Pod koniec września bieżącego roku na naszym portalu opublikowaliśmy informację przekazaną przez firmę COMODO, jednego z globalnych dostawców rozwiązań IT-Sec, o planach otwarto-źródłowego oprogramowania COMODO OpenEDR klasy EDR (Endpoint Detection and Response) dla przedsiębiorstw. Rozwiązanie już od kilku dni jest dostępne na platformie GitHub. Bezpłatnie. Bez limitów stacji roboczych i serwerów Windows.
Jak dotąd na skuteczne wykrywanie i reagowanie na incydenty mogły sobie pozwolić tylko firmy z dedykowanym centrum obsługi bezpieczeństwa lub wyspecjalizowanym zespołem IT, specjalnie przeszkolonym do wyszukiwania i analizowania cyberataków. Dzięki tej klasy produktom możliwa jest redukcja czasu, w którym hakerzy pozostają niewykrywalni w sieci. Systemy EDR jednocześnie pokazują w jakiem kierunku zmierza cała branża, czyli automatyzacji oraz błyskawicznemu reagowaniu na incydenty.
COMODO OpenEDR
COMODO OpenEDR to rozwiązanie do analizowania całego środowiska IT, aby było ono bezpieczne. Umożliwia szczegółowy wgląd w incydenty, dostarczając analizę aż od wektora wejścia, po skutki wynikające z cyberataku i złośliwego oprogramowania.
Zapytaliśmy szefa firmy Comodo skąd pomysł na produkt bezpieczeństwa typu open-source?
Branża cyberbezpieczeństwa cierpi z powodu braku standardów. To rynek wart wiele miliardów dolarów, a nie ma żadnych standardów. Każdy kto twierdzi, że ma produkt z zakresu cyberbezpieczeństwa może skonfigurować sklep i rozpocząć sprzedaż. Użytkownicy końcowi nie mają żadnych możliwości, aby dowiedzieć się, który produkt jest dobry, a który nie. Widzę rolę firmy Comodo jako tej, która zajmuje się ochroną swoich klientów.
Widzimy też niepokojący trend, w którym obciąża się finansowo klientów za kolejne „warstwy bezpieczeństwa”. To tak, jakbyś kupował samochód, który nie działa i musisz dokupić kolejne rzeczy, aby jeździł. Nie zgadzam się z takim pomysłem! Jeśli klient płaci za ochronę punktów końcowych, powinien otrzymać wszystko, czego potrzebuje, aby chronić swoje środowisko w tej samej cenie!
Dla mnie EDR to produkt telemetryczny. Analogią są „drzwi” kontra „włamywacz”. Jeśli masz świetne drzwi antywłamaniowe (chociaż nic nie jest niezniszczalne), twój alarm nie będzie często używany. Ochrona punktów końcowych Comodo jest cholernie dobra, dlatego nie możemy obciążać naszych klientów opłatami za EDR, ponieważ EDR po prostu zgłosi, że „wszystko jest w porządku”. Wtedy pomyśleliśmy o „Przejrzystości”.
Sposób, w jaki działa branża cyberbezpieczeństwa, prawie nie jest przejrzysty. Chcieliśmy zwiększyć transparentność i zdecydowaliśmy się otworzyć oprogramowanie EDR. Świat potrzebuje platformy cyberbezpieczeństwa, której będzie mógł zaufać i na której będzie mógł budować. Dlatego udostępniliśmy kod źródłowy.
Chcemy, aby OpenEDR był platformą cyberbezpieczeństwa dla każdej firmy. Społeczność jest ogromnie zainteresowana i myślę, że z jej pomocą, OpenEDR będzie przyszłością dla platform cyberbezpieczeństwa.
Skomentował dla AVLab, pan Melih Abdulhayoglu, szef firmy Comodo.
Melih Abdulhayoglu
Założyciel i obecnie szef firmy Comodo.
Rozwiązania, takie jak to od Comodo, to bardzo wyspecjalizowane produkty do zbierania informacji o podejrzanej aktywności. EDR pozwala na bieżąco zarządzać incydentami oraz wyszukiwać śladów włamań i ataków na każdym punkcie końcowym, dzięki czemu możliwe jest unikanie dodatkowych wydatków na naprawianie problemów związanych z bezpieczeństwem.
Tego rodzaju rozwiązania są rekomendowane przez ekspertów oraz administratorów IT, a także przez hakerów. To nie jest pomyłka redaktorska. Kiedy doszło do ataku na firmę firmy CTW z branży podróżniczej i zaszyfrowano im 30000 stacji roboczych, przestępcy zażądali 4,5 miliona dolarów okopu. Nie mając wyjścia, dogadano się z przestępcami, którzy podczas uzgadniania warunków zarekomendowali dyrektorowi spółce, aby jego zarekomendowała rozwiązania klasy EDR.
Produkt Comodo OpenEDR wykorzystuje zaimplementowane narzędzia open-source do monitorowania procesów i przechwytywania zdarzeń o każdym nowym procesie. Jednak aby skorzystać bezpłatnie z EDR’a, warto mieć w zespole techniczny personel. Wymagana jest bowiem własna infrastruktura, lokalna bądź w chmurze, do której będą wysyłane dane telemetryczne z chronionych stacji roboczych. Co więcej rozwiązanie COMODO OpenEDR trzeba skompilować przy użyciu Microsoft Visual Studio.
Utworzony projekt będzie zawierał instalator MSI podpisany certyfikatem przez firmę Comodo. Producent na ten moment nie zapewnił skompilowanej wersji dla Windows do zainstalowania, ale rozumiemy, że to dopiero początki projektu. Jeśli więc masz problemy z OpenEDR, skorzystają z komercyjnej oferty, jaką jest COMODO Dragon Enterprise.
COMODO Dragon Enterprise
Firmy, które chciałyby przetestować rozwiązanie klasy EDR firmy COMODO, mogą wykorzystać bezpłatny produkt OpenEDR, albo sięgnąć po już gotowe, rozbudowane środowisko bezpieczeństwa.
COMODO Dragon Enterprise projektowane było z myślą o tzw. ochronie Zero-Trust-Protection. Głównym jego zadaniem jest ułatwienie zespołom do spraw bezpieczeństwa podejmowania decyzji na podstawie wskaźników zagrożeń (Indicators of Compromise, IoC).
Oprogramowaniu firmy Comodo zaufało ponad 100 milionów użytkowników i ponad 200000 organizacji na całym świecie. Popularność zyskali dzięki bezkonkurencyjnej ochronie przed zagrożeniami 0-day. Według naszej wiedzy producent Comodo nigdy specjalnie nie rozwijał ochrony w oparciu o sygnatury. Zgodnie z zasadą „no detection, no protection”, dzisiaj jest to już zawodna metoda obrony przed atakami kolejnych generacji. Za to na rozwoju behawioralnych technologii Comodo osiągnęło globalny sukces.
W Polsce dostępna jest oficjalna dystrybucja rozwiązań Comodo, lecz widzimy po rynku, że dystrybutor nie inwestuje w marketing. Biznesowy klient nie zawsze mógł być na bieżąco z produktami Comodo, dlatego czas nadrobić zaległości z AVLab.
Dodatkowe informacje znajdują się pod linkami:
