9:12
8/6/2021

Po rozwiązania antywirusowe sięga niemal każda firma, niezależnie od wielkości. Obok NextGeneration Firewall, narzędzia do backupu,  szyfrowania czy okresowych szkoleń pracowników, są to jedne z podstawowych elementów współczesnych systemów bezpieczeństwa sieci korporacyjnych. Ale w ostatnim czasie coraz większą popularność zdobywa uzupełnianie wspomnianych zabezpieczeń o narzędzia EDR, czyli Endpoint Detection and Response. Po rozwiązania tego typu sięgają obecnie nie tylko duże firmy, ale także coraz częściej te średniej wielkości, bez własnych działów SOC. Przyjrzyjmy się więc EDR-om na przykładzie ESET Enterprise Inspector oferowanego przez firmę (tak, zgadliście) ESET.

Ataki się zmieniły, zabezpieczenia też…

Współczesne ataki na firmy coraz rzadziej bazują na wirusach czy koniach trojańskich. Coraz częściej natomiast są to zagrożenia wielowymiarowe, takie jak ataki z wykorzystaniem podatności typu zero-day lub całkiem bezplikowe. Dodając do tego roztargnienie pracowników, klikających obowiązkowo (a jakże) w każdy otrzymany firmową pocztą link oraz dużą presję na bezpieczeństwo, jakiej poddawani są administratorzy, sam antywirus to zdecydowanie za mało, by ochronić firmę przed pełnym spektrum współczesnych zagrożeń.

Tutaj właśnie EDR sprawdza się doskonale, ponieważ:

  • analizuje wątpliwe pliki, pod kątem ich złośliwej zawartości,
  • opiera się na analizie procesów typowych dla stacji roboczych czy serwerów w danej firmie
  • dzięki zestawom stworzonych wcześniej reguł nie tylko wykryje niepożądaną sytuację, ale w kluczowym momencie uruchomi zestaw działań, przewidzianych przez administratora, np. odetnie zainfekowane urządzenie od sieci firmowej i poinformuje o konieczności przeprowadzenia dodatkowych prac.

Swój pełny potencjał narzędzie EDR zyskuje oczywiście w rękach doświadczonego administratora. Obsługa rozwiązania ESET Enterprise Inspector jest jednak prostsza niż mogłoby się wydawać i podkreśla to przedstawiciel firmy Bakalland, w której to rozwiązanie wdrożono. Wpływ na to ma nie tylko intuicyjna obsługa, ale fakt integracji narzędzia z lokalną konsolą centralnego zarządzania rozwiązaniami ESET.

Zbierane informacje, spływające z agentów zainstalowanych na stacjach roboczych, trafiają do centralnego serwera EDR. Tam są przetwarzane i analizowane z wykorzystaniem zaawansowanego systemu reputacji ESET Live Grid oraz – jeśli niezbędna jest dalsza analiza – sandboxingu w chmurze (w ramach usługi ESET Dynamic Threat Defense). Całość wspierana jest dodatkowo informacjami z bazy MITRE Adversarial Tactics, Techniques and Common Knowledge (ATT&CK).

W ten sposób wątpliwe pliki lub anomalie w działaniu procesów są błyskawicznie identyfikowane, a wyniki analizy trafiają powrotnie do systemu ESET w postaci skrótów SHA-1 i dalej są propagowane na wszystkie chronione urządzenia, zapewniając im szybką i skuteczną ochronę. Sam ESET Enterprise Inspector można dodatkowo integrować z narzędziami SIEM czy SOAR oraz systemami zgłaszania problemów, co dla wielu firm jest ważne z uwagi na przyjęte polityki bezpieczeństwa.

 

Jak podkreśla Bartosz Różalski, product manager ESET:

po naszego EDR-a sięgają nie tylko duże firmy, ale także średniej wielkości przedsiębiorstwa. Bo jest intuicyjne. U jednego z klientów wystarczyło kilka godzin od wdrożenia żeby EDR zaczął raportować pierwsze istotne i mające wpływ na bezpieczeństwo spółki zdarzenia. Opanowanie ESET Enterprise Inspector nie jest skomplikowane, ale wymaga czasu na poznanie własnego środowiska i przygotowanie odpowiedniej listy wyjątków, tak aby wyeliminować fałszywe alarmy. Po zakończeniu tego procesu obsługa narzędzia jest bezproblemowa i nie wymaga powoływania dedykowanego zespołu SOC.

ESET Enterprise Inspector jest dostępny jako element nowego pakietu ESET Protect Enterprise, w ramach którego, oprócz narzędzia EDR, dostępna jest również ochrona stacji roboczych i serwera plików, a także funkcje sandboxingu w chmurze i pełnego szyfrowania dysków.

A ile to kosztuje?

O tym ile kosztuje EDR, jak może pomóc firmie w ochronie przed zagrożeniami ransomware, atakami APT lub łamaniem polityk bezpieczeństwa przez pracowników będziecie mogli posłuchać 16 czerwca br. podczas bezpłatnego webinarium, organizowanego przez dystrybutora rozwiązań ESET w Polsce. Aby się zarejestrować, przejdźcie na stronę „Admin ESET kontra ataki hakerskie – narzędzia dodatkowe ESET – eKonferencja online.

Niniejszy artykuł jest artykułem sponsorowanym. Jego autorem jest firma Dagma — wyłączny dystrybutor rozwiązań ESET w Polsce, a za jego publikację redakcja otrzymała wynagrodzenie.

Przeczytaj także:

1 komentarz

Dodaj komentarz
  1. Mkr_vir (polski AV) także posiada te funkcję. Naprawdę jest taka wow?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: