Renginiai 0
Lt
Renginiai 0
Paieškos rezultatas:
Daugiau
Pagrindinis puslapis Naujienos Visiškas tinklo matomumas: pamatas apsaugai nuo užpuolikų, kurie aplenkia EDR
Visiškas tinklo matomumas: pamatas apsaugai nuo užpuolikų, kurie aplenkia EDR- vaizdas 1
Aktualności
Paskelbta:

Visiškas tinklo matomumas: pamatas apsaugai nuo užpuolikų, kurie aplenkia EDR

Kibernetinių nusikaltėlių naudojami atakų veikimo metodai tampa vis sudėtingesni, o jų tikslas lieka tas pats: įsilaužti į organizaciją, pavogti duomenis, paralyžiuoti infrastruktūrą arba išreikalauti išpirką. Nors EDR įrankiai lieka modernių saugumo sistemų pagrindu ir žymiai padidina apsaugos lygį, jie nėra pajėgūs savarankiškai susidoroti su šiandieniniais pažangiais atakos metodais.

Kaip išryškinta e-knygoje „Atakos Dilema“, kurią paskelbė ExtraHop, užpuolikai puikiai žino, ko tikėtis iš galinių punktų apsaugos – ir dėl to vis dažniau renkasi būdus, kurie leidžia jiems veikti už EDR ribų.

Visiškas tinklo matomumas: pamatas apsaugai nuo užpuolikų, kurie aplenkia EDR - vaizdas 1
3 PAGRINDINIAI KIBERNUSIKALTĖLIŲ METODAI

Kaip užpuolikai apeina EDR apsaugas: trys pagrindiniai metodai

EDR tapo toks efektyvus sustabdant malware infekcijas ankstyvame etape, kad kibernetiniai nusikaltėliai vis dažniau griebiasi technikų, kurios leidžia veikti už šių įrankių ribų. Kaip nurodo ExtraHop, dažniausiai taikomi trys šie būdai:

1️⃣ Kredencialų vagystė

Prisijungimo vardų ir slaptažodžių vagystė šiuo metu yra populiariausias būdas gauti prieigą prie organizacijos išteklių. Pasak 2024 Verizon Data Breach Investigations Report, kredencialų vagystė vaidino svarbų vaidmenį daugiau nei pusėje visų analizuotų pažeidimų. Kai užpuolikas apsimeta tikru vartotoju, jis nesukelia įtarimų EDR sistemose – ir tai suteikia jam laiko ištirti aplinką ir pasiruošti tolesniems atakos etapams.

2️⃣ Išnaudojant pažeidžiamus taškus (exploiting vulnerabilities)

Didėjantis pažeidžiamumų kiekis – tarp jų zero-day, tiek serverių programinėje įrangoje, tiek pačiose saugumo sprendimų – suteikia kibernetiniams nusikaltėliams idealų kelią į gilesnius organizacijos tinklus be sąveikos su galutiniais punktais. Vis daugiau jų naudoja specialius įrankius, vadinamus EDR killers, kurie sugeba išjungti arba apeiti EDR agentų veikimą.

3️⃣ Naudojant įdiegtus sisteminius įrankius (Living off the land)

Užuot pateikę klasikinį malware, užpuolikai noriai naudojasi jau prieinamais sistemos įrankiais, tokiais kaip PowerShell, esantis kiekviename Windows įrenginyje. Dėl to priešai gali vykdyti komandas, judėti tinkle ir išvesti duomenis neaktyvuodami antivirusinių ar virusų signatūrų. Šis veikimo būdas yra žymiai sunkiau aptinkamas, nes nesukuria klasikinių kenksmingos programinės įrangos artefaktų.

ENDPOINT DETECTION AND RESPONSE

Kodėl EDR nebepakanka?

EDR išlieka pagrindiniu galinių punktų apsaugos stuburu ir – kaip pabrėžia ExtraHop – vis dar yra būtinas kiekvienos brandžios saugumo ekosistemos elementas. Tačiau šiuolaikinių IT aplinkų sudėtingumas ir auganti kibernetinių nusikaltėlių kūrybiškumas lemia, kad tokių sprendimų veikimas turi natūralių apribojimų.

Vis dažniau užpuolikai veikia srityse, kuriose EDR agentas neturi pilnos kontrolės ar stebėjimo galimybės – infrastruktūros įrenginiuose (IoT, spausdintuvai ar serveriai), aplinkos segmentuose be agentų, naudojant teisėtus sisteminius įrankius arba slepiant savo veiklą šifruotame, netikrinamame tinkle.

Dėl to organizacija negauna pilno vaizdo apie tai, kas iš tikrųjų vyksta aplinkoje. Norint gauti pilną atakos vaizdą ir suprasti visą užpuoliko veiksmų seką, būtinas antras, papildomas duomenų šaltinis.

NETWORK DETECTION AND RESPONSE

NDR – antrasis matomumo sluoksnis, būtinas pilnai apsaugai

Network Detection and Response (NDR) suteikia įžvalgas, kurių EDR negali pateikti – apima visapusišką tinklų eismo analizę tiek north-south, tiek east-west, nepriklausomai nuo to, ar stebimi įrenginiai turi įdiegtus agentus.

Tai kyla iš to, kad tinklas pateikia unikalius duomenis apie grėsmes, kurių sunku gauti kitaip:

  1. Užpuolikai negali apeiti tinklo – Kiekvienas užpuoliko pakopos žingsnis – prisijungimai prie C2 serverių, išteklių skenavimas, pasiruošimo išnaudojimas – privalo pereiti per tinklą. Tai reiškia, kad paketai palieka ilgalaikį, neabejotiną įrašą, kuris leidžia atkurti tikrąją priešo veiklą, net jei jis naudoja slėpimo technikas ar be failų įrankius.
  2. Tinklas atskleidžia įrenginių aktyvumą, kurių EDR neapima – Kiekvienoje aplinkoje yra įrenginiai be agentų – kameros, spausdintuvai, IoT, domenų valdikliai, duomenų bazių serveriai ar kiti ištekliai. Kiekvienas įrenginys generuoja eismą, todėl gali išduoti atakos simptomus. Tyrimų duomenimis, net 47% kritinių įrenginių yra atviri viešajam internetui, todėl jie yra patrauklus tikslas. Tik tinklų eismo analizė gali aptikti grėsmes, nukreiptas į tokius elementus.
  3. Duomenys iš tinklų niekur kitur nėra prieinami Firewall stebi tik north-south eismą, todėl neaptiks veiklų vykdomų vidiniame tinkle. Tuo tarpu būtent east-west eisme užpuolikai slepiasi ilgiausiai – vykdydami žvalgybą, atlikdami šoninius perėjimus ir rengiantys destruktyviausius atakos etapus, tokius kaip ransomware. Tik NDR užtikrina pilną įžvalgą į šiuos procesus.
EDR, NDR, SIEM

Stipriausia apsauga: EDR, NDR ir SIEM derinys

ExtraHop pabrėžia, kad efektyviausia SOC strategija yra trijų pagrindinių sluoksnių integracija – EDR, NDR ir SIEM – kurie kartu suteikia pilną, daugiamačio matomumą bei veiksmingą reakciją į grėsmes. Toks derinys leidžia:

  • greitesnį grėsmių aptikimą dėka duomenų koreliacijos iš įvairių šaltinių,
  • pilną incidentų kontekstą, apimantį tiek galinių punktų aktyvumą, tiek tinklų eismą,
  • gynybinių veiksmų automatizavimą, sutrumpinant SOC reagavimo laiką,
  • aukštesnę įspėjimų kokybę, paremtą turtingesnėmis, patikimesnėmis duomenų rinkiniais,
  • retrospektyvų grėsmių analizę paremtą turtingais istoriniais metaduomenimis ir visapusišku tinklų kontekstu.

Būtent tinklų sluoksnis suteikia organizacijoms raktinį strateginį pranašumą: gynytojams reikia tik vieno sėkmingo aptikimo, kad sustabdytų ataką, tuo tarpu užpuolikas turi likti nepastebėtas visą operacijos laiką.

SUSISIEKITE SU MUMIS

Kodėl verta rinktis ExtraHop sprendimus?

Tinklo analitinio sluoksnio, tokio kaip ExtraHop RevealX, diegimas nėra tik atsakas į didėjantį atakų skaičių, bet visų pirma strateginė investicija į organizacijos atsparumą. Naudojant išsamią tinklo srauto analizę, pažangias analizes ir momentinius įspėjimus, NDR leidžia greičiau nustatyti anomalijas, sutrumpinti reakcijos laiką ir sustiprinti esamus saugumo sprendimus su esminiais duomenimis, kurių nesuteikia joks kitas šaltinis.

EDR, NDR ir SIEM derinys leidžia organizacijoms ne tik greitai aptikti atakas, bet taip pat suprasti jų visą kontekstą ir imtis tinkamų veiksmų tinkamu metu. Jei norite sužinoti, kaip ExtraHop sprendimai gali sustiprinti jūsų infrastruktūros saugumą ir gerokai pagerinti jūsų SOC galimybes, kviečiame susisiekti. Kaip oficialus ExtraHop platintojo partneris džiaugiamės galėdami pristatyti visas RevealX platformos galimybes ir padėti pasirinkti geriausiai jūsų organizacijos poreikius atitinkantį sprendimą ➡️ Kontaktai

Jei norite turėti prieigą prie viso elektroninės knygos „The Attacker’s Dilemma” turinio iš ExtraHop, susisiekite su mumis el. paštu ➡️ [email protected]

Naujienos

Dabartinės naujienos jūsų tema

Visos naujienos
Tapatybė tinklo saugumo centre: kaip ExtraHop padeda aptikti grėsmes realiu laiku
Aktualności
Tapatybė tinklo saugumo centre: kaip ExtraHop padeda aptikti grėsmes realiu laiku
Daugiau
Duomenų architektūra AI agentų eroje – pagrindinės Cribl ataskaitos išvados 2026 metams
Aktualności
Duomenų architektūra AI agentų eroje – pagrindinės Cribl ataskaitos išvados 2026 metams
Daugiau
Ping Identity su iIT Distribution portfeliu!
Aktualności
Ping Identity su iIT Distribution portfeliu!
Daugiau
Visos naujienos
Ši svetainė naudoja slapukus IITD privatumo polityka