EDR sistemak, zibererasoen aurkako prebentzio adimenduna

Zibergaizkileek gero eta teknika sofistikatuagoak erabiltzen dituzte enpresen aurkako erasoak egiteko. Hori dela eta, mehatxu eta arrisku konplexuenak neutralizatzeko, tresna eraginkorragoak martxan jarri behar izan dira.

Tresna horietako bat EDR sistemak dira (ingelesez Endpoint Detection Response). Atzemateari eta prebentzioari dagokienez, EDRak antibirus tradizionalekin misio bera duten sistemak dira, baina monitorizatzeko eta jarduteko teknologia konplexuagoak erabiltzen dituzte, hala nola adimen artifiziala edo big data, enpresa-erakunde bateko ekipoen eta azpiegituren babesa handitzeko. Teknologiarik aurreratuenak, oharkabean gerta daitezkeen segurtasun-mehatxuak eta -gertaerak detektatzeaz gain, beren kabuz mehatxuen identifikazioa eta prebentzioa optimizatzeko gai dira, haien eragina murrizteko eta ezabatzeko.

EDRek etengabeko monitorizazioaren bidez babesten dute zure enpresaren sarera konektatutako gailu bakoitza (endpoint), baina giza faktorea eta beste eraso-bektore batzuk ere hartzen dituzte, hala nola exploitak eta mehatxu aurreratuak (APT edo Advanced Durent Threat bezalako kanpaina maltzurrak, oso helburu espezifikoa dutenak).

Endpoint batek dituen arrisku nagusiak

Zibereraso motaren arabera, EDRetan endpointak dituen arrisku nagusiak hauek dira:

• Baimenik gabeko sarbidea datu eta informazio konfidentzialetara.
• Phishing erasoen bidez datuak lapurtu eta galtzea.
• Ekipoen blokeoa eta ransomwarea.
• Urrunetik konektatutako gailuetatik datorren edozein arrisku.
• Antibirus batek detektatu ezin duen kode maltzurra duten dokumentuak.
• Fitxategirik gabeko Fileless Malwarea edo Malwarea jarduera maltzurra da, analizatu beharreko fitxategirik ez dagoenez birusen aurkako softwareak ez du detektatzen. Hala ere, EDR bat lagungarria izan daiteke mota horretako mehatxuetatik babesteko, aparteko segurtasun-geruza bat sortzeko.
• Antibirusak ez detektatzeko etengabe aldatzen diren birusak.

EDRak erabiltzen dituzten teknologiak

Teknologiarik aurreratuenari eta iragarpen-teknologiari esker, EDR sistemak malware ezezaguna detektatzeko ohiko antibirusak baino eraginkorragoak dira, bere erantzuna optimizatzen duten analisi- eta ikaskuntza-teknologiak erabiltzen baititu. Hona hemen teknologia horietako batzuk:

• Datuen analisia eta machine learning, ikaskuntza automatizatzeko eta erantzuna hobetzeko.
• Prozesuak isolatzea edo sandboxinga zalantzazko kodea segurtasunez exekutatzeko.
• Konpromiso Adierazleetatik (IOC) abiatuta sortutako alertak, hau da, zibersegurtasuneko gorabehera baten deskribapena, jokabide-ereduak aztertuz.
• Gertakariak ikertzea eta arakatzea, malwarearen bilakaera ezagutzeko eta prebentzioa hobetzeko.

Nola funtzionatzen dute EDR Sistemek

Orokorrean EDR Sistemak hiru funtzio dituzte:

• Mehatxuak blokeatzen dituzte.
• Arazoa konpondu eta ezabatzen dute.
• Mehatxuaren zergatia ikertzen dute.

Lan horiek egiteko, EDR sistemek lehenik endpointen jarduera monitorizatzen dute, eta artxibo, aplikazio eta prozesu guztiak hiru kategoriatan sailkatzen dituzte: aseguruak, ezezagunak edo arriskutsuak izan daitezkeenak.

Sistemak enpresaren gailu informatikoetako batean fitxategi ezezagun bat detektatzen duenean, EDRak automatikoki kentzen du eta koarentenan gordetzen du: une horretatik aurrera, erakundeko kide baten jarduteko modua emulatzen duten hainbat proba egiten ditu.

Horrekin batera, machine learning software batek aztertzen du eta datu-basean sartzeko egin beharrekoa ikasten du. Analisia osatu ondoren, sistemak mehatxua dela ondorioztatzen badu, endpoint guztietan blokeatu eta etorkizunean exekutatzea eragotziko du.

Antibirusekiko abantailak eta desabantailak

EDRen funtzionamenduak aparteko segurtasuna ematen du ohiko antibirusekin edo EPPekin (Babes Pertsonaleko Ekipoak) alderatuta. Abantaila hauek ditu, besteak beste:

• Enpresetan mehatxuak edota erasoak gertatzean aurrea hartzeko gaitasun handiagoa ematen diete.
• Segurtasun-gorabeheren eraginpean egoteko denbora murrizten dute eta kalteak gutxitzen laguntzen dute.
• Mehatxuei buruzko informazioa automatikoki biltzen eta gordetzen dute, eta arriskuak detektatzeko patroi automatizatuen bidez identifikatzeko lana hobetzen laguntzen dute.
• Konfigurazio-sistema eta -fitxategi gakoen osotasuna monitorizatzen dute, eta alertak bidaltzen dituzte alterazio susmagarrien kasuan.

Hala ere, tresna horiek desabantaila batzuk dituzte EPPekin alderatuta: 

• Bateragarritasun-arazo jakin batzuk gerta daitezke endpointean, gailu horiek EDRak onartzen ez dituen sistema eragileekin ebaluatu eta egiaztatzea eragozten dutenak
• EDRek, antibirusekin alderatuta, konfiguratzeko eta martxan jartzeko denbora gehiago behar dute.
• EDRek egiten duten etengabeko analisiak aztertu beharreko fitxategi eta gailuen bolumena handiagotu dezake. Ondorioz, analisian zehar sortzen diren itoguneek funtzionamendu-akatsak eta akats positibo edo negatiboak eragin ditzake.
• Batzuetan, zifratutako konexioak ezin dira monitorizatu eta analizatu.
• Inplementazioak EPPak baino inbertsio ekonomiko handiagoa eragiten du.

Arrazoi horiengatik, eskaintzen dituzten abantailek inbertsioa azkar itzultzea errazten dute, nabarmen murrizten baitituzte enpresa-ekosistemari egindako eraso konplexuenen ondorioak. 

Zure enpresaren zibersegurtasuna hobetzeko laguntza behar baduzu, BCSCn enpresa espezializatuen katalogoa dugu. Eta gogoratu, edozein jarduera susmagarri edo ahultasun garrantzitsu atzematen baduzu, zibersegurtasuneko gertakariak kudeatzeko gure zerbitzuaren bidez jakinarazi ahal diguzu.