תחילת עידן ה-EDR: האם זה סופו של האנטי וירוס?

למאמר הבא
ESET

בתקופה בה אנחנו שומעים על מתקפות סייבר חדשות לבקרים, יכולות משולבות של מניעה, זיהוי ותגובה הופכות להיות הסטנדרט החדש. ככל שתזהו איומים מוקדם יותר, כך הסיכוי שלכם למנוע את המתקפה גבוה יותר

שנת הקורונה הייתה השנה בה הגבולות הפיזיים של המשרד הפכו להיות וירטואליים והתרחבו בן לילה מרשת ארגונית לרשת רחבה הכוללת גם עמדות קצה שכוללות את בתי העובדים.

עבודה מרחוק/מהבית הפכה להיות השגרה החדשה והמצב החדש יצר לא מעט הזדמנויות לתוקפים לנסות לחדור לארגונים.

על פי דיווח מה-FBI האמריקאי, בשנת 2020 חלה עלייה דרמטית של 400% בכמות התלונות שמתקבלת בחטיבת הסייבר של הארגון בהשוואה לתקופה המקבילה טרום הקורונה. ועל פי נתונים מדו"ח לשנת 2020 של מערך הסייבר – חל זינוק של 50% בהתקפות הסייבר בהשוואה ל2019 על כ-1,400 ארגונים ישראליים.

השנה האחרונה האיצה את ההסתכלות על אירועי סייבר, לא עוד מיקוד במניעה וחסימה של מתקפות אלא גם זיהוי איומים כביכול תמימים שחודרים לרשת, אך מבססים את עצמם ומתכוננים לשעת כושר.

היערכות מקדימה וניהול אירועי האבטחה עם זיהוי מוקדם של התראות ואירועים, ניטור ותגובה מותאמים. כל אלה קריטיים ביכולת של ארגונים לנהל אירועי אבטחת מידע בהצלחה.

האם ידעתם שזמן משלב החדירה לתשתית ועד הזיהוי והתגובה בממוצע אורך כ-197 ימים? זה נתון לא יאומן. בכל רגע נתון יכול להיות שתוקפים מבססים את עצמם ברשת הארגון– ומנהלי אבטחה לא מודעים לזה בכלל.

הצעד הראשון כדי לסגור את הפרת האבטחה הוא לזהות אותה בהקדם האפשרי.

האם אנטי וירוס מספיק?

אנטי וירוס מונע מגוון איומים ומזיקים, אך חדירות או מתקפות בארגונים לא בהכרח חודרות לארגון כאיום או מזיק. בשלב הראשון החדירה לא בהכרח תסווג כאיום כי היא באמת לא איום בשלב זה. התוקפים מעוניינים קודם כל לחדור לארגון ולאחר שהם יתבססו ברשת הארגון, ילמדו אותה, הם יתכוננו לשעת הכושר המתאימה מבחינתם לתקיפה בפועל – ואז זה כבר מאוחר מדי.

בנוסף, תוכנות האנטי וירוס ימנעו את המתקפה על הארגון אבל לא יספקו נראות מאיפה המתקפה הגיע ואיך היא התפשטה ברשת הארגונית.

אנטי וירוס חזק ויציב, כזה שפועל ברקע ולא מפריע לפעילות השוטפת הוא הגנה הכרחית שאי אפשר לוותר עליה. בנוסף לאנטי וירוס יש לדאוג למספר שכבות הגנה נוספות בהתאם לצרכי הארגון ולתקציב שלו וכמובן שבמקביל חשוב מאד לעודד מודעות עובדים לאבטחת המידע בארגון שכן לא מעט מהחדירות לארגון נעשות על ידי הגורם האנושי

עיניים ברשת הארגונית או במילים אחרות EDR

EDR משקף תפיסה של הסתכלות מ"מבט על" על הרשת הארגונית – לא רק מניעת מתקפות אלא ניטור אירועי אבטחה מבעוד מועד, יכולת לתחקר אותם לעומק ולהגיב עליהם.

במילים פשוטות EDR הם העיניים של מנהלי האבטחה. פתרון EDR מספק נראות של הרשת, איך המתקפה חדרה לארגון ומה קרה מהרגע שהיא חדרה לארגון. באמצעות פתרון הזה אפשר לזהות מתקפות שטרם נצפו בעבר (ZERO-DAY) מתקפות APT, מתקפות fileless וכו'

פתרון ה-Endpoint Detect and Respond) EDR) של ESET מכיל שלושה רכיבים עיקריים:

Detection – מנוע זיהוי מבוסס Machine Learning ובינה מלאכותית על מנת לזהות אנומליות ופעולות חשודות.

Visibility – נראות המאפשרת תחקור מעמיק של תחנות הקצה המושפעות, האם הפעילות החשודה היא עוינת או לגיטימית? מה מקור האיום, מתי חדר לארגון, איך חדר? וכו'

Response – יכולת להגיב לאירועים בזמן אמת על ידי חסימה של האירוע, אפשרות לבודד וכו'

האם EDR הוא פתרון אוטומטי?

פתרונות EDR לרוב הם שילוב של אוטומציה וניהול אנושי. אין 100% אוטומציה שכן מהות הפתרון הוא לנטר אירועים, איש מקצוע נדרש להסתכל על האירועים לסווג אותם ולנהל אותם על פי מתודות עבודה מתאימות לארגון שלו. לב ליבו של פתרון ה-EDR הוא בהתראות על אירועים והיכולת לנהל ולנטר אותן

הסתכלות 360 על אבטחת הארגון

ניהול אבטחת הארגון היא משימה מורכבת ועל מנת להצליח ולשמור על הארגון מפני תוקפים, נדרשת הסתכלות 360 על הארגון. יש מגוון כלים המאפשרים חיזוי, מניעה, זיהוי ותגובה והחשיבות היא בשילוב של הפתרונות, כך שלמנהל אבטחת המידע תהיה מוטת שליטה רחבה ככל האפשר.

חשוב להשתמש בפתרונות המתמחים במניעה ובלימה של האיומים כמו Endpoint Protection ופתרונות משלימים עם שכבות הגנה נוספות על מנת לצמצם את הסיכונים.

וכמובן חשוב לשלב יכולות EDR זיהוי, תחקור ותגובה שיספקו עיניים ברשת למנהלי אבטחת המידע, ניתן יהיה לנטר אירועים עוד לפני שסווגו כאיומים ולהציל את הארגון מפני מתקפה פוטנציאלית.