för nätverkstrafik – och EDR kommer att hoppa över detta helt.
“Från min erfarenhet lär attackerare som är bra på sina jobb vanligtvis snabbt vilka defensiva åtgärder som finns där och agerar i enlighet därmed,” sade Gruner. “Om det finns en bra EDR på plats kommer de att överföra sina tekniker till användarens nätverk och fält och arbeta fritt under EDR-radaren.”
“Så om du vill ha komponenter i din säkerhetsstack som bara kommer att skydda dig från processbaserade attacker som skadlig programvara, exploater etc. kan EDR ge täckning. Om det du letar efter är skydd mot kränkningar, måste du tänka mycket bredare – detta varför vi skapade Cynet 360. “
Cynet 360 övervakar kontinuerligt processerna, nätverkstrafiken och användaraktiviteten, vilket ger full täckning av attackvektorer som används i fortsatta attacker idag. Detta innebär att i princip alla EDR-funktioner, utvidgade och integrerade med användaruppförandeanalys och nätverksanalys, och är utrustade med ett starkt bedrägerislager som gör det möjligt för operatörer att plantera feeddatafiler, lösenord, nätverksdelningar etc. och lura angriparna att fånga sin närvaro.
Men Cynet ger mer än bara ytterligare värde. “Detta är inte bara ett processbaserat hot plus ett nätverksbaserat hot plus ett användarbaserat hot,” sade Gruner. “Ju mer avancerad angriparen, desto bättre är han att dölja sin närvaro och aktivitet. Så det finns många attacker som inte är synliga om du bara ser processen eller trafiken eller användarnas beteende.
“Endast genom att kombinera dessa signaler för att skapa ett sammanhang kan du identifiera att något ont sker. Cynet 360 automatiserar skapandet av detta sammanhang för att avslöja några osynliga hot.”
 |
| Next Gen EDR ger full synlighet för alla hot |
Gruner avslutade, “Det finns inget hundra procent skydd, men du måste ha vakter på alla huvudvägar. Kan angriparna kringgå dem? Jag tror att svaret är ja om de är skickliga, beslutsamma och ganska rimliga. Men om du övervakar alla stora anomala vägar. “Det kommer att tvinga dem att arbeta mycket hårt – mer än de vill”, tillade Gruner.
“EDR är extraordinärt, och det är därför Cynet 360 inkluderar alla dess kapacitet – plus. EDR ensam räcker inte för att skydda mot ljudkränkningar, och det är därför vi ger resten till Cynet 360.”
Läs mer om nästa generations EDR här.
