Pod koniec września 2020 roku przekazaliśmy informację od firmy Comodo, jednego z globalnych dostawców rozwiązań IT-Sec, na temat ich planów otwarto-źródłowego oprogramowania klasy EDR (Endpoint Detection and Response) dla przedsiębiorstw. Rozwiązanie od dłuższego czasu jest dostępne na platformie GitHub. Bezpłatnie*. Z publicznie dostępnym kodem źródłowym. Bez limitów stacji roboczych i serwerów Windows. Organizacje, które chcą zabezpieczyć swoje urządzenia i oczekują automatyzacji przy wdrożeniu, powinny skorzystać z konsoli w chmurze, bowiem Comodo OpenEDR jest już integralną częścią platformy Comodo Dragon Enterprise – jest to rozwiązanie o architekturze „zero-trust”, które jest przeznaczone dla średnich i dużych środowisk biznesowych.
Comodo OpenEDR jest darmowym oprogramowaniem dla serwerów i stacji roboczych. Dzięki niemu możliwe jest zbieranie szczegółowych logów na temat bezpieczeństwa tych urządzeń.
*Aby bezpłatnie korzystać z EDR marki Comodo warto zapoznać się z dokumentacją – niezbędne są bowiem wiedza techniczna i odpowiednia infrastruktura, gdyż produkt wymaga serwera do agregowania logów, a także instalacji konsoli na serwerze firmowym.
*Comodo OpenEDR jest również zintegrowany z Comodo Dragon Enterprise, dlatego występuje w opcji płatnej. Jest to flagowy produkt producenta wyposażony m.in. w skaner podatności, moduł zarządzający aktualizacjami, agenta anty-malware z gwarancją ochrony przed zagrożeniami 0-day.
Comodo OpenEDR w rozwiązaniu Dragon Enterprise
Rozwiązania klasy EDR są bardzo wyspecjalizowane w zbieraniu informacji o podejrzanej aktywności. Głównym ich zadaniem jest ułatwienie zespołom bezpieczeństwa podejmowanie decyzji na podstawie agregowanych wskaźników zagrożeń (Indicators of Compromise — IoC).
Z bardziej znanych rozwiązań wyposażonych w technologie […]:
- EDR (Endpoint Detection and Response)
- XDR (Extended Detection and Response)
- MDR (Managed Detection and Response)
[…] możemy wyróżnić w kolejności alfabetycznej (warto sięgnąć do raportu Forrestera z 2020 roku):
- Bitdefender GravityZone
- Comodo OpenEDR / Comodo Dragon Enterprise
- CrowdStrike Falcon
- ESET Enterprise Inspector
- F-Secure Rapid Detection & Response
- Kaspersky Endpoint Detection and Response
- Microsoft Defender ATP
- Mks_vir Administrator (oraz moduł RoundKick EDR)
- Inne
EDR jest dużym wsparciem dla produktu bezpieczeństwa chroniącego stacje robocze i serwery. Tego rodzaju uzupełnienie stało się niezbędne w korporacyjnej klasie rozwiązań anty-malware. Umożliwia w czasie rzeczywistym zarządzanie incydentami oraz wyszukiwanie śladów włamań i ataków na każdym punkcie końcowym. Dzięki EDR możliwe jest unikanie nieplanowanych wydatków na naprawę problemów związanych z bezpieczeństwem.
Wdrożone rozwiązanie EDR pozwala monitorować sieć 24 godziny na dobę. Rozwiązania ochronne bardzo zmieniły się w ostatniej dekadzie, dlatego dzisiaj producenci muszą oferować jeszcze lepsze produkty, które będą mogły sprostać nowym rodzajom cyberataków.
O słuszności używania EDR-ów niechaj zaświadczą rekomendacje hakerów, którzy zalecają swoim korporacyjnym ofiarom tego rodzaju zabezpieczenia.
Czy ochrona może być open source?
Comodo OpenEDR to rozwiązanie do analizowania w czasie rzeczywistym całego środowiska firmowego. Daje administratorom i zespołom ds. zarządzania incydentami bezpieczeństwa wgląd w wektory wejścia cyberataków, jak i infekcji złośliwym oprogramowaniem.
Branża cyberbezpieczeństwa cierpi z powodu braku standardów. To rynek wart wiele miliardów dolarów, a nie ma żadnych standardów. Każdy kto twierdzi, że ma produkt z zakresu cyberbezpieczeństwa może skonfigurować sklep i rozpocząć sprzedaż. Użytkownicy końcowi nie mają żadnych możliwości, aby dowiedzieć się, który produkt jest dobry, a który nie. Widzę rolę firmy Comodo jako tej, która zajmuje się ochroną swoich klientów.
Widzimy też niepokojący trend, w którym obciąża się finansowo klientów za kolejne „warstwy bezpieczeństwa”. To tak, jakbyś kupował samochód, który nie działa i musisz dokupić kolejne rzeczy, aby jeździł. Nie zgadzam się z takim pomysłem! Jeśli klient płaci za ochronę punktów końcowych, powinien otrzymać wszystko, czego potrzebuje, aby chronić swoje środowisko w tej samej cenie!
Dla mnie EDR to produkt telemetryczny. Analogią są "drzwi" kontra "włamywacz". Jeśli masz świetne drzwi antywłamaniowe (chociaż nic nie jest niezniszczalne), twój alarm nie będzie często używany. Ochrona punktów końcowych Comodo jest cholernie dobra, dlatego nie możemy obciążać naszych klientów opłatami za EDR, ponieważ EDR po prostu zgłosi, że „wszystko jest w porządku”. Wtedy pomyśleliśmy o „Przejrzystości”.
Sposób, w jaki działa branża cyberbezpieczeństwa, prawie nie jest przejrzysty. Chcieliśmy zwiększyć transparentność i zdecydowaliśmy się otworzyć oprogramowanie EDR. Świat potrzebuje platformy cyberbezpieczeństwa, której będzie mógł zaufać i na której będzie mógł budować. Dlatego udostępniliśmy kod źródłowy.
Chcemy, aby OpenEDR był platformą cyberbezpieczeństwa dla każdej firmy. Społeczność jest ogromnie zainteresowana i myślę, że z jej pomocą, OpenEDR będzie przyszłością dla platform cyberbezpieczeństwa.
EDR dla macOS i Linux
Wsparcie EDR-a dla systemów macOS i Linux oferowane jest przez producentów, takich jak Bitdefender. Na chwilę obecną pełna integracja Comodo możliwa jest z Windows. W planach jest też miejsce dla macOS oraz Linuksa – potwierdził dla AVLab, Ozer Metin:
Nasz agent EDR obecnie nie obsługuje systemów MacOS i Linux. Jest to w naszych długoterminowych planach, ale na krótką metę chcemy zintegrować OSQuery (przyp. red. https://osquery.io/) i zbierać informacje od zainstalowanych agentów jako od naszego EDR-a, by zagregować wszystkie logi z Comodo Dragon Enterprise. Dzięki temu podmioty odpowiadające na incydenty cyberbezpieczeństwa będą miały unikalną platformę do łączenia wszystkich danych telemetrycznych w jednym portalu.
Ozer Metin, SVP, Engineering Comodo.
O firmie Comodo
Firma Comodo dostarcza na cały świat rozwiązania nowej generacji, które chronią firmy, szkoły, organizacje rządowe. Technologie producenta są wyróżniane przez zespół Gartnera, NSS Labs, AV-Test oraz naszą organizację AVLab. Ostatnio sąd w USA przyznał firmie Comodo patent na automatyczną piaskownicę chroniącą przed zagrożeniami 0-day.
Setki tysięcy firm na całym świecie polega na technologii Comodo (najnowsze wykorzystanie technologii Comodo dotyczy rozwiązania marki Cyberhawk z sektora energetycznego), dlatego dzięki otwarto-źródłowemu rozwiązaniu producent ma szansę zyskać w oczach sceptyków rozwiązań antywirusowych, które obecnie daleko wykraczają poza to, co oferowały jeszcze kilka lat temu.
Więcej informacji o Comodo EDR:
- https://community.openedr.com/categories
- http://techtalk.comodo.com/2020/09/19/open-edr-components/
- https://www.openedr.com/
- Dystrybucja w Polsce: https://comodo-polska.pl/
