Несмотря на то, что нет никакого спора об эффективности EDR против значительной части современных угроз, в настоящее время доступно новое поколение решений «EDR следующего поколения» ( узнайте больше здесь ), которые помимо всех возможностей EDR выходят за рамки этого для защиты против известных векторов атак, которые EDR не охватывает, например, с участием пользователей и сетей.
«Многие люди по незнанию смешивают две разные вещи - защиту конечных точек и защиту от взлома», - объяснил Эяль Грунер, соучредитель Cynet (решение EDR следующего поколения).
«Совершенно верно, что многие атаки начинаются в конечной точке и включают вредоносные файлы и процессы, что делает EDR идеальным решением для конечной точки. Однако фактическая поверхность атаки намного шире, и, в конце концов, это не конечные точки, которые вы хотите защитить, - это ваша организация ».
Грюнер, бывший хакер в «белой шляпе» (начиная с 15 лет), также основал BugSec, крупнейшую израильскую консалтинговую компанию по кибербезопасности. Сегодня он является всемирно признанным экспертом в инструментах, методах и практиках атакующего.
«Подумайте об этом так: по определению, активность каждого злоумышленника порождает какую-то аномалию. Это имеет смысл только потому, что то, что мы считаем« нормальным поведением », не включает в себя компрометацию ресурсов и кражу данных. Эти аномалии являются якорем, который позволить продуктам безопасности - или аналитикам угроз в этом отношении - определить, что происходит что-то плохое, и заблокировать это ».
Грюнер сказал, что эти аномалии могут проявляться в трех основных местах - выполнение процесса, сетевой трафик или активность пользователя. Например, вымогатель генерирует аномалию выполнения процесса, поскольку существует процесс, который пытается взаимодействовать с большим количеством файлов.
С другой стороны, многие виды бокового движения включают аномалию сетевого трафика в виде необычно высокого трафика SMB. Аналогичным образом, когда злоумышленник входит в систему на критически важном сервере со скомпрометированными учетными данными учетной записи пользователя, единственной аномалией является поведение пользователя. В обоих случаях невозможно раскрыть атаку только с помощью мониторинга процессов.
«EDR является отличным инструментом для атак, которые можно идентифицировать по аномалиям процессов», - сказал Грюнер. «Он находится на конечной точке и отслеживает поведение процессов, поэтому вы достаточно защищены от этой группы угроз. Но как насчет всего остального? Существует много основных векторов, которые работают с сетевым трафиком и поведением пользователей, не вызывая ни малейшего отклонения процесса и EDR практически слеп к этим угрозам ".
Учетные данные с высокими привилегиями необходимы для доступа к ресурсам в среде. Злоумышленник может попытаться сбросить их из памяти скомпрометированной конечной точки. EDR, вероятно, поймает это, потому что это вызовет аномалию процесса.
Однако хеши паролей также могут быть получены путем перехвата трафика внутренней сети (с использованием таких методов, как отравление ARP или ответчик DNS), который можно идентифицировать только путем мониторинга аномалии сетевого трафика - и EDR может полностью пропустить это.
«Исходя из моего опыта, злоумышленники, которые хорошо справляются со своей работой, обычно быстро узнают, какие меры защиты приняты, и действуют соответственно», - сказал Грюнер. «Если есть хороший EDR, они перенесут свои методы на сетевые и пользовательские поля и будут работать свободно под радаром EDR».
«Итак, если вам нужен компонент в вашем стеке безопасности, который будет защищать вас только от атак на основе процессов, таких как вредоносные программы, эксплойты и т. Д., EDR может обеспечить покрытие. Если вы ищете защиту от взломов, вам необходимо мыслить шире - вот почему мы создали Cynet 360 ».
Cynet 360 постоянно отслеживает процессы, сетевой трафик и активность пользователей, обеспечивая полный охват векторов атак, которые используются в современных современных атаках. По сути это означает все возможности EDR, расширенные и интегрированные с User Behavior Analytics и Network Analytics, и дополненные надежным уровнем обмана, который позволяет операторам создавать ложные файлы данных, пароли, сетевые ресурсы и т. Д. И обманывать злоумышленников, чтобы заманить их присутствие.
Но Cynet дает гораздо больше, чем просто добавочная стоимость. «Это не просто угрозы, основанные на процессах, сетевые угрозы и угрозы, исходящие от пользователей, - сказал Грюнер. - Чем более продвинутый злоумышленник, тем лучше он скрывает свое присутствие и активность».
«Только объединяя эти сигналы в единый контекст, вы можете определить, что происходит что-то вредоносное. Cynet 360 автоматизирует создание этого контекста, чтобы раскрыть множество угроз, которые в противном случае невидимы».
«EDR - удивительная вещь, и именно поэтому Cynet 360 включает в себя все свои возможности - и даже больше. Одного EDR недостаточно для защиты от нарушения звука, и именно поэтому мы предоставили Cynet 360 все остальное».