XDR un MDR risinājumu loma preventīvā drošības pieejā.
“Kā tas varēja notikt?”
Šāds jautājums uzņēmuma vadītājiem un drošības operāciju centra komandai rodas pēc veiksmīga izspiedējvīrusa uzbrukuma.
Bieži vien scenārijs ir viens un tas pats – nejaušs pikšķerēšanas e-pasts ielavās darbinieka e-pasta kastītē un darbinieks, neapzinoties riskus, to atver, un šķietami leģitīma izskata vietnē ievada savu personību identificējošu un darba informāciju.
Sociālā inženierija un e-pasta krāpniecība aizvien ir viens no izplatītākajiem un lielākajiem draudiem ar kuriem saskaras uzņēmumi visā pasaulē. ESET pētniecības rezultāti liecina, ka pikšķerēšanas un Trojas zirgu saturošie e-pasti ir draudu noteikšanas augšgalā.
Pavisam nesen Rhysida ransomware kompromitēja PlayStation Studios meitasuzņēmumu Insomniac Games. Studijai atsakoties samaksāt pieprasīto izpirkuma maksu, tika nopludināti terabaiti ar datiem. Neskatoties uz rezultātu, šī ir leģitīma stratēģija, jo uzbrucēji nav pati uzticamākā virtuālā dalībnieku grupa).
Vai pastāv drošības pieeja, kas varētu novērst šādus uzbrukumus? Aplūkosim profilakses pieeju, izmantojot Paplašināto Noteikšanu un Reaģēšanu (XDR) vai Pārvaldīto Noteikšanu un Reaģēšanu (MDR).
Pastāvīgi draudi nemitīgi apdraud veiksmīgus uzņēmumus
Gluži kā pasaku stāstos kuros zagļi nozog princeses un cēlie varoņi dodās tās glābt, izspiedēvīrusi un vairums kiberuzbrukumi darbojas pēc līdzīga principa.
Taču pūķu vietā, kas cenšas nodedzināt pilis, mēs runājam par bīstamiem ļaunprogrammatūru veidiem, kuri cenšas iekļūt un pārņemt lietotāju un uzņēmumu “pilis”. Mūsu varoņu jeb kiberdrošības speciālistu uzdevums ir noturēt pils sienas, kuras ir šķietami drošas un nenobrucināmas, ar visiem tiem pieejamiem šķēpiem un vairogiem… ja neņem vērā lielu caurstaigājamu caurumu pils mūra pamatos, kuru aiz zaļā krūmāja, kas to piesedz, palicis sargiem nemanīts.
Iespējams, ar metaforām pārbagātais skaidrojums var likties vienkāršs, taču doma ir skaidra – vienmēr pastāvēs konkrētas ievainojamības, no uzbrukumiem neaizsargātas virsmas un vektori, vai pat robi aizsardzības virknē, kurus varam nemanīt vai uzskatīt par maznozīmīgākiem nekā tie patiesībā ir.
Uzbrucēji vienmēr centīsies gūt piekļuvi uzņēmuma iekšējai sistēmai-tieši tur visbiežāk ir atrodami svarīgākie faili, piekļuves un dati, kuri ir tik svarīgi uzņēmumu vadītājiem un izpilddirektoriem. Vērtību šādai informācijas piekļuvei var lēst miljonos, savukārt lielāku uzņēmumu gadījumos arī miljardos Eiro un ASV Dolāru – tieši tas ir uzbrucēju galvenais motivators.
Uzskatāmi piemēri ir nesenie SolarWinds un MOVEit piegādes ķēdes uzbrukumi. 2020. gada SolarWinds uzbrukums noticis nepietiekami novērtētas un slikti paziņotas ievainojamības rezultātā, savukārt 2023. gada MOVEit izraisīja hakeri, ekspluatējot trūkumus failu pārsūtīšanas programmatūrā, tādējādi iegūstot piekļuvi sensitīviem klientu datiem. Emisoft novērtējis MOVEit uzbrukuma zaudējumus 15 miljardu ASV dolāru apmērā, savukārt rezultātā negatīvi ietekmēto organizāciju skaits – virs 2700.
Abos minētajos uzbrukumos nebija nozīmes tam, vai uzbrukums tiek veikts pret vienu konkrētu uzņēmumu, jo piegādes ķēdes uzbrukuma rakstura dēļ jebkurš saistītais partneris/klients var ciest papildu bojājumus, kā rezultātā bieži tiek piekļūta informācijai un tā tiek nopludināta un tāpēc jāsaprot, ka piegādes ķēdes uzbrukumu gadījumā neviens nav drošībā… ja vien netiek ieviesti konkrēti piesardzības pasākumi, piemēram, ieguldīšana XDR vai MDR pakalpojumos, kuri tos novērš.
Ievainojamības: par un ap
Mūsdienās nulles dienas ievainojamības ir grūti novērst tāpēc, ka vairumā gadījumu tie parādās dažādu programmatūrās atrodamo un izstrādātājiem nenojaušamo kļūdu dēļ. Laika gaitā ievainojamības var tikt atklātas un sekojoši reģistrētas no organizāciju puses, kā to dara MITRE, kas uztur izplatītāko ievainojamību un iedarbību (CVE) reģistru.
Viens veids kā novērst ievainojamību ļaunprātīgu izmantošanu ir regulāra sistēmu un lietotņu drošības atjaunojumu veikšana vai ievainojamības ar ielāpu pārvaldības funkciju lāpīšana, kas mūsdienās ir samērā izplatīts kiberapdrošināšanas nosacījums.
Tādi risinājumi kā ESET Ievainojamību un Ielāpu Pārvaldība sniedz pārskatu pār ievainojamībām, kuras ir visproblemātiskākās, balstoties uz pielietotām lietotnēm, ar piekļuvi tūlītējam ielāpam.
Ievainojamības ir tik būtisks kopbildes faktors tāpēc, ka veiksmīgu ielāpu ielāde un atjauninājumi spēlē nozīmīgu lomu uzņēmuma draudu virsmu pārvaldībā. Drošības administratoriem šeit ir jāpierāda sava efektivitāte gan ofisa klātienes, gan hibrīda vai attālināta modeļa darbinieku ierīču un drošības pārvaldībā neatkarīgi no tā kā iekārtas lietošana paplašinās ārpus uzņēmuma telpām, un drošības paplašināšana ir tikpat būtiska jomām un darbībām, kuras drošības administratori neredz. Tas nāk ar virkni jaunu problēmu, tai skaitā potenciālas jaunās ievainojamības, iespējamie negadījumi un apdraudētie lietotāji kuriem ir piekļuve kritiskiem iekšējiem tīkliem vai datiem, kuriem tiek piekļūts caur datoriem, telefoniem vai planšetēm.
Laikā, kad mākonī balstīti rīki ir kļuvuši par normu, jautājums par ievainojamībām ir īpaši aktuāls darbiniekiem kuri lieto šīs ierīces mājās. Daudziem izmantojot SharePoint un citas ar mākoņa palīdzību darbināmas iekšējās datu krātuves un koplietošanas tīklus, mākoņa drošība ir kļuvusi par īpaši būtisku aizsardzības sastāvdaļu. Vēl jo vairāk, gan priekšrocības, gan riski tiek novirzīti uz tādām mākoņpakalpojumu lietojumprogrammām kā Office 365 un Google Workspace Suite, tādējādi jo lielāks ir savienojums starp iekšējiem serveriem un ārējiem lietotājiem, jo vairāk iespēju pastāv to ekspluatēšanā. Šāda parādība ir ļoti redzama gadījumos kur, piemēram, Microsoft Teams, tika izmantots lai caur ārējiem kontiem dalītos ar ļaunprātīgu programmatūru, kura nemaz nepiederēja mērķa organizācijai.
Paplašināta tīkla uzraudzība
Mākoņa drošība ir zīmīga taču nepietiekama, īpaši no drošības administratora viedokļa, kuram ir padziļinātāka izpratne par sava uzņēmuma tīklu, ar specifiskiem brīdinājumiem, noteikumiem un nosacījumiem, kuri izceļ un konkretizē izšķirošos brīžos radušās problēmas, piemēram, kad uzbrucēji mēģina izmantot uzņēmuma datus vai līdzekļus.
Lai gūtu lielāku izpratni par savas organizācijas vidi, prasmīgi administratori visticamāk izvēlēsies XDR risinājumu ar piekļuvi ātrai iespējamo incidentu novēršanai. Piemēros kad uzņēmumam ir atvēlēti līdzekļi šāda risinājuma iegādei un uzturēšanai, šī ir labākā iespējamā prakse.
Protams, XDR uzdevumus var atvieglot, izvēloties tādus efektīvus un intuitīvus programmatūru risinājumus kā ESET Inspect. Drošības administratora ikdiena tiek atvieglota, jo ESET Inspect nāk ar konkrētiem iepriekš ielādētiem noteikumiem, kur arī tālākie uzlabojumi ir samērā vienkārši konfigurējami pateicoties elegantajam interfeisam. Taču jāapzinās, ka arī šāds risinājums prasa ne vien laiku, bet arī pietiekama savas vides pārzināšana no administratora puses, spējot atpazīt noteikumus, kurus nepieciešams konfigurēt, pielāgot un uzstādīt pēc prioritātes.
Uz noteikumiem balstīta noteikšana drošības personālam izceļ pašus svarīgākos notikumus
Tālāk ESET Inspect automātiskais incidentu veidotājs dara savu darbu, apkopojot incidenta notikumus, tā paātrinot incedentu novēršanu, sniedzot administratoriem vairāk laika un iespējas pievērsties svarīgākiem darbiem.
Pārkāpumu Veidotājs izzīmē visu negadījuma ainu, tādējādi atvieglojot adiminstratora darbu
Taču rodas jautājums- vai ar to ir gana? Vai XDR var novērst iepriekš minētu izspiedējprogrammatūru uzbrukumus?
Laiks apturēt izspiedējprogrammatūras
Lai arī XDR pielietošana ir viens veids kā apturēt izspiedējprogrammatūras, administratoriem jāspēj gana ātri reaģēt, apturot draudu visās lokācijās un novēršot to pēc iespējas ātrāk, saprotot, kur pārkāpums ir noticis.
XDR spēj palīdzēt, jo piedāvā granulētu pārskatu Jūsu uzņēmuma videi. MOVEit sāgas laikā ESET Inspect izdevās atklāt kompromisu un nodrošināt administratorus ar tiem saistītiem žurnālierakstiem.
Gadījumā, ja šis ir nepietiekami vai ja uzņēmumam nepieciešama profesionālāka palīdzība ātrākai novēršanai un atkopšanai, pakalpojumi kuri ietver lielāku kapacitāti un drošības ekspertus ar profesionālu programmatūru- MDR pakalpojumiem – mēs esam īstā izvēle.
MDR ir ļoti līdzīgs XDR, taču tam piemīt papildus priekšrocību slānis – tas ir pakalpojums, kas uzņēmuma kiberdrošības pārvaldīšanai reālajā laikā nodrošina ekspertu. Kamēr XDR ir lieliska izvēle uzņēmumiem ar pietiekamu personāla skaitu, institucionālām zināšanām un spēju cīnīties pret sarežģītiem draudiem, MDR-pateicoties ekspertu nodrošinātam padziļinātām zināšanām par pieejamo rīku (XDR) un draudu ainavu- paceļ drošību jaunā līmenī.
Tas nozīmē augsta līmeņa atbalstu pārkāpumu gadījumos jebkurā brīdī un cik vien bieži vai reti nepieciešams- jebkurā darba dienā, nedēļas nogalē vai svētku dienās – MDR ir 24/7/365 pakalpojums. Tāpēc, ja izspiedējprogrammatūras uzbrukums notiek brīdī, kad lielākā daļa uzņēmumu nestrādā, MDR komanda tik un tā nekavējoties reaģēs uz draudu arī tad, ja uzņēmuma iekšējo speciālistu resursi ir nepietiekami.
Šāds pakalpojums ir aktuāls arī maziem un vidēji lieliem uzņēmumiem kuriem sakarā ar ierobežotiem resursiem trūkst vai nav šāda speciālista iekšēji. Mazie un vidējie uzņēmumi saskaras ar tādiem pašiem draudiem kā lielie uzņēmumi, tostarp arī izspiedējvīrusiem, kuru gadījumā vienmēr nepieciešama tūlītēja reaģēšana.
Secinājumi
Proaktīva incidentu novēršana pirms to iespējas ielauzties sistēmā pieprasa jaunu uzmanības līmeni un prasmes, nekā jau notiekoša incidenta apturēšana.
Gan XDR, gan MDR ir izcila izvēle cīņai pret izspiedējvīrusiem un ar to saistītiem draudiem, jo tie palīdz uzņēmumiem stāties pretī pat vismānīgākajiem draudiem.
Un lai arī ESET PROTECT drošības platformas iespējas palīdz aizsargāt specifiskas vides, gan iekšējie gan ārpakalpojuma atklāšanas un reaģēšanas risinājumi kombinē to ērtā un pārvaldāmā kopskatā. Tas nodrošina detalizēta un skaidru izpratni par uzņēmuma drošības procedūrām, sniedzot drošības speciālistiem nepieciešamos un piemērotākos rīkus laicīgai reaģēšanai un labošanai.