EDR är död, länge leva aktiv EDR

Den sorgliga sanningen är att traditionell EDR ger för många varningar och för lite eller inget sammanhang alls.

Användare av EDR-verktyg blir förslavade av de ständiga varningarna och saknar tid till att skapa kontext för var och en av dem. Medarbetarteam och lagring räcker inte till för dagens mängd data. Om vi ​​ska hålla jämna steg med dagens cyberbrottslingar behöver vi aktiv EDR som fortsätter att utvecklas över tid.

Det är knappt man minns när EDR (Endpoint Detection and Response) som vi känner det idag inte fanns, utan det som fanns var en mängd kriminaltekniska verktyg med ett ”E” (Endpoint) involverat. Dessa verktyg skulle analysera information i ett försök att sammankoppla vad som hände i ett system, utan något “D” (Detection) eller “R” (Response) i sikte. För sex år sedan föddes traditionell EDR. Med det kom större slutpunktsynlighet, kontext och gav lösningar på en rådande lucka i säkerhetstillstånd över hela världen.

EDR gav också tids- och kostnadsbesparingar. Det behövdes inga fler utredare som efterforskade komprometterande data, ingen manuell datainsamling och inga fler föråldrade kriminaltekniska verktyg. Med EDR kunde världens CIO:ar använda sig av förbättrade upptäcktsfunktioner, bredare nätverkssynlighet och avancerad efterforskning av data. Föga anade CISO:arna att EDR skapat en Pandoras ask.

Behåll förartröjan i konkurrensen

Tyvärr håller ingen sig på topp i all evighet, det vet alla som någonsin hållit på med idrott. Det gäller även slutpunktsäkerhet. När teknologin utvecklas, utvecklas även dess angripare. Inom EDR betydde detta att angriparna hittade nya sätt att fördröja ett omedelbart svar eller helt undvika upptäckt. Ju mer sofistikerade attackerna blev, desto lättare var det att undvika några av de traditionella EDR-protokollen.

Om till exempel en EDR-lösning misstänkte skadligt beteende skulle den plikttroget bevaka och invänta att något dåligt skulle hända. Om det gick för lång tid skulle antiviruset ge upp och vända uppmärksamheten åt annat håll. Angripare anpassade sig till detta, så när de riktade sig till företag med traditionell EDR kunde de sakta in sin attack så att den så småningom lämnades utan övervakning. Härifrån var de fria att etablera sig och hämta de händelser som EDR skulle länka och identifiera som en attack.

Ovanstående är bara ett exempel på traditionell EDR, en gång höjden av slutpunktsäkerhet, som visade sig bli endast ett litet gupphinder för dagens angripare innan de gick vidare med sin skadliga verksamhet.

Aktiv EDR möter en förändrad värld

En Aktiv EDR tillämpar intelligenta taggar på varje process och dess aktivitet korrelerar oberoende och agerar autonomt. Det betyder att oavsett hur lång tid en angripare tar på sig att genomföra sin plan – vare sig det är dagar, veckor eller längre – finns det alltid en tillhörande tagg som kan spåras tillbaka. Enkelt uttryckt betyder det att omedelbart svar inte försvinner, trots angriparnas ansträngningar. Dessa taggade data målar en fullständig bild av attacker eller angrepp mot säkerhet, även i stor organisationsskala, utan att behöva slösa tid på att sortera en hög volym av irrelevant data. Detta blev ett frustrerande problem med traditionell EDR.

Om en organisation blir offer för en attack, med en avancerad EDR-taggningsprocess (ActiveEDR) saneras system automatiskt i realtid. Företaget kan helt enkelt spola tillbaka de nödvändiga återställningssystemen till det tillstånd de var i innan angriparen störde, som om ingenting hänt. Med alla protokoll, förebyggande åtgärder och möjligheter som nya kan vi ersätta gårdagens föråldrade EDR med det vi inom SentinelOne benämner ActiveEDR.

Det är ingen hemlighet att cybersäkerhetslösningar har varit steget efter angriparna alltför länge när det gäller cybersäkerhet. Det må vara så att de kriminella har gått i fronten, men med ActiveEDR till vårt förfogande går vi sida vi sida och då har organisationer avsevärt förbättrat sina odds i kampen mot cyberkriminella.