Technologie ESET EDR aneb pomocník v boji proti moderním kyberútokům

Co se skrývá pod zkratkou EDR? Jak EDR funguje a jakým způsobem může doplnit tradiční bezpečnostní řešení? Jak vám v této oblasti může pomoct AUTOCONT? O tom všem se dočtete v následujícím článku.

Co je to vlastně EDR?

EDR je zkratka slov Endpoint Detection and Response. Jde o technologii, která slouží k odhalení škodlivé, či podezřelé aktivity na počítači a následné reakci na tuto aktivitu. Tato aktivita nemusí mít v zásadě malwarovou povahu. Detekce technologií EDR nemusí hned znamenat virovou nákazu počítačové sítě. Technologie reaguje na porušená pravidla. Velmi obecně řečeno, EDR hlídá uživatele, operační systém, aplikace a vlastně celou síť a veškeré odchylky od standardního chování automatizovaně hlásí.

Díky tomu lze odhalit i velmi pokročilé kybernetické útoky, které jsou čím dál častější. Pokud útočník získá přístup do vaší počítačové sítě, jeho chování je srovnatelné s běžným administrátorem a v rané fázi je antivirem nezjistitelné. Útočník se pak může v síti skrývat a pohybovat i dlouhé měsíce, než zaútočí. S EDR technologií dokážete na veškeré podezřelé aktivity patřičně reagovat a pokud EDR systém detekuje hrozbu, lze ji snadno zastavit. A to například odpojením infikované stanice od sítě, ukončením podezřelého procesu, detailní investigací pomocí vzdáleného terminálu apod. Díky této technologii tak dokážete útočníky zastavit již v prvních krocích útoku.

Kvalitní EDR technologie musí být schopna poskytnout i rozšířenou viditelnost do vaší sítě. Informace o všech běžících procesech na počítacích a serverech, lokálních spustitelných souborech, skriptech, včetně jejich obsahu anebo síťové komunikace jsou k dispozici k prohlížení a vyhodnocení ve webové konzoli. Díky detailním informacím máte přehled nejen o detekcích samotných, ale také o všech souvisejících událostech v síti. Důležitý je kontext a pochopení, co k detekci vedlo, kdy incident začal, jaké stanice a kteří uživatelé byli dotčeni. Společně s vysvětlením k jednotlivým detekcím a doporučením pro nápravná nebo preventivní opatření můžete vaši síť zabezpečit i proti velmi sofistikovaným útokům.

Optimalizace řešení

Aby EDR technologie mohla poskytovat správné a relevantní informace, je potřeba tento systém odladit. Znamená to, říct EDR systému, jaké je pro vaši organizaci normální chování počítačů, aplikací anebo uživatelů. To je zásadní rozdíl oproti antivirovým řešením. Antivirus nainstalujete a provedete počáteční konfiguraci. Toto u EDR neplatí. Pokud chcete EDR využívat plnohodnotně a mít přehled o všem, co se ve vaší síti děje, je zapotřebí mít tým specialistů, kteří budou této technologii věnovat čas a budou s ní aktivně pracovat.

Podobně jako antivirová řešení i EDR umí automatizovaně reagovat na detekované události. Při automatizované reakci je nutné přesně definovat scénář, kdy a jakým způsobem má EDR zareagovat. V opačném případě může dojít k nechtěnému omezení sítě a znepřístupnění kritických systémů. Z toho důvodu je častější manuální reakce na hrozbu. Bezpečnostní specialista, který s EDR pracuje, se rozhoduje na základě maxima dostupných informací a přesně ví, na co cílit tak, aby nejméně omezil provoz sítě a zároveň zastavil možnou počínající hrozbu.

EDR není náhrada za antivirové řešení

Hledáte způsob, jak zvýšit zabezpečení své sítě? Možná jste už slyšeli, že antivirová řešení nejsou schopna reagovat na nové hrozby a je potřeba je nahradit novou, pokročilejší technologií. V tomto kontextu se nejčastěji zmiňuje právě EDR. Pojďme si ale tyto rozdílné technologie srovnat a říct si, v čem se liší a v jakých případech pomůže EDR, a kdy antivirové řešení.

Antivirová řešení slouží primárně k odhalení a zastavení škodlivého kódu. Antiviry disponují technologiemi schopnými odhalit i ty nejpokročilejší malwarové hrozby. Antivirus chrání všechny vrstvy operačního systému. Ať je to operační paměť, síťová komunikace nebo třeba UEFI úložiště. Malware se umí ukrýt téměř kdekoliv v systému i mimo něj. Tato antivirová řešení fungují autonomně. Povětšinu času ani nevíte, že antivir na stanici pracuje. Pokud dojde k detekci škodlivého kódu, antivir se neptá a okamžitě hrozbu blokuje.

EDR řešení umí reagovat na porušená pravidla a podezřelé chování počítačů, programů nebo uživatelů. Díky tomu odhalíte útočníky, kteří se nějakým způsobem infiltrovali do vaší sítě a snaží se ji potichu ovládnout. S EDR také odhalíte původ malwarové nákazy, protože díky dodatečným informacím získáte kontext k malwarové detekci a jednoduše pak určíte například, kdo otevřel škodlivou přílohu a zda se nákaza nerozšířila dále do sítě.

Antivirové & EDR řešení v synergii

Ze srovnání je patrné, že tyto technologie jsou natolik rozdílné, že nemá smysl jednu nahrazovat druhou. Ideálním řešením je tyto technologie spojit a využívat přínosů obou.

Takto k tomu přistoupil i ESET. Jako základ pro EDR řešení ESET Enterprise Inspector je použito kvalitní a pravidelně oceňované antivirové řešení ESET Endpoint Security. Antivirové řešení ESET chrání všechny vrstvy operačního systému a díky tomu má z těchto zdrojů velmi detailní informace, které mohou být následně zpracovávány EDR řešením ESET Enterprise Inspector. Současně s tím jsou zachovány nízké HW nároky, protože nevzniká potřeba čerpat nová data pro analýzu. Antivirová část spolehlivě a hlavně automatizovaně odbaví malwarové detekce. Tím je zachována nízká míra false positives. S EDR řešením ESET Enterprise Inspector se můžete soustředit a cílit na podezřelé aktivity, které by mohly v konečném důsledku vyústit v úspěšný kybernetický útok.

Hon za lidskými zdroji aneb hledáme „bezpečáka“

Jak již vyplývá z předchozích řádků, k EDR řešení je potřeba člověka, který bude mít čas a znalosti veškeré detekce vyhodnotit. Pokud vás EDR technologie zaujala a chcete z ní využít maximum, ale zároveň nemáte ve firmě nikoho, kdo by toto řešení obsluhoval, obraťte se na nás a využijte možností, které nabízí naše bezpečnostní dohledové centrum AC SOC. Získáte nejen naše certifikované odborníky, ale i možnost zahrnout do vyhodnocení další bezpečnostní produkty. Bezpečnost je skládačka různých dílců a v rámci služeb AC SOC máte možnost korelovat informace z různých zdrojů, jako jsou např. EDR řešení, operační systém, firewall, NAC, NBA a další technologie.

Obraťte se na profesionály

AUTOCONT je oficiálním autorizovaným partnerem společnosti ESET se statusy ESET Platinum Partner a ESET Security Partner. Tyto dosažené úrovně znamenají, že specialisté na kybernetickou bezpečnost společnosti AUTOCONT splnili náročné podmínky pro všechny potřebné certifikace nastavené ESETem. V říjnu 2021 navíc AUTOCONT získal jako jeden z prvních partnerů v České republice certifikaci ESET Enterprise Inspector Optimization Specialist, díky které může svým zákazníkům nabídnout implementaci a optimalizaci ESET EDR řešení.

Potřebujete více informací?

V případě, že vás výše uvedené téma zaujalo, máte specifické dotazy či zájem o upřesnění k vaší konkrétní situaci, neváhejte kontaktovat našeho AC specialistu Lukáše Hrubého - lukas.hruby@autocont.cz. Rádi vám poradíme.

Chcete více informací?