Βρισκόμαστε ήδη σχεδόν 50 χρόνια από τον ιό Creeper στα mainframe της DEC, το 1971 & 33 χρόνια από τη «γέννηση» της McAfee το 1987, και παραμένει hot topic ένα από τα μεγαλύτερα commodities της Πληροφορικής και πλέον (και) του Cyber Security: η Προστασία των Τερματικών.
Σας φαίνεται περίεργο; Εμένα όχι! Ξεκινάμε λοιπόν…
Αργύρης Μακρυγεώργου, MSc InfoSec, CISSP
Endpoint Protection Subject Matter Expert
Head of Managed Cyber Security Services, Algosystems S.A.
Παρακάτω θα προσπαθήσω να απαντήσω σε μερικά συνήθη πλέον ερωτήματα σχετικά με το Endpoint Protection, συμπεριλαμβανομένου και του περιβόητου «Ποιο είναι το καλύτερο εκεί έξω;», και να ξεκαθαρίσω το θολό για πολλούς τοπίο Antivirus (AV) vs Advanced Threat Protection for Endpoint (ATP4E) vs Endpoint Detection & Response (EDR) vs Managed Detection & Response (MDR) vs Endpoint Intelligence (EI) vs YetAnotherSuperHyperEndpointSolution…
Σύνηθες ερώτημα Νο. 1 : Το επίπεδο της πρόσβασης που έχει η οποιαδήποτε endpoint λύση στα αρχεία του υπολογιστή μας.
Πολύ συχνό άγχος, εμπλουτισμένο με ανησυχίες νέας γενιάς όπως που γίνεται το detonation (;), που γίνεται το sandboxing (;), «ανεβαίνει» το ίδιο το αρχείο στο cloud ή τα μόνο τα metadata αυτού (;) κλπ. κλπ.
Επί τούτου, ένα μόνο σχόλιο: Από την εποχή του γνωστού σε όλους μας Norton Antivirus, ακόμη και τα απλούστερα antivirus είχαν, έχουν & θα έχουν file-level access στα αρχεία μας. ΕΤΣΙ ΔΟΥΛΕΥΟΥΝ! Και όσον αφορά στο τι «ανεβάζουν» στο «σύννεφο», είναι θεμιτό να το εξετάζουμε, απλά ας σκεφτούμε και πάλι, ότι όλο το “πέρα-δώθε” με τους servers της κάθε παραδοσιακής AV λύσης ενείχε & ενέχει ανταλλαγή πληροφορίας – η διαφορά είναι ότι στο παρελθόν, οι 5 public IPs του κάθε κατασκευαστή, με τις οποίες “μίλαγε” η λύση μας, δεν ήταν γνωστές ως Cloud, συνεπώς το όλο concept ήταν σχεδόν εξ’ορισμού, λιγότερο «τρομακτικό».
Σύνηθες ερώτημα Νο. 2 : Είναι το EDR ίδιο με το ATP, πως διαφέρουν από ένα AV & τι σημαίνει το Managed στο MDR.
Ξεπερνώντας από διαφημιστικές τοποθετήσεις του κάθε κατασκευαστή, in a nutshell έχουμε τα εξής:
- Παραδοσιακό AV: λειτουργεί κυρίως με definitions & έχει το ρόλο να «πιάσει» από ήδη γνωστούς ιούς.
- ATP: λύσεις που εισάγουν τη διαχείριση των λεγόμενων zero-days, χρησιμοποιώντας μεθόδους που μπορούν να προσφέρουν με σχετική ακρίβεια μία «ετυμηγορία», για τον αν κάτι είναι κακόβουλο ή όχι. Σε από περιπτώσεις έχουν και ένα ενσωματωμένο στοιχείο που λειτουργεί ως παραδοσιακό AV.
- EDR: πολύ κοντά ως λειτουργικότητα στο ATP, με επίκεντρο από δυνατότητες που δίνει στο διαχειριστή όταν έχει αναγνωριστεί ένα ή περισσότερα τερματικά ως compromised, από τα «εξωτικά» isolation & virtual patching. Απαραίτητο συστατικό μιας ώριμης Managed Security Services υπηρεσίας αν με ρωτάτε…
- MDR: EDR που γίνεται Managed είτε από το Vendor είτε από τον Integrator (ανέφερα τον όρο MSS πριν από 5 δευτερόλεπτα) και (από)δίδεται στον τελικό αποδέκτη (πελάτη) ως υπηρεσία. Η τεχνολογία είναι ίδια με του EDR – αλλάζει μόνο το ποιος θα εκτελέσει το isolation για παράδειγμα. Άρα το MDR έχει να κάνει με το service κομμάτι και δεν αποτελεί το next gen EDR ή κάτι…
Σύνηθες ερώτημα Νο. 3 aka Million Dollar Question: Ποια είναι η καλύτερη λύση endpoint protection εκεί έξω;
Ελπίζω να μην περιμένετε να διαβάσετε ονόματα από vendors γιατί, πραγματικά, η απάντηση δεν είναι μονοσήμαντη.
Το Gartner προσεγγίζει με κάποια metrics το θέμα κάθε χρόνο, όμως η πλήρης αλήθεια θεωρώ πως διαμορφώνεται ως εξής:
Μιλώντας ως τελικοί πελάτες, οφείλουμε να επιλέγουμε
- λύσεις που εμπιστευόμαστε τους integrators που τις υλοποιούν,
- κατασκευαστές που εκπροσωπούνται από παραπάνω από 1-2 partners στη χώρα ευθύνης που μας ενδιαφέρει, ώστε να μην είμαστε δέσμιοι σε 1-2 εταιρίες υποστήριξης εσαεί,
- λύσεις που το post-sales support του κατασκευαστή είναι αποδεδειγμένα γρήγορο και αποδοτικό &
- λύσεις που ταιριάζουν στα οικονομικά μας (προφανώς!).
Η Προστασία των Τερματικών είναι άκρως σημαντική μιας και πίσω από κάθε τερματικό κάθεται, σχεδόν πάντα, ένας χρήστης. Ο χρήστης που ως άνθρωπος είναι επιρρεπής σε λάθη, που μπορεί να πράξει με τρόπο που κανείς αλγόριθμος δε μπορεί να προβλέψει, που πήγε σήμερα στη δουλειά του μην έχοντας ξυπνήσει και πολύ καλά!
Απολύτως θεμιτό!
Συνεπώς let’s embrace this commodity & προχωράμε μπροστά…