Aktiv och autonom EDR är säkerhetsteamens bästa kollega

[KANALRÖST} Dagens säkerhetsteam fullkomligt drunknar i jobb och det saknas cybersäkerhetsexperter.

Aktiv och autonom EDR är säkerhetsteamens bästa kollega 1Samtidigt fortsätter den globala volymen av cyberattacker att öka och attackerna blir allt mer sofistikerade. Exempelvis förutspådde Juniper att den globala kostnaden för cyberbrott skulle överstiga 2 biljoner dollar i slutet av 2019. Med en palett av verktyg tillgängliga har cyberbrottslingar börjat orkestrera attacker mot organisationers infrastruktur, helt enkelt som ett sätt att testa sin kapacitet innan de startar en fullskalig attack någon annanstans.

Allt fler dataregelverk och nya standarder kräver att organisationer tillhandahåller komplexa och mycket detaljerade rapporter med data efter en cyberattack. Säkerhetsteamen är under press för att hinna med mer än någonsin tidigare, samtidigt som de måste göra det med färre resurser, mindre färdigheter och mindre tid. Det är kanske dags att säkerhetsteamen förstärks av en ny allierad, en unik sorts kollega som arbetar intelligent och självständigt och sparar värdefull mänsklig tid. Kollegan heter ActiveEDR. Den har förmågan att samla data till en meningsfull berättelse med TrueContext, och det enda säkerhetsteamen behöver göra är att granska dessa fullständiga, kontextualiserade fynd, baserade på en enda IOC-sökning. Dessutom kan EDR autonomt härleda varje händelse på den infekterade enheten till dess början, utan att förlita sig på molnresurser.

När det gäller de nya krav på omedelbar incidentrapportering, som vanligtvis behövs i ett kort 72-timmarsfönster, kan autonom EDR samla all nödvändig information inom tidsgränsen och omedelbart avlasta säkerhetsgrupperna från det enorma trycket som följer med dessa regler. Förutom att samla in nödvändiga uppgifter kan en autonom EDR-lösning följa kedjan tillbaka i cyberattacker. Så om en cyberkriminell framgångsrikt har åtkomst till en kund eller annan känslig information, och har omstartat systemet för att dölja sina spår, kan detta omedelbart bli ogjort. Om personal skulle ha gjort samma sak måste systemen saneras genom att kedjan skapas manuellt med allt vad det innebär av felmarginaler och krav på mänskliga resurser. Det kan leda till att falska data rapporteras tillbaka till dataregleringsorganisationer. Med ActiveEDR saneras systemen automatiskt i realtid.

Säkerhetschefens bästa rekrytering

Med ett ökande tryck på säkerhetsteam är en aktiv automatiserad EDR-lösning inte längre bara trevligt att ha, utan en ren nödvändighet. De senaste åren har det skett en markant ökning av rapporter om attacker mot leveranskedjor som resulterar i att de organisationer som är involverade i kedjan blottas. Ett exempel är datortillverkaren Asus som blev offer för en attack under 2018 som placerade skadlig kod hos nästan en miljon kunder via leveranskedjan. Aktiv EDR bör byggas in i en löpande arbetsprocess för ultimat respons. På det sättet kan säkerhetsmedarbetare vara säkra på att deras aktiva EDR övervakar både kritiska och icke-kritiska system, tillämpar höga detekteringsfunktioner på deras kritiska data och bygger nödvändiga anpassningsdetekteringsfunktioner. EDR är den bästa nya ”kollegan” för cybersäkerhetsfolk eftersom den både övertar de manuella och besvärliga uppgifterna och frigör SOC-teamets tid och begränsade resurser till där de behövs som mest.

av Patrice Puichaud, SentinelOne