Endpoint detection and response (EDR/XDR): novi standard u obrani
Organizacije neovisno o svojoj veličini trebaju više od detekcije izoliranih "virusa" na računalima: ono što obično zovemo "antivirusni softver" sada postaje XDR/EDR softver
Antivirusni ili antimalware softver na računalu već se odavno smatra default. Microsoft Windows, na primjer, već dugi niz godina uključuje svoje mogućnosti otkrivanja kroz Defender.
Poslovni i kućni korisnici očekuju da detakcija "virusa" bude ugrađena kao osnovni dio "usluge" korištenja računala (vaš operacijski sustav MS Windows ili Apple OS sada je usluga).
Prije desetak godina postalo je jasno da tradicionalni pristup za otkrivanje zlonamjernog softvera koji se temelji na uzorcima nije učinkovit: zlonamjerni akteri mogu jednostavno proizvesti toliko mnogo varijanti zlonamjernog softvera da će svaki pokušaj da ih se otkrije putem poznatih uzoraka otkrivanja sigurno propasti.
Tržište zlonamjernog softvera toliko je sazrelo da akteri sada mogu isporučiti najsuvremeniju infrastrukturu za napade, od DDoS-a do sofisticiranih napada temeljenih na najnovijim rootkitovima i ranjivostima - malware-as-a-service je dugo vremena profitabilni poslovni model. Dobavljači antimalwarea reagirali su na mnogo načina na ovo širenje zlonamjernog softvera - od praćenja ponašanja (eng. behavior monitoring) do provjera u stvarnom vremenu koristeći neki oblik cloud provjere datoteke ili url-a.
Međutim, čak i ovaj pristup gotovo u stvarnom vremenu sada je zastario na barem dva važna načina.
Prvo, dobivanje upozorenja o otkrivanjima u datotekama ne daje nikakav kontekst: je li se ovo otkrivanje dogodilo na nekoliko drugih računala? Ako da, koje su to krajnje točke? Je li otkrivanje popraćeno poznatim metodama i tehnikama napada (npr. izmjena postavki registry-a, zapisivanje dodatnih datoteka itd.)? Je li otkrivanju prethodila isporuka e-pošte skupu korisnika? Jesu li i ti korisnici pogođeni (jesu li kliknuli na maliciozni link)?
I popis pitanja se nastavlja... kako bi odgovorili na njih, IT administratori obično moraju ručno pretraživati više nepovezanih izvora podataka (logova), možda pomoću vlastito razvijenih skripti (powershell, itd.). Lako je vidjeti kako ovaj pristup nije skalabilan pri upravljanju desecima, stotinama ili tisućama krajnjih točaka odnosno računala.
Drugo, ako IT administrator konačno zaključi da se radi o valjanom zlonamjernom napadu na organizaciju, ključno je brzo ga osujetiti daljinskim odgovorom na širokom rasponu zahvaćenih krajnjih točaka. To uključuje radnje kao što je izolacija uređaja blokiranjem svih mrežnih veza ili vraćanje određenih datoteka na prvobitno stanje, vraćanje unosa u registry i tako dalje. Opet, sve se to može učiniti pomoću alata za udaljenu administraciju (računala u Active Directory-u sve to dopuštaju), ali brzo postaje opterećujuće i zahtijeva puno vještina za ispravnu implementaciju, pogotovo ako su računala raspršena od ureda do kuće (home office).
Vještine i vrijeme su oskudan resurs u organizacijama kada je u pitanju IT. Otkrivanje zlonamjernog softvera je default funkcionalnost koju očekujemo da bude ugrađena u operativni sustav. Ali imati operativnu vidljivost o tome koliko je svaka detekcija doista rizična, njezin utjecaj na sva računala i korisnike, a zatim biti u mogućnosti brzo reagirati - to je ono na što se organizacije moraju usredotočiti, jer zlonamjerni akteri pokušavaju ostati skriveni u okruženju i kretati se organizacijskom IT imovinom što duže. Na sreću, ovakva su rješenja sada dostupna na tržištu kao EDR/XDR i daju novo značenje onome što tradicionalno zovemo "antivirus".