Ochrona komputerów i serwerów

Ciągła telemetria: EDR gromadzi dane o aktywnościach systemowych (procesach, połączeniach sieciowych, działaniach użytkowników) na komputerach i serwerach.

Przykład: system EDR rejestruje aktywność użytkownika na firmowym laptopie, w tym uruchamiane procesy i połączenia sieciowe. Wykrywa, że aplikacja Word próbuje połączyć się z podejrzanym serwerem w Rosji – działanie nietypowe dla tego programu.

Kontekstowa analiza zachowań: wykorzystanie mechanizmów AI i machine learning do identyfikacji nietypowych zachowań, które mogą wskazywać na aktywność złośliwego oprogramowania, takich jak ransomware, spyware czy keyloggery.

Przykład: mechanizm AI używany w ramach EDR wykrywa, że proces działający w tle komputera zaczyna masowo skanować pliki i wysyłać dane do zewnętrznego serwera. Mechanizm klasyfikuje to jako podejrzane zachowanie typowe dla spyware i natychmiast blokuje proces.

Wykrywanie zagrożeń typu "zero-day" : dzięki analizie zachowań rozwiązania EDR mogą identyfikować ataki, które nie są jeszcze znane tradycyjnym systemom opartym na sygnaturach.

Przykład: atakujący wykorzystuje nowo odkrytą lukę w systemie Windows, która nie została jeszcze załatana. EDR wykrywa, że nietypowy proces w pamięci próbuje uruchomić skrypty PowerShell, blokując zagrożenie jeszcze przed jego eskalacją.

Korelacja zdarzeń: EDR koncentruje się na wykrywaniu zagrożeń bezpośrednio na punktach końcowych, ale również analizuje i koreluje różne zdarzenia w ich obrębie, aby zidentyfikować złożone ataki.

Przykład: EDR wykrywa, że na jednym z punktów końcowych użytkownik otworzył dokument Word, który uruchomił skrypt PowerShell próbujący pobrać plik wykonywalny z zewnętrznego serwera. Następnie EDR zauważa, że pobrany plik próbuje zainstalować usługę w tle i modyfikuje ustawienia rejestru. Dzięki korelacji tych zdarzeń system identyfikuje, że działanie to jest częścią ataku APT, i blokuje dalsze działania złośliwego oprogramowania.

Izolacja punktu końcowego: w przypadku wykrycia zagrożenia urządzenie może zostać automatycznie odcięte od sieci, aby zapobiec dalszemu rozprzestrzenianiu się ataku.

Przykład: laptop pracownika zostaje zainfekowany ransomware. System EDR automatycznie odcina urządzenie od sieci firmowej, uniemożliwiając atakowi rozprzestrzenienie się na inne komputery.

Zatrzymywanie procesów: system automatycznie blokuje złośliwe procesy i usuwa pliki, które mogą stanowić zagrożenie.

Przykład: EDR wykrywa, że proces o nazwie "notepad.exe" niespodziewanie próbuje zmienić pliki systemowe – coś, czego nie robi standardowy Notatnik. Proces zostaje natychmiast zatrzymany.

Automatyczna eliminacja zagrożeń: wbudowane mechanizmy mogą automatycznie usuwać złośliwe pliki, blokować podejrzane połączenia sieciowe czy cofać zmiany dokonane przez malware.
Przykład: system wykrywa i usuwa złośliwy plik "malware.exe" pobrany z podejrzanej strony internetowej oraz blokuje połączenie z serwerem, z którego plik został pobrany.

Rejestracja i wizualizacja incydentów: systemy EDR zapisują szczegóły o każdym potencjalnym zagrożeniu, takie jak źródło ataku, zmienione pliki czy adresy IP, które brały udział w zdarzeniu.

Przykład: po wykryciu ataku phishingowego EDR generuje raport pokazujący, że użytkownik kliknął link w e-mailu, co uruchomiło złośliwy skrypt PowerShell i próbę wykradzenia danych logowania.

Ścieżka ataku (attack chain): EDR prezentują graficzne mapy pokazujące, jak przebiegał atak, umożliwiając szybkie ustalenie jego źródła i zasięgu.

Przykład: graficzna mapa w systemie EDR pokazuje, że atakujący dostał się do sieci poprzez niezałatany serwer WWW, następnie przemieścił się do serwera bazy danych i próbował ukraść dane klientów.

Raporty zgodności i audyty: automatyczne generowanie raportów pozwala na spełnienie wymagań regulacyjnych oraz dowodzenie zgodności z normami bezpieczeństwa.

Przykład: Firma z branży medycznej otrzymuje automatyczny raport wskazujący, że wszystkie punkty końcowe są zgodne z wymaganiami regulacji HIPAA.

Wykrywanie ruchu sieciowego: EDR analizują i blokują podejrzane połączenia między komputerami w sieci, które mogą wskazywać na próby przemieszczania się atakującego w celu przejęcia kolejnych zasobów.

Przykład: atakujący próbuje wykorzystać zainfekowany serwer jako punkt wyjścia do innych komputerów w sieci. EDR blokuje połączenia sieciowe, które wskazują na próbę lateralnego ruchu (np. skanowanie portów).

Segmentacja sieci: izolacja punktów końcowych zapobiega propagacji ataków typu ransomware w całej organizacji.

Przykład: zainfekowany komputer w dziale sprzedaży zostaje odizolowany od zasobów działu finansowego, co uniemożliwia atakującym dostęp do krytycznych danych.

Łączenie danych z różnych źródeł: EDRy agregują dane z systemów SIEM, firewalla, systemów antywirusowych i innych narzędzi w celu uzyskania pełnego obrazu zagrożeń.

Przykład: XDR analizuje dane z SIEM, systemu antywirusowego oraz zapory ogniowej, aby wykryć złożony atak typu APT (Advanced Persistent Threat) obejmujący różne warstwy infrastruktury.

Współdziałanie z systemami SOAR (Security Orchestration, Automation, and Response): EDR pozwalają na automatyczne wdrażanie skryptów naprawczych i procedur reagowania na incydenty.

Przykład: po wykryciu ataku EDR uruchamia skrypt SOAR, który odcina punkt końcowy od sieci, usuwa podejrzane pliki i wysyła alert do zespołu SOC z pełnymi szczegółami zdarzenia.

Rozpoznawanie wzorców ransomware: EDR identyfikują szybkie zaszyfrowanie plików, co może świadczyć o ataku ransomware i natychmiast zatrzymują takie działania.

Przykład: system EDR wykrywa, że proces "encryptor.exe" zaczyna szybko zmieniać wiele plików w katalogu firmowym. Proces zostaje natychmiast zatrzymany, zanim większa część danych zostanie zaszyfrowana.

Wykrywanie prób eksfiltracji danych: EDR monitorują ruch sieciowy i blokuje próby wysyłania poufnych danych do zewnętrznych serwerów.

Przykład: atakujący próbuje wysłać kopię bazy danych klientów na zewnętrzny serwer. EDR identyfikuje nietypowy ruch wychodzący i blokuje transfer.

Ochrona serwerów: monitorowanie procesów działających na serwerach w czasie rzeczywistym oraz zabezpieczanie danych przed atakami typu brute-force czy eksploatacją luk w oprogramowaniu.

Przykład: EDR monitoruje serwer poczty firmowej i wykrywa próbę brute-force logowania przez atakującego, automatycznie blokując adres IP napastnika.

Ochrona chmury: integracja z usługami chmurowymi (AWS, Azure, Google Cloud) w celu wykrywania i reagowania na zagrożenia w środowiskach hybrydowych.

Przykład: XDR integruje się z usługą AWS i wykrywa, że nietypowy użytkownik loguje się do konsoli administracyjnej z rzadko spotykanej lokalizacji. Logowanie zostaje zablokowane, a zespół IT otrzymuje alert.

Priorytetyzacja zagrożeń: system klasyfikuje zagrożenia według poziomu ryzyka, co pozwala zespołom skupić się na najpoważniejszych incydentach.

Przykład: system klasyfikuje wykryte incydenty jako niski, średni lub wysoki priorytet, co pozwala zespołowi SOC skoncentrować się na najgroźniejszych atakach, takich jak ransomware.

Automatyzacja reakcji: dzięki automatycznym procesom SOC może szybciej i efektywniej reagować na zagrożenia.

Przykład: EDR automatycznie wprowadza reguły zapory sieciowej, aby zablokować podejrzane adresy IP wykryte w trakcie ataku phishingowego.

Analiza zagrożeń (Threat Intelligence): integracja z bazami wiedzy o zagrożeniach ułatwia identyfikację i ocenę nowych ataków.

Przykład: EDR korzysta z globalnych baz danych zagrożeń, aby szybko zidentyfikować nowe warianty złośliwego oprogramowania wykorzystywane przez grupy hakerskie