Blog - EPP/EDR: CO TO JEST I JAK MOŻE POMÓC W ZAPEWNIENIU BEZPIECZEŃSTWA TWOJEJ ORGANIZACJI? pf electronic

Koszyk: (pusty)

do kasy suma: 0,00 zł

» Strona główna
» Blog
» EPP/EDR: CO TO JEST I JAK MOŻE POMÓC W ZAPEWNIENIU BEZPIECZEŃSTWA TWOJEJ ORGANIZACJI?

Artykuły

Poznaj 5 głównych zalet podstacji cyfrowych

14-06-2023 , Belden

czytaj całość »

Advantech ASMB-831 AMD EPYC wbudowana płyta serwerowa 9004 ATX Wprowadzenie, Advantech (PL)

13-06-2023 , Advantech

czytaj całość »

Wytrzymały system TS-207 spełnia potrzeby w trudnych warunkach środowiskowych

12-06-2023 , Advantech

czytaj całość »

EPP/EDR: CO TO JEST I JAK MOŻE POMÓC W ZAPEWNIENIU BEZPIECZEŃSTWA TWOJEJ ORGANIZACJI? 0

Dodano: 24-03-2022 w kategorii: Bezpieczeństwo sieci autor: tripwire

EPP/EDR: Co to jest i jak może pomóc w zapewnieniu bezpieczeństwa Twojej organizacji?

Urządzenia punktów końcowych odegrały dużą rolę w atakach złośliwego oprogramowania i ransomware w 2021 roku. Według badań przeprowadzonych przez Help Net Security, badacze bezpieczeństwa wykryli więcej infekcji złośliwym oprogramowaniem i ransomware na punktach końcowych w ciągu pierwszych dziewięciu miesięcy tego roku niż w całym roku 2020. Skrypty ataków wykorzystujące PowerSploit, Cobalt Strike i inne narzędzia były szczególnie rozpowszechnione w tym dziewięciomiesięcznym okresie, odnotowując wzrost o 10% w stosunku do poprzedniego roku, po tym jak wzrosły już o 666% w porównaniu z rokiem 2019.

Wprowadzenie do EPP i EDR
W odpowiedzi na wyniki omówione powyżej, organizacje muszą rozważyć uaktualnienie swoich zabezpieczeń punktów końcowych. Mogą to zrobić za pomocą rozwiązań End Point Protection (EPP) i Endpoint Detection Response (EDR). Oba rozwiązania stanowią podejście do ochrony sieci komputerowych, które są zdalnie połączone z urządzeniami klienckimi. W związku z tym odgrywają one kluczową rolę w ograniczaniu ryzyka udanych ataków wykorzystujących słabo skonfigurowane punkty końcowe i systemy. Rozwiązania te ostrzegają zespoły ds. bezpieczeństwa o potencjalnych cyberatakach i pomagają w usuwaniu błędów w konfiguracji.

Dlaczego firmy potrzebują EPP lub EDR?
Zmiany są stałym elementem środowisk IT w organizacjach. Jednak nie wszystkie zmiany są tworzone w ten sam sposób. W rzeczywistości istnieją trzy różne rodzaje zmian, których zespoły IT i bezpieczeństwa muszą być na bieżąco świadome.

Wewnętrzne zmiany planowane: W przypadku wewnętrznej zmiany planowanej dział IT i dział bezpieczeństwa zatwierdzają pewne modyfikacje systemów i procesów. Zwykle przybiera to formę wdrażania przez pracowników poprawek dostawcy w celu poprawy wydajności i bezpieczeństwa ich urządzeń.
Wewnętrzne zmiany nieplanowane: Nie każda zmiana wewnętrzna jest zatwierdzana przez dział IT i dział bezpieczeństwa. Na przykład, administrator może popełnić błąd przy aktualizacji lub poprawce, która nie powinna być dostarczona. Z kolei użytkownik działu IT może nieumyślnie zmienić swój system lub wykorzystać niezatwierdzone zmiany do wykonania zadania związanego z pracą.
Zmiany zewnętrzne: Zmiany zewnętrzne pochodzą od podmiotów zewnętrznych. W związku z tym zazwyczaj nie są one usankcjonowane przez działy IT i bezpieczeństwa, a także stanowią zagrożenie dla organizacji. Na przykład, zmiana zewnętrzna ma miejsce, gdy złośliwe oprogramowanie infekuje urządzenie końcowe i wykorzystuje je do nawiązania połączenia z serwerem dowodzenia i kontroli (C&C).
Problem polega na tym, że sieci informatyczne są obecnie tak złożone, że nie zawsze jest jasne, co oznacza każda zmiana... lub ile zmian zachodzi każdego dnia na urządzeniach punktów końcowych. Może to powodować, że organizacje przyjmują postawę reaktywną, z trudem reagując na atak, który już trwa. Więcej czasu na reakcję oznacza więcej przestojów, szkody dla reputacji firmy itp.

Jak EPP/EDR może pomóc
EPP powstrzymuje znane i nieznane wirusy oraz złośliwe oprogramowanie przed zainfekowaniem urządzenia końcowego i rozprzestrzenieniem się w sieci. Z kolei EDR jest kolejnym etapem rozwoju EPP. Często zawiera dodatkowe funkcje, takie jak analiza behawioralna i monitorowanie, antywirus oraz funkcje wykrywania i reagowania.

Zarówno EPP, jak i EDR pomagają zespołom IT i bezpieczeństwa odpowiedzieć na ważne pytania, takie jak: "Czy na urządzeniu znajduje się znane złośliwe oprogramowanie?" oraz "Czy na urządzeniu znajdują się nowe aplikacje?". Personel może następnie wykorzystać te informacje do proaktywnego zmniejszenia ryzyka przestojów, kradzieży własności intelektualnej i infekcji oprogramowaniem ransomware. Mogą również zwiększyć swoją zdolność do automatycznego reagowania na zagrożenia, jeśli takie wystąpią.

Ważne zastrzeżenie
Nie wszyscy dostawcy EPP/EDR są tacy sami. Na przykład, wielu dostawców rozwiązań do ochrony punktów końcowych rozpoczyna sprawdzanie urządzeń pod kątem złośliwego oprogramowania na podstawie listy znanych zagrożeń. Może to działać w przypadku prostych ataków, ale nie wystarcza w przypadku zaawansowanych, uporczywych zagrożeń (APT).

Wiodący dostawcy rozwiązań EPP/EDR wykorzystują również analitykę behawioralną, aby obserwować zachowanie systemu i alarmować, gdy zaczyna on zachowywać się w sposób odbiegający od normy. Pomaga to organizacji zidentyfikować nieznane wcześniej zagrożenie. Ponieważ jednak złośliwe oprogramowanie już powoduje, że urządzenie zachowuje się w sposób odbiegający od normy, zespoły reagują później niż to konieczne w łańcuchu zabójstw. Złośliwe oprogramowanie już zmieniło system(y), jest aktywne, uzbrojone i prawdopodobnie rozprzestrzenia się. Nic nie jest w stanie potwierdzić, że konfiguracja urządzeń, z którymi łączą się użytkownicy, i konfiguracja systemów, z których korzystają w celu ochrony, nie uległy zmianie.

EPP/EDR jako część wielowarstwowego podejścia do bezpieczeństwa
Organizacje potrzebują strategii bezpieczeństwa, która uzupełnia EPP/EDR o zarządzanie konfiguracją zabezpieczeń (SCM). Tu właśnie wkracza Tripwire. Rozwiązania Tripwire w zakresie automatycznego monitorowania konfiguracji zwiększają bezpieczeństwo i możliwości ostrzegania rozwiązań EPP poprzez automatyzację procesu weryfikacji, sprawdzanie konfiguracji w czasie rzeczywistym, a także raportowanie o tym, kiedy, kto i dlaczego dokonał zmiany. Możliwości te ułatwiają Tripwire wykrywanie trzech różnych typów zmian w punktach końcowych, omówionych powyżej.

Wewnętrzne zmiany planowane: Tripwire może monitorować zmiany, które zostały wprowadzone do systemów i zatwierdzać je poprzez integracje API z systemami biletowymi, takimi jak Jira lub ServiceNow, aby sprawdzić, czy były to zmiany planowane i kto je zainicjował. Dostarcza również ocenę ryzyka zmiany na podstawie aktualnej podatności systemu na ataki poprzez połączenie API z systemem SIEM.
Wewnętrzne zmiany nieplanowane: Tripwire zapewnia takie same możliwości jak w przypadku wewnętrznych zmian planowanych z tą różnicą, że może przywrócić systemy do znanego, dobrego stanu. Zmniejsza to ryzyko, oszczędza czas zespołów IT, ponieważ nie muszą one obsługiwać nieuczciwych konfiguracji, oraz poprawia zarządzanie procesami dzięki możliwościom audytu.
Zmiany zewnętrzne: Tripwire zapewnia głęboki poziom zrozumienia, audytu i raportowania zmian zachodzących w przedsiębiorstwie. Wykorzystuje integracje z platformami SIEMs/SOAR/ ticketing, aby szybko identyfikować potencjalnie szkodliwe zmiany, oceniać ryzyko związane z tymi zmianami, a także umożliwiać szybką reakcję i odzyskiwanie danych w celu zmniejszenia ogólnego ryzyka i zapewnienia optymalnej wydajności systemów.

Autor: PHIL LABAS

#bezpieczenstwo sieci

Komentarze do wpisu (0)

Wersje językowe

Wybierz język

Kategorie blog

Ethernet przemysłowy (116)
Bezpieczeństwo sieci (83)
Nowości produktowe (74)
Materiały instruktażowe (141)
Nowe rozwiązania (67)
Aplikacje | sensoryka przemysłowa | ipf electronic (13)
Nowości produktowe | złącza i koncentratory | lumberg automation (25)
Nowości produktowe | sieci przemysłowe | advantech (36)
Bezpieczeństwo sieci przemysłowych (10)

Newsletter

Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.

do góry