Dla wielu osób zajmujących się bezpieczeństwem sieciowym temat nie jest nowy. Niektórzy dostawcy zaawansowanych urządzeń do ochrony sieci, np. firewalli nowej generacji czy UTM-ów, oferowali podobne rozwiązania już kilka lat temu. Tak było i jest w przypadku firmy WatchGuard Technologies, która razem z urządzeniami UTM zapewnia ochronę końcówek w postaci TDR (Threat Detection and Response). Ostatnie wchłonięcie przez amerykańskiego producenta firmy Panda Security wzmocniło jego pozycję na rynku dostawców bezpieczeństwa oraz pozwoliło na włączenie do portfolio produktowego znanych i cenionych wcześniej systemów.

Najważniejszym z nich jest Panda Adaptive Defense 360, czyli pakiet zabezpieczeń, który integruje rozwiązania z zakresu ochrony punktów końcowych oraz wykrywania i reagowania na zagrożenia (EDR), z unikalną usługą 100% klasyfikacji procesów. Całość dostarczana jest w ramach jednego, lekkiego agenta, a połączenie tych rozwiązań i usług zapewnia bardzo szczegółowy wgląd w aktywność wszystkich stacji roboczych, bezwzględną kontrolę każdego z działających procesów oraz redukcję powierzchni potencjalnego cyberataku.

EDR czy tradycyjny antywirus?

Coraz częściej pojawiają się głosy, że EDR powinien zastąpić sygnaturowe antywirusy, które nie radzą sobie z bardziej zaawansowanymi atakami. W rzeczywistości, dzisiejsze antywirusy oprócz tradycyjnej analizy łączą w sobie sygnatury ogólne, heurystykę, firewall, reputację adresów URL, wykrywanie kontekstu, zarządzanie podatnościami, kontrolę aplikacji i inne funkcje, które mogą skutecznie ograniczyć ryzyko infekcji, a w rezultacie wycieku bądź utraty danych. Są to technologie, które świetnie współpracują z rozwiązaniami EDR, przynosząc szereg korzyści, takich jak brak konieczności otwierania i detonacji plików (dzięki integracji z bazami chmurowymi), ograniczenie współczynnika fałszywych wyników pozytywnych (co zapewnia efekt skali), czy optymalizacja wydajności. Warto więc przede wszystkim postawić na bezpieczeństwo i w tym celu wykorzystywać obie technologie.

Przeanalizujmy teraz na przykładzie pakietu Panda Adaptive Defense 360 i usług w ramach niego dostarczanych, jaką dodatkową ochronę może zapewnić system EDR.

Zero zaufania dla aplikacji

„Zero-Trust Application Service” to w pełni zautomatyzowana usługa, niewymagająca żadnego wkładu i decyzji ze strony użytkownika końcowego ani zespołów IT. Składa się z 3 kluczowych elementów:

1. Ciągłe monitorowanie aktywności punktów końcowych

Aktywność każdej aplikacji działającej na punktach końcowych, niezależnie od jej charakteru, jest monitorowana i przesyłana do chmury w celu jej ciągłej klasyfikacji. W ten sposób można zapobiegać wykonywaniu złośliwego oprogramowania, a nawet wyrafinowanym zagrożeniom, takim jak ataki w ramach łańcucha dostaw.

2. Automatyczna klasyfikacja, oparta na sztucznej inteligencji

Zautomatyzowane klasyfikacje są dokonywane w chmurowym systemie AI, gdzie uruchamiany jest szereg algorytmów uczenia maszynowego, przetwarzających setki atrybutów statycznych, behawioralnych i kontekstowych w czasie rzeczywistym. Atrybuty są pobierane z telemetrii chronionego środowiska oraz z zestawu fizycznych sandboxów, w których detonowane są pliki wykonywalne. Obecnie wskaźnik zautomatyzowanej klasyfikacji wynosi 99,98%, więc tylko 0,02% procesów wymaga interwencji ekspertów producenta. System klasyfikacji AI jest zatem samowystarczalny, skalowalny do dużych ilości plików, działa w czasie rzeczywistym i nie opiera się na żadnych danych wejściowych od użytkownika końcowego.

3. Kontrola aplikacji bazująca na analizie ryzyka

Odnosi się do trybów pracy agenta działającego na urządzeniach końcowych. Posiada dwa poziomy ochrony: domyślne blokowanie dla wszelkich nieznanych aplikacji i plików przychodzących z zewnątrz (pobieranie z Internetu, poczta elektroniczna, zdalne lokalizacje itp.) lub domyślne blokowanie dla wszelkich nieznanych aplikacji i plików, niezależnie od ich pochodzenia (z sieci, z samego punktu końcowego, z zewnątrz itp.). Ten drugi zapewnia 100% zaufania do wszystkich uruchomionych procesów.

Behawiorystyka kontekstowa, rozwiązania anty-exploitowe i wykrywanie złośliwego wykorzystania narzędzi administracyjnych

Ciągły monitoring aktywności na punktach końcowych pozwala agentowi pełnić rolę „czujnika” i informować platformę chmurową nie tylko o uruchamianych plikach, ale także o kontekście, w którym to nastąpiło (np. co się stało tuż przed, którzy użytkownicy próbują uruchomić konkretne polecenie lub aplikacje, jaki ruch sieciowy jest generowany, jakie pliki danych czy parametry są dostępne itp.). Pozwala to na zidentyfikowanie, najpierw na punkcie końcowym, nieprawidłowych zachowań lub podejrzanej aktywności i zaklasyfikowanie ich jako wskaźników ataku (IoAs), z wysokim stopniem prawdopodobieństwa i bez fałszywych wyników pozytywnych. Zapewnia to bardzo skuteczny sposób ochrony przed wyciekiem informacji czy zaszyfrowaniem dysków przez ransomware.

Panda Adaptive Defense 360 zawiera też dynamiczną technologię anti-exploit, która monitoruje wewnętrzne procesy, poszukując anomalii. Jest wysoce efektywna, niezależnie od wykorzystanego w ataku exploita, i uzupełniona o autorską analizę RAM, która sprawdza pewien fragment pamięci w określonych momentach, po wywołaniu określonych zdarzeń lub zachowań. W ten sposób można odkryć nowe wzorce ataków różnego typu. Technologia ta może skutecznie chronić przed wszelkiego rodzaju atakami, w szczególności atakami typu „zero-day” dotykającymi przeglądarki internetowe, typowe aplikacje często wykorzystywane w atakach celowych, jak Java, Adobe Reader, Adobe Flash, Microsoft Office, odtwarzacze multimedialne itp., czy nieobsługiwane systemy operacyjne, jak np. Windows XP.

Polowanie na zagrożenia

W skład Panda Adaptive Defense 360 wchodzi również usługa „Threat Hunting Service”, która jest obsługiwana i zarządzana w całości przez analityków producenta. Obsługują oni zastrzeżoną, chmurową platformę do wykrywania zagrożeń i reagowania na incydenty, która koordynuje pracę analityków L1, L2 i L3, a także łowców zagrożeń i osób reagujących na incydenty, w celu zminimalizowania średniego czasu wykrycia oraz średniego czasu reakcji.

Analitycy mogą również tworzyć nowe reguły reprezentujące nowe oceny skutków, które następnie są dostarczane do punktów końcowych, chroniąc je możliwie jak najwcześniej przed różnego rodzaju atakami.

Usługa ta odziedziczyła całą cybernetyczną inteligencję, udoskonalaną dzięki wieloletniemu doświadczeniu w badaniach zagrożeń, historycznej widoczności oferowanej przez rejestr zachowań aplikacji, użytkowników i maszyn od ponad 30 lat oraz dzięki sojuszom z międzynarodowymi organizacjami, takimi jak CyberThreat Alliance, w ramach której odbywa się wymiana informacji o zagrożeniach i odpowiadającym im reakcjach.

Podsumowując, EDR to zestaw narzędzi do automatycznego wykrywania i reagowania na zagrożenia, które zamiast identyfikować złośliwe oprogramowanie raczej skupiają się na detekcji podejrzanych procesów i działań. Dlatego powinien być stosowany obok tradycyjnych antywirusów, lub w pakiecie razem z nimi, jak ma to miejsce w przypadku WatchGuard Panda Adaptive Defense 360. W dobie pracy zdalnej, nowoczesnych wektorów ataku i rosnącej liczby zagrożeń typu „zero-day”, wdrożenie EDR wydaje się kolejnym, naturalnym krokiem, podejmowanym przez działy IT i security, które chcą zapewnić bezpieczeństwo pracy swoim użytkownikom.

Dystrybutorem rozwiązań WatchGuard w Polsce jest Veracomp.

Przeczytaj więcej na stronie watchguard.veracomp.pl.