• Bądź na bieżąco
FEN_orange_wht
Kontakt

Dzień: 2020-11-30

Opublikowane w

Endpoint Detection and Response – czyli jak wzmocnić ochronę Twojej sieci

Aby zrozumieć potrzebę używania rozwiązania EDR, zacznijmy od omówienia środowiska cyber bezpieczeństwa.

Organizacje muszą codziennie radzić sobie z wieloma zagrożeniami, które próbują dostać się do ich środowisk. Oczywiście wiele z tych zagrożeń jest natychmiast powstrzymywanych dzięki silnym zabezpieczeniom. Ale te które są niepewne lub niejasne, mogą się prześlizgnąć przez sito zabezpieczeń i właśnie wtedy pojawia się rozwiązanie nazwane Endpoint Detection and Response, czyli w skrócie EDR. Zostało ono stworzone z potrzeby uzupełnienia istniejących narzędzi ochrony punktów końcowych. Także nie jest to rozwiązanie które zastępuje tradycyjne podejście do bezpieczeństwa sieciowego, ale uzupełnia je o dodatkowe możliwości

Aby lepiej zobrazować tą kwestie, można posłużyć się podziałem aplikacji na:

  1. Łagodne
    Są to niezłośliwe programy, które są częścią codziennego życia większości organizacji, takie jak Microsoft Word, Outlook czy Google Chrome. Nie chcemy im przeszkadzać, ponieważ spowodowałoby to problemy w pracy.
  2. Złośliwe
    Szkodliwe pliki powinny zostać natychmiast zatrzymane przez zabezpieczenia punktów końcowych i serwerów. Są one uznawane za złośliwe i nie potrzebna jest ingerencja człowieka aby takie zagrożenie unieszkodliwić. Dlatego tez bardzo ważne jest to aby rozwiązanie EDR było zbudowane na już istniejącej platformie zabezpieczającej organizacje.
  3. Nieznane oprogramowanie
    Ten obszar dotyczy elementów, które w sposób oczywisty nie są dobre lub złe dla naszej organizacji. Więc nie wiemy, czy można je zostawić, czy też należy je zablokować.

EDR został opracowany właśnie w celu zbadania tej luki. Czy te elementy są rzeczywiście złośliwe i wymagają podjęcia działań, takich jak izolowanie urządzeń, których dotyczy problem lub czyszczenie? Czy są to potencjalnie niechciane aplikacje (PUA)? Albo są to aplikacje nie wymagające naszej uwagi i możemy je śmiało zignorować? Na te pytania możemy pomóc sobie odpowiedzieć używając narzędzi dostarczonych przez EDR.

Wraz z ewolucją zagrożeń wiele z nich staje się coraz bardziej tajemniczych, wykorzystując określone metody do oszukiwania rozwiązań antywirusowych. EDR zapewnia organizacjom narzędzia do poszukiwania podejrzanych wskaźników naruszenia bezpieczeństwa (IOC) i wychwytywania tych ukrytych zagrożeń.

Przykładem takiego kompletnego rozwiązania, jest Sophos Intercept X with EDR, którego podstawą jest zabezpieczenie punktów końcowych Intercept X. Nie jest to tylko ochrona przed antywirusami, ale także zabezpieczenie przed ransomware, malware i exploit. Wszystko to jest oparte o sztuczną inteligencją dzięki której wiele aspektów wykrywania i reagowania jest automatyzowanych. Kwestią kluczową jest to aby realizować politykę bezpieczeństwa kompleksowo i wykrywać złośliwe oprogramowanie i analizować te oprogramowanie które nie do końca wiadomo czym jest.

Poniżej przykład analizy oprogramowania i klasyfikacja programów które zostały uznane za podejrzane.

Dzięki Sophos Intercept X Advanced with EDR możesz przeprowadzać analizę aplikacji przy użyciu sztucznej inteligencji. W przypadku wykrycia potencjalnie złośliwego pliku administrator może wykorzystać analizę złośliwego oprogramowania aby zweryfikować złośliwe oprogramowanie w najdrobniejszych szczegółach, rozkładając atrybuty plików, kod oraz porównując te elementy z milionami innych plików które wykorzystując podobne schematy działania.
Poniżej przykład “rozbicia” aplikacji na czynniki pierwsze i analiza pod kątem atrybutów.

Dodatkowo jesteśmy w stanie proaktywnie zadać dowolne pytanie o to, co wydarzyło się w przeszłości i co dzieje się teraz na punktach końcowych. Dzięki czemu możemy wykrywać zagrożenia, lub wykorzystywać czynności operacyjne, aby utrzymać “higienę” bezpieczeństwa IT. Osiąga się to dzięki wykorzystaniu dwóch kluczowych funkcji: Live Discover i Live Response.

Live Discovery: daje analitykom bezpieczeństwa i administratorom IT możliwość zadawania i odpowiadania na prawie każde pytanie, które przyjdzie im do głowy w stosunku do punktów końcowych i serwerów. Funkcja ta wykorzystuje potężne, gotowe do użycia, w pełni konfigurowalne zapytania SQL, które mogą szybko przeszukiwać do 90 dni bieżących i historycznych danych na dysku. Przykładami takich pytań mogą być np.:

  • Które urządzenia mają znane luki w zabezpieczeniach, nieznane usługi lub nieautoryzowane rozszerzenia przeglądarki?
  • Czy urządzenie ma kopię określonego pliku?
  • Pokaż procesy, które niedawno zmodyfikowały pliki lub klucze rejestru
  • Dlaczego maszyna działa wolno? Czy czeka na ponowne uruchomienie?
  • Zidentyfikuj procesy udające services.exe
  • Jakie procesy próbują nawiązać połączenie sieciowe na niestandardowych portach?

Poniżej funkcja Live Discovery i przegląd zapytań:

W przypadku wykrycia problemów Live Response zapewnia administratorom dostęp z poziomu wiersza poleceń do punktów końcowych i serwerów w całej organizacji. Dzięki czemu jesteśmy w stanie Uzyskać zdalny dostęp do urządzeń, aby przeprowadzić dalsze badanie lub naprawić wszelkie problemy. Administratorzy mogą ponownie uruchamiać urządzenia, przerywać aktywne procesy, uruchamiać skrypty, edytować plik konfiguracyjny, instalować / odinstalowywać oprogramowanie i nie tylko.

Poniżej przykład użycia Live Response:

Opublikowane w

Efektywne energetycznie rozwiązania PDU dla biznesu

Na wstępie warto było by zacząć od odpowiedzenia na pytanie czym jest PDU (Power Distribution Unit/ Moduł dystrybucji zasilania). Najprościej rzecz ujmując jest urządzeniem do rozdziału zasilania z jednego punktu zasilającego do wielu punktów odbioru. Czyli pełni podobną funkcję co klasyczna listwa zasilająca z jaką na co dzień mamy do czynienia w biurach czy naszych domach. Natomiast PDU jest rozwiązaniem posiadającym szereg kluczowych funkcji które zapewniają ciągłość działania urządzeń w szafach rack, bo do takowych właśnie te listwy są przeznaczone.

Rozwiązania PDU można podzielić na kilka typów produktów, które dają mniej lub bardziej zaawansowane możliwości związane z rozdziałem, monitorowaniem i zarządzaniem zasilaniem. Bazując na produktach marki CyberPower możemy podzielić PDU na cztery segmenty:

  • Basic
  • Metered
  • Switched
  • Speciallity

Zaczynając od najprostszych rozwiązań z grupy Basic, są to rozwiązania oferujące czysty podział mocy z jednego źródła na wiele źródeł definiowanych ilością gniazd wyjściowych listwy. W ofercie CyberPower będzie to model PDU20BHVIEC12R wyposażony w 12 gniazd IEC C13 do podłączenia urządzeń. Stosuje się je najczęściej w przypadku gdy potrzebujemy zasilić dużą ilość aktywnych urządzeń w szafie rack. Często listwa ta stanowi „rozszerzenie” UPSa, do którego jest podłączana aby zasilić więcej urządzeń niż jest w stanie obsłużyć UPS, lub do pominięcia UPSa i zasilenia urządzeń nie wymagających zasilania awaryjnego.

Kolejną grupą produktów jest seria Metered. Rozwiązania te umożliwiają, poza rozdziałem mocy, monitorowanie lokalne obciążenia listwy za pomocą wyświetlacza umieszczonego na listwie. Tu modelem reprezentującym ten segment produktów, producenta Cyberpower, jest listwa PDU20MVHVIEC24F wyposażona w 24 gniazda, z czego 4 to IEC C19 a 20 to IEC C13. Listwę tę montuje się z boku szafy, dzięki czemu nie zajmuje ona przestrzeni poziomej w samej szafie.

Najbardziej zaawansowaną grupą PDU jest seria Switched. Listwy te poza wspomnianymi funkcjonalnościami opisanych już serii PDU, posiada możliwość zdalnego monitorowania i zarządzania zasilaniem. A więc po podłączeniu listwy do sieci, możemy mieć wgląd w to co się dzieje z urządzeniem i gniazdami, a także je zdalnie włączać i wyłączać, takie listwy określamy nazwą Switched.  Dodatkowo jest też opcja rozbudowanej wersji Switched & Monitored by Outlet, posiada ona, oprócz wspominanego powyżej zarządzania przez sieć, także dokładny monitoring każdego gniazda z osobna. W ramach tych serii w ofercie CyberPower mamy następujące modele:

Switched : PDU41005, PDU41005

Switched & Metered by Outlet: PDU81005.

Ostatnią grupą PDU są listwy Speciality, a więc jak sama nazwa wskazuje, posiadają specjalną dodatkową dedykowaną funkcję, poza rozdziałem zasilania. W ramach tej grupy będziemy mieli dwie serie PDU : Manual Bypass Switch oraz Automatic Transfer Switch. Pierwsza wspomniana seria umożliwia serwisowanie urządzeń z manualnym pominięciem głównego źródła zasilania aby umożliwić serwisowanie źródła zasilania w tym przypadku np. UPSa. Druga seria natomiast będzie posiadała funkcje automatycznego przełączania zasilania pomiędzy dwoma źródłami zasilania. Pierwszy typ listwy w ofercie CyberPower reprezentuje model MBP20HVIEC6.

Drugi typ PDU stosuje się w miejscach gdzie są dwa źródła zasilania. Lub w ten sposób tworzy się redundantne systemy zasilania oparte np. na dwóch UPSach, bez możliwości pracy równoległej. Bądź na systemie opartym o UPS i standardowym źródle zasilania. W tej serii urządzeń CyberPower oferuje trzy modele PDU20MHVIEC10AT (Metered) ; PDU15SWHVIEC12ATNET (Switched); PDU32SWHVCEE18ATNET (Switched) różniące się typem listwy ze wspomnianych wcześniej kategorii PDU.

Specjalizujemy się w nowoczesnych rozwiązaniach teleinformatycznych, zarówno tych standardowych, jak i szytych na miarę. Każdy Twój projekt wesprzemy opieką dedykowanego account managera, certyfikowanych inżynierów, szkoleniami czy prezentacjami u klientów.

© 2021 FEN • All rights reserved • Polityka prywatności | System B2B
Facebook Linkedin Youtube