אנטי וירוס OUT – פתרון EDR IN
בעולמות אבטחת המידע לעולם אין שקט. התקפות חדשות, פגיעות חדשה, קוד זדוני, מתקפת כופרה וכ”ו… החוק הראשון שיש להבין הוא שאין הגנה 100%!
אז אך מתמודדים מול כל האיומים הללו? ומהי הדרך אתם שואלים?
ובכן, שאלה מעולה.
כדי להתמודד עם מגוון האיומים אנו משתמשים בשיטת שכבות הגנה.
החל בנקודת הקצה שזהו המחשב או הטלפון, ומשם לרשת התקשורת במשרד או בבית (לא לזלזל בחלק של הבית במיוחד בתקופת הקורונה ונסביר בהמשך). הגנה על השרתים וציוד התקשורת, בחומת האש, בשירותים השונים מרשת האינטרנט והעננים השונים.
במאמר זה אני רוצה להתמקד בנקודות הקצה, מאחר שזוהי החולייה הפגיעה ביותר. האקרים לא לחינם הפסיקו לתקוף חומות אש ומוצרי אבטחה מתקדמים ועברו “לחולייה” החלשה, והפגיעה, שהם משתמשי הקצה ותחנות העבודה או הטלפונים שלהם. אימייל תמים, לינק ערמומי, בקשה להחלפת סיסמא וזהו, נדבקנו או גנבו לנו את הזהות הדיגיטלית שלנו!
לכולנו יש אנטי וירוס כלשהו בתחנות הקצה. גם מיקרוסופט שילבה אחד במערכת ההפעלה שלה, כאשר הוא לא רע בכלל ועושה עבודה טובה בכל מה שקשור בווירוסים…
כפי שהזכרתי מעלה, האקרים עברו לתקוף את תחנות הקצה ואנו רואים את רמת התחכום והיצירתיות בכתיבת ההתקפות, זוהי חזית מאתגרת ולא פשוטה כלל.
תוכנות אנטי וירוס מסורתיות נכתבו על מנת לספק הגנה שפשוט לא כל כך רלוונטית להתקפות הסייבר המתוחכמות שהתפתחו בשנים האחרונות.
אז מה עושים? עוברים ל- EDR! מה זה EDR? טוב ששאלתם…
ראשי התיבות הן Endpoint Detection & Response – זוהי פלטפורמת ניטור וזיהוי רציפה של נקודות הקצה ותגובה לאירועים בזמן אמת בכל הווקטורים בצורה אוטומטית על בסיס מדיניות מוגדרת מראש .כל זאת, בעזרת מנועי אבטחה, למידת מכונה, בינה מלכותית ופורנזיקה דיגיטלית. זמן התגובה ויכולות המערכת יודעים להגיב לאירוע באמצעות הצלבה של אלפי נתונים משפיעים וחיזוי של כוונות התוקף וחסימתם, כל זה ללא מגע יד אדם.
שנחפש מוצר EDR נרצה לדעת שיש לו את זה…
- זיהוי התנהגויות חשודות
- תיקון אוטומטי
- ניטור פגיעות
- שליטה בחיבור התקנים
- חקירת ההתקפה
- מודיעין איומים
- מלכוד איומים
- אנטי כופרה (חזרה מהצפנה)
- הגנה מאיומים לא מבוססי קובץ
- דיווח למערכות SOC (מוקדי אבטחה אנושיים)
- קלות ניהול והבנת המוצר
EDR הוא חלק מרכזי בהגנה על נקודות הקצה אבל לא היחיד, כחלק מהגנה בקצה נרצה לתת מענה גם ל:
- עדכוני אבטחה
- זליגת מידע
- ניטור וניהול מצאי
- ניהול זהויות משתמשים
- בקרת גישה לרשת
- חיבור מרוחק
- הצפנה
- גיבוי
האיומים לא הולכים לשום מקום ואנחנו רוצים להגן על העסקים, המידע והנכסים הדיגיטליים שלנו. מערכות EDR יודעות לחזות התנהגויות והן בעצם נשק ההגנה העתידי שרק יהיה מתוחכם יותר ויותר ככל שההתקפות יאתגרו את אותן המערכות.
בחודשים האחרונים חזינו בהתקפות אשר ניצלו את העבודה מהבית וחלק ממנגנוני האבטחה שנמצאים ומגנים עלינו במשרדים נשענו על הגנות נקודות הקצה בלבד והתוצאות בהתאם. בעלי עסקים הבינו שניתן להמשיך לעבוד גם מהבית או מחוץ למשרד, אבל חובה להיות מוגנים וערוכים לכל תרחיש תקיפה שינסה לנטרל לנו את הגישה לנתונים שלנו.