İnternette İstediğiniz Gibi Çevrimiçi Para Kazanma!

Cynet 360: Yeni Nesil EDR

Şu an okuyorsunuz: Cynet 360: Yeni Nesil EDR

Birçok kuruluş, Uç Nokta Tespiti ve Müdahale (EDR) ihlallerine karşı ana koruma olarak kabul eder. EDR, bir kategori olarak 2012 yılında ortaya çıktı ve hızla eski AV’nin üstesinden gelmek için başarısızlıkla mücadele ettiği sayısız tehdide en iyi cevap olarak kabul edildi – istismarlar, sıfır günlük zararlı yazılım ve dosyasız saldırılar öne çıkan örneklerdir.

EDR’nin günümüzün gelişmiş tehditlerinin önemli bir kısmına karşı etkinliği konusunda herhangi bir anlaşmazlık olmasa da, yeni bir “yeni nesil EDR” çözümü türü mevcut. (Burada daha fazla bilgi edinin), tüm EDR yeteneklerine sahip olmanın ötesinde EDR’nin kullanıcıları ve ağları içerenler gibi kapsamadığı belirgin saldırı vektörlerine karşı.

Cynet’in kurucu ortağı olan Eyal Gruner (yeni nesil EDR çözümü), “Birçok kişi bilmeden iki farklı şeyi karıştırıyor – son nokta koruması ve ihlal koruması”.

“Birçok saldırının son noktada başlaması ve EDR’yi son nokta için mükemmel bir çözüm haline getirmesi için kötü niyetli dosyalar ve işlemler içerdiği tamamen doğru. Ancak, gerçek saldırı yüzeyi bundan daha geniştir ve günün sonunda, korumak istediğiniz son noktalar – bu sizin organizasyonunuz. “

Eski bir beyaz şapka korsanı olan Gruner (15 yaşındayken başlayarak), İsrail’in en büyük siber güvenlik danışmanlık şirketi BugSec’i kurdu. Bugün, dünyaca ünlü bir uzman 0n saldırgan aracı, tekniği ve uygulamasıdır.

“Bunu şöyle düşünün: tanımı gereği her saldırganın faaliyeti bir tür anormallik yaratır. Yalnızca mantıklıdır, çünkü ‘normal davranış’ olarak düşündüğümüz şey kaynakları riske atmayı ve veri çalmayı içermez. Güvenlik ürünlerinin – veya bu konuda tehdit analistlerinin – kötü bir şeyin olduğunu tespit edip engellemesini sağlamak. “

Gruner, bu anomalilerin üç temel yerde ortaya çıkabileceğini söyledi – işlem yürütmesi, ağ trafiği veya kullanıcı etkinliği. Örneğin, fidye yazılımı bir işlem yürütme anormalliği oluşturur, çünkü çok sayıda dosyayla etkileşime girmeye çalışan bir işlem vardır.

Öte yandan, birçok yanal hareket türü, sıra dışı şekilde yüksek SMB trafiği şeklinde bir ağ trafiği anomalisi içerir. Benzer şekilde, bir saldırgan tehlikeli kullanıcı hesabı kimlik bilgilerine sahip kritik bir sunucuya giriş yaptığında, tek anormallik kullanıcı davranışındadır. Her iki durumda da, saldırıyı yalnız izleme süreçleriyle açığa çıkarmak imkansızdır.

Gruner, “EDR, süreç anomalileriyle tespit edilebilecek saldırılar için harika bir araçtır” dedi. “Son noktada oturuyor ve süreç davranışını izliyor, bu yüzden bu tehdit grubuna karşı oldukça örtülüyorsunuz. Ama geri kalanı ne olacak? Ağ trafiği ve kullanıcı davranışında en küçük süreç anomalisini tetiklemeden çalışan birçok ana vektör var. ve EDR bu tehditlere karşı pratik olarak kör. “

Yeni Nesil EDR
Yeni Nesil EDR, Uç Nokta, Ağ ve Kullanıcılar Arasında Kötü Amaçlı Etkinliği Tespit Etme

Sorunu daha iyi anlamak için, saldırganın ayakkabılarına girelim. Başarılı bir uç noktadan ödün vermiştir ve şimdi hassas verilere erişmek ve daha sonra bunlara ulaşmak için çevrede yolunu hesaplamaktadır. Bu görevi gerçekleştirmek için gerekli birkaç adım vardır. Bir örnek olarak kullanalım – kimlik bilgisi hırsızlığı.

Yüksek ayrıcalıklı kimlik bilgileri, ortamdaki kaynaklara erişmek için çok önemlidir. Saldırgan onları tehlikeye atmış uç noktaların hafızasından atmaya çalışabilir. Bir EDR muhtemelen bunu yakalar çünkü bir süreç anomalisine neden olur.

Bununla birlikte, yalnızca bir ağ trafiği anormalliğinin izlenmesi ile tanımlanabilen iç ağ trafiğinin (ARP zehirlenmesi veya DNS yanıtı gibi teknikler kullanılarak) durdurulması yoluyla şifre karmaları da toplanabilir – ve EDR bunu tamamen kaçıracaktır.

Gruner, “Benim deneyimimden işlerinde iyi olan saldırganlar genellikle hangi savunma önlemlerinin alındığını ve buna göre hareket ettiğini hızlı bir şekilde öğreniyorlar” dedi. “İyi bir EDR varsa, tekniklerini ağa ve kullanıcı alanlarına kaydırırlar ve EDR’nin radarında özgürce çalışırlar.”

“Öyleyse, güvenlik yığınınızda yalnızca kötü amaçlı yazılım, istismar vb. İşlemlere karşı sizi koruyacak bir bileşen istiyorsanız, EDR kapsama alanı sağlayabilir. Aradığınız şey ihlallere karşı korunma ise daha geniş düşünün – bu yüzden Cynet 360’ı yarattık. “

Cynet 360, süreçleri, ağ trafiğini ve kullanıcı etkinliğini sürekli izler ve günümüzün gelişmiş saldırılarında kullanılan saldırı vektörlerinin tam kapsamını sunar. Bu, temel olarak, Kullanıcı Davranış Analitiği ve Ağ Analitiği ile genişletilmiş ve entegre edilmiş ve operatörlerin veri dosyaları, şifreler, ağ paylaşımları vb. Oluşturmalarını sağlayan sağlam bir aldatma katmanıyla tamamlanan bir EDR’nin tüm yetenekleri anlamına gelir. ve saldırganları varlıklarını silmeye aldatmak.

Ancak Cynet, artan değerden çok daha fazlasını verir. Gruner, “Yalnızca süreç tabanlı tehditler, ağ tabanlı tehditler ve kullanıcı tabanlı tehditler değil,” dedi. Saldırgan ne kadar ileri düzeyde olursa, varlığı ve etkinliğini o kadar iyi gizler. Bu nedenle, yalnızca işlemlere veya trafiğe veya kullanıcı davranışlarına bakarsanız görünmeyen birçok saldırı var. ”

“Sadece bu sinyalleri bir araya getirerek, kötü niyetli bir şeyin olduğunu tespit edebileceğiniz bir bağlam oluşturmak için. Cynet 360, başka türlü görünmeyen birden fazla tehdidi ortaya çıkarmak için bu bağlamın oluşturulmasını otomatikleştirir.”

Yeni Nesil EDR
Yeni Nesil EDR tüm tehditlere karşı tam görünürlük sağlar

Gruner, “Hiçbir koruma yüzde yüz değildir, ancak tüm ana yollarda korumalara sahip olmalısınız. Saldırganlar onları geçemez mi? Yetenekli, kararlı ve becerikli olsalar cevabını evet sanırım. Ana anomali yolları, onları gerçekten çok çalışmaya zorlardı – çoğunun istediğinden daha fazlasını, “Gruner ekledi.

“EDR inanılmaz bir şey ve bu yüzden Cynet 360 tüm yeteneklerini içeriyor – artı daha fazlası. Yalnızca EDR ses ihlallerine karşı koruma için yeterli değil ve bu yüzden Cynet 360’a geri kalanını verdik.”

Gelecek nesil EDR hakkında daha fazla bilgiyi burada bulabilirsiniz.