Φανταστείτε (αν και οι περισσότεροι το έχουμε ζήσει) ένα δίκτυο υπολογιστών που το ένα endpoint μετά το άλλο εμφανίζουν ασυνήθιστη συμπεριφορά και τελικά δυσλειτουργία.
Σωτήρης Σαράντος
Trend Micro Product Manager
sales@digitalsima.gr
Digital Sima – www.digitalsima.gr
Αργά ή γρήγορα αντιλαμβανόμαστε ότι κάτι περίεργο συμβαίνει. Η λύση endpoint security, το firewall, τα συστήματα ασφαλείας που χρησιμοποιούμε δεν δείχνουν καμία ύποπτη κίνηση. Ψάχνουμε να δούμε τι πληροφορίες μπορούμε να συγκεντρώσουμε από το ίδιο το endpoint (event viewer, κλπ).
Στο μεταξύ ο χρόνος «τρέχει», η δουλειά μένει πίσω και κυρίως η περίεργη συμπεριφορά επεκτείνεται και στο υπόλοιπο δίκτυο.
Απομονώνουμε τα «ύποπτα» endpoints, αν δεν το έχουμε κάνει εξαρχής προληπτικά και συνεχίζουμε το troubleshooting.
Μετά κόπων, βασάνων, σίγουρα χρόνου και ενδεχομένως έκτακτων χρηματικών εξόδων, ίσως σταθούμε αρκετά τυχεροί ή και έμπειροι ή και ικανοί ώστε να συνδυάσουμε τα δεδομένα και τα logs και βρούμε την πηγή του προβλήματος.
Το ερώτημα είναι, έχουμε αρκετή πληροφορία, πόρους ή εργαλεία για:
- να λύσουμε το πρόβλημα;
- να βρούμε τον «ασθενή-0» και ποια αδυναμία μας χρησιμοποίησαν;
- να ελέγξουμε την επέκταση της ζημιάς στο υπόλοιπο δίκτυο;
- να ενισχύσουμε τα συστήματα ασφαλείας για το μέλλον ;
Όπως φαίνεται λοιπόν – εκτός από την πρόληψη – οι βασικοί μηχανισμοί άμυνας είναι η ανίχνευση και ιχνηλάτηση των απειλών. Παράλληλα, στα δίκτυα υπολογιστών στο 90% των επιθέσεων έχουμε να αντιμετωπίσουμε zero-day attacks, με την μετάλλαξη τους να συντελείται εύκολα και με εκθετικούς ρυθμούς.
Όλο και περισσότερες πλατφόρμες πληροφοριών που χρησιμοποιούμε έχουν μεταφερθεί εκτός εταιρείας. Το email μας, οι file και application servers μας, φιλοξενούνται στο σύννεφο. Τα συστήματα ασφαλείας που χρησιμοποιούμε συνήθως δεν είναι συνδεδεμένα μεταξύ τους. Οι ειδοποιήσεις είναι πάρα πολλές και οργανισμοί υπερφορτωμένοι δεν έχουν το χρόνο ή τους πόρους. Η διερεύνηση απειλών σε όλες αυτές τις διαφορετικές λύσεις δημιουργεί μια πολύ αποσπασματική και μη αυτόματη διαδικασία έρευνας που μπορεί να χάσει εντελώς την ουσία λόγω έλλειψης ορατότητας και συσχέτισης.
Πολλές λύσεις ανίχνευσης και απόκρισης εξετάζουν μόνο τα endpoints – EDR (Endpoint Detection and Response) – παραλείποντας τις απειλές που περνούν από τα emails των χρηστών, τους servers, τα workloads στο cloud και τα δίκτυα. Αυτό έχει ως αποτέλεσμα μια πολύ περιορισμένη εικόνα των δραστηριοτήτων του εισβολέα και μια ανεπαρκή, ελλιπή αντίδραση.
Η τεχνολογία XDR (Cross Layer – eΧtended Detection & Response) της Trend Micro μας δίνει όλες αυτές τις απαντήσεις που μας ενδιαφέρουν.
Οι εγγενείς αισθητήρες και τα σημεία προστασίας — σε συνδυασμό με το οικοσύστημα πληροφοριών της Trend Micro, συσχετίζουν τις απειλές σε διάφορα επίπεδα— επιτρέπουν τον γρήγορο εντοπισμό περίπλοκων επιθέσεων που παρακάμπτουν τους συμβατικούς μηχανισμούς άμυνας. Αυτό παρέχει μια σε βάθος κατανόηση τις κίνησης των δεδομένων και μια ισορροπημένη προσέγγιση της ασφάλειας, καθώς ο administrator μπορεί να δει άμεσα την ιστορία μιας επίθεσης και να ανταποκριθεί πιο γρήγορα και με μεγαλύτερη σιγουριά.
Βασικά πλεονεκτήματα του Trend Micro XDR:
- Report των απειλών με αξιολόγηση τους.
To XDR συσχετίζει και συνδυάζει ειδοποιήσεις χαμηλού επιπέδου alerts υψηλής πιστότητας που δείχνουν την προέλευση μίας επίθεσης.
- Σαφέστερο συσχετισμό των απειλών.
Με την προβολή περισσότερων συσχετισμένων ειδοποιήσεων σε διαφορετικά πεδία ασφάλειας, γεγονότα που φαίνονται καλοήθη από μόνα τους ξαφνικά γίνονται σημαντικοί δείκτες απειλής. Αυτό επιτρέπει να συνδέσετε περισσότερες κουκκίδες σε μια ενιαία προβολή, μιας ολόκληρης αλυσίδας γεγονότων σε επίπεδα ασφαλείας και να πραγματοποιείτε ενέργειες απόκρισης από ένα μέρος. Αυτό επιτρέπει πιο διορατικές έρευνες και σας δίνει τη δυνατότητα να εντοπίζετε απειλές νωρίτερα.
- Πιο αποτελεσματική ανάλυση.
Με την εγγενή ενσωμάτωση σε emails, endpoints, servers, περιβάλλοντα cloud και δίκτυα, οι αισθητήρες XDR επωφελούνται από τη βαθιά κατανόηση των πηγών δεδομένων. Αυτό έχει ως αποτέλεσμα πιο αποτελεσματικά αναλυτικά στοιχεία σε συνδυασμό με συνεχώς updated κανόνες ανίχνευσης και παγκόσμια ευφυΐα απειλών από την Trend Micro Research.
- Μείωση του χρόνου εντοπισμού και διακοπής απειλών.
Συμπτύσσει το χρόνο που χρειάζεται για τον εντοπισμό, τον περιορισμό και την απόκριση σε απειλές, ελαχιστοποιώντας τη σοβαρότητα και το εύρος των επιπτώσεων.
- Αυξημένη αποτελεσματικότητα και αποδοτικότητα της έρευνας απειλών.
Με αυτόματη συσχέτιση δεδομένων απειλών από πολλαπλές πηγές, το XDR επιταχύνει και καταργεί τα χειροκίνητα βήματα που εμπλέκονται στις έρευνες και επιτρέπει στους αναλυτές ασφαλείας να βρουν γρήγορα την ιστορία μιας επίθεσης.
- Σύνδεση με άλλα εργαλεία και τεχνολογίες ασφαλείας SIEM και SOAR.
Η ασφάλεια των δικτύων αφορά όλα τα δίκτυα! Η τεχνολογία XDR της Trend Micro αν και σχεδιάστηκε για να προσφέρει ανάλυση σε βάθος σε μεγάλα δίκτυα, μπορεί άνετα να υλοποιηθεί και σε μικρομεσαία χωρίς να απαιτεί μεγάλα resources διαχείρισης από τους διαχειριστές.