Endpoint Detection and Response (EDR) to system do zbierania informacji o podejrzanej aktywności. Głównym zadaniem tego modułu jest ułatwienie zespołom ds. bezpieczeństwa podejmowania decyzji na podstawie wskaźników zagrożeń (IoC) w tym zarządzenia dużą ilością danych oraz priorytetyzowaniu działań. Mówiąc wprost EDR pozwala w czasie rzeczywistym zarządzać incydentami oraz wyszukiwać śladów włamań i ataków na każdym punkcie końcowym. Rozwiązania wyposażone w moduły EDR pozwalają uniknąć dodatkowych wydatków na bezpieczeństwo. W dodatku komercyjne EDR-y mają dodatkowe funkcje „czyszczenia” zaatakowanych systemów (a nie każdy EDR to potrafi).
Darmowym EDR-em jest „MIG” autorstwa firmy Mozilla. EDR MIG składa się z agentów zainstalowanych na wszystkich systemach infrastruktury, które są sprawdzane w czasie rzeczywistym w celu zbadania systemów plików, stanu sieci, pamięci lub konfiguracji punktów końcowych. Dodatkowo w systemie Linux możliwe jest zarządzanie podatnościami (vulnerability management) oraz szczegółowe raportowanie. Rozbudowany opis systemu MIG znajduje się na tej stronie.
Dobrym przykładem praktycznego wykorzystania MIG-a jest całkiem realna sytuacja: jest sobota 6 rano, gdy ktoś upublicznił krytyczną lukę w aplikacji PHP. Opublikowane IoC (sumy kontrolne, nazwy plików lub adresy IP) mogą być pomocne w rozpoznaniu zagrożenia. MIG umożliwia szybkie sprawdzenie systemów pod kątem wskaźników infekcji:
Agenty zostały zaprojektowane tak, aby były lekkie, bezpieczne i łatwe do wdrożenia. Bezpieczeństwo wymiany informacji jest wymuszone za pomocą kluczy PGP, które nie są przechowywane na platformie, czyli zakładając sytuację, kiedy serwer MIG będzie skompromitowany, nikt nie przejmie kontroli nad agentami.
Alternatywnie można skorzystać z:
- GRR Rapid Response firmy Google.
- El Jefe od hiszpańskiej firmy Immunity.
Moduł EDR w rozwiązaniu dla firm od Arcabit i MKS_VIR
Nie bez powodu wspominamy jak działa EDR i do czego może się przydać, ponieważ polski producent oprogramowania antywirusowego zaimplementował moduł EDR w swoich rozwiązaniach.
Mks_vir to najstarszy polski i jeden z najstarszych na świecie programów antywirusowych. Program od wielu lat jest rozwijany i wspieranych przez powstałą w 2004 roku firmę Arcabit, która powołała do życia spółkę mks_vir, aby wspólnie z nią tworzyć i dystrybuować nowe wersje oprogramowania w ramach tej popularnej polskiej marki. Specjaliści obydwu firmy nieprzerwanie kontrolują sytuację zarówno w polskiej jak i ogólnoświatowej cyberprzestrzeni, aby zagwarantować klientom państwowym i prywatnym, a także użytkownikom pakietu mks_vir najwyższy poziom ochrony.
Odpowiednie mechanizmy zostały wbudowane w pakiety Arcabit i mks_vir i wspólnie utworzyły nową warstwę ochronną klasy EDR (Endpoint Detection and Response), której zadaniem jest wykorzystanie potencjału drzemiącego we wszystkich modułach ochronnych pakietu w procesie stałej analizy zachodzących w systemie zdarzeń. Mechanizm ten jest skonstruowany tak, aby nie zakłócał pracy użytkowników i nie generował fałszywych alarmów. Sytuacje podejrzane ale nie wyczerpujące jeszcze w dostatecznym stopniu znamion cyberprzestępstwa są delegowane do chmury skanującej Arcabit/mks_vir, w której podlegają procesom analizy automatycznej. Jeśli ta zawiedzie, do pracy siadają analitycy. Efektem może być odrzucenie zdarzenia jako nieszkodliwego, bądź natychmiastowa aktualizacja schematów i blokada szkodliwej aktywności.
Dotychczasowe doświadczenia pokazują, że RoundKick EDR pozwala na natychmiastową identyfikację, blokadę i eliminację nieznanych zagrożeń. Łatwość aktualizacji bazy schematów i wykorzystanie chmury skanującej to nowe, potężne narzędzie w walce z cyberprzęstepcami. Zakres możliwości i potencjał tej klasy rozwiązań ochronnych możemy śmiało porównać do rozmachu, który towarzyszył firmom antywirusowym w czasach, gdy powstawały zaawansowane mechanizmy detekcji klasycznych wirusów. Wtedy środowiskiem wirusa był plik, teraz środowiskiem szkodliwego oprogramowania są całe systemy operacyjne i sieci.
Jak EDR sprawdza się w praktyce?
Odpowiedzią na to pytanie jest poniższe case study:
Poleciliśmy Panu K. aby w konsoli administracyjnej, dla całej sieci włączył opcję “Ochrona RoundKick EDR”. Ten niepozorny checkbox rozpętał w sieci epicką bitwę. W konsoli zaroiło się od raportów o zablokowanych, podejrzanych procesach, nie wykrywanych metodami klasycznym. Same “świeżynki” jak mawiają nasi analitycy. Do chmury skanującej Arcabit popłynęły informacje o nowych wariantach Emotet’a. Ruszyły mechanizmy analizy automatycznej. No i co tu dużo mówić… po 10 minutach sieć Pana K. była czysta. Szkodliwe pliki zostały usunięte, wpisy w rejestrze wyczyszczone, utworzone przez trojan’a zadania w harmonogramach systemowych skasowane. Pan K. nie mógł uwierzyć w szczęście, które go spotkało ?
Podsumowując – co się wydarzyło?
Przede wszystkim Pan K. został naszym zadowolonym klientem ? W sieci szalał Trojan.Emotet. Wdarł się za pośrednictwem poczty elektronicznej i maila z zainfekowanym dokumentem Word’a. Z pierwszej zainfekowanej stacji błyskawicznie rozprzestrzenił się po całej sieci. Intensywnie modyfikował swoje procesy i pobierał szkodliwe programy. Antywirus, który dotychczas chronił komputery nie był w stanie nadążyć za postępującymi modyfikacjami. Dopiero zaimplementowany w pakietach Arcabit i mks_vir moduł ochronny RoundKick EDR zablokował wszystkie podejrzane i szkodliwe aktywności podejmowane przez Emotet’a i przywrócił stan sprzed infekcji.
Źródło: https://antywirus.pl/komputerowa-sepsa
Dlaczego instytucje państwowe i polscy przedsiębiorcy powinni korzystać z krajowego oprogramowania antywirusowego?
Wybierając program antywirusowy od lokalnego dostawcy, mamy pewność, że skutecznie wychwyci nieścisłości np. językowe i że jest ciągle aktualizowany pod kątem cyberzagrożeń, które występują w danym kraju.
Nasza firma gwarantuje także pomoc techniczną – można liczyć na wsparcie telefoniczne, e-mailowe lub zdalne za pośrednictwem narzędzi dostępnych z poziomu zainstalowanych pakietów mks_vir i Arcabit. Warto też pamiętać, że oprogramowanie antywirusowe głęboko integruje się z systemem operacyjnym i ma dostęp do wszystkich danych. W tym kontekście szczególnie istotne jest, aby krajowe firmy i instytucje korzystały z programów godnego zaufania rodzimego producenta.
Komentuje Grzegorz Michałek, prezes spółek mks_vir oraz Arcabit: https://www.wprost.pl/technologie/10270606/nie-daj-sie-wirusom.html
Oprogramowanie Arcabit i mks_vir jest skierowane do użytkowników domowych i małych firm posiadających kilka komputerów po duże przedsiębiorstwa i jednostki administracji publicznej. Wersje próbne na 30 dni można pobierać ze strony producenta:
- Arcabit: https://arcabit.pl/wersje-trial.html
- Mks_vir: https://mks-vir.pl/pobierz
Więcej informacji, testów i recenzji rozwiązań antywirusowych mks_vir i Arcabit można znaleźć na naszym portalu pod następującymi linkami:
- Mks_vir: https://avlab.pl/producent/mks_vir
- Arcabit: https://avlab.pl/producent/arcabit
