Οι παραδοσιακές άμυνες κατά των κυβερνοεπιθέσεων δεν είναι πλέον αρκετές. Οι μικρομεσαίες επιχειρήσεις (SMB) που θα πέσουν θύματα εκμετάλλευσης από προηγμένες κυβερνοεπιθέσεις όπως το ransomware ενδέχεται να πληγούν ανελέητα και με καταστροφικές συνέπειες. Ακολουθούν ορισμένα εντυπωσιακά στατιστικά στοιχεία για την κυβερνοασφάλεια:
- 300% – η αύξηση των κυβερνοεγκλημάτων που αναφέρθηκαν από την έναρξη της πανδημίας Covid-19
- 92,7% – η αύξηση σε ετήσια βάση των επιθέσεων ransomware το 2021
- 59% – το ποσοστό των παρόχων διαχειριζόμενων υπηρεσιών (MSP) που δήλωσαν ότι η τηλεργασία οδήγησε σε αυξημένες επιθέσεις ransomware
Και το ακόμα πιο ανησυχητικό για τους MSPs: Οι πελάτες τους βρίσκονται στο κέντρο διασταυρούμενων πυρών από επιτιθέμενους που βλέπουν τις μικρομεσαίες επιχειρήσεις ως εύκολους στόχους. Το 4ο τρίμηνο του 2021, πάνω από το 80% των θυμάτων του ransomware ήταν μικρές επιχειρήσεις. Ο αντίκτυπος μιας επίθεσης μπορεί να είναι τρομερός, με το 60% των μικρών επιχειρήσεων που υφίστανται κυβερνοεπίθεση να αναγκάζονται να κλείσουν.
Ο χρόνος είναι χρήμα για τις οργανισμούς που δέχονται επίθεση, οι οποίοι ξεκινούν έναν δύσκολο αγώνα ενάντια στον ρολόι για να εξαλείψουν την απειλή και να επιστρέψουν στην κανονική τους λειτουργία. Ο μέσος χρόνος διακοπής λειτουργίας εξαιτίας μία επίθεσης ransomware για τις μικρομεσαίες επιχειρήσεις είναι 20 ημέρες, με το μέσο κόστος να φτάνει τα $8.000 ανά ώρα διακοπής λειτουργίας ωσότου να επιδιορθωθεί το πρόβλημα.
EDR: Διασφάλιση τερματικών
Οι παραπάνω αριθμοί δημιουργούν μία αίσθηση επείγοντος για τις μικρομεσαίες επιχειρήσεις, οι οποίες περιμένουν από τους παρόχους διαχειριζόμενων υπηρεσιών (MSP) να τους βοηθήσουν να προστατεύσουν τα τερματικά τους, που πλέον εξαπλώνονται σε μεγαλύτερο εύρος από ποτέ λόγω της αύξησης του εργατικού δυναμικού BYOD (Bring Your Own Device) και των φορητών συσκευών. Αν και παλαιότερα, η εγκατάσταση ενός προϊόντος προστασίας από τους ιούς (AV) σε κάθε τερματικό ήταν αρκετή, η προηγμένη ανίχνευση και απόκριση στις απειλές για τερματικά (EDR) είναι πλέον απολύτως απαραίτητη για την προστασία των εταιρειών και των οργανισμών από δαπανηρές επιθέσεις.
Και επειδή οι MSPs σήμερα βρίσκονται αντιμέτωποι με μια ασύμμετρη μάχη, οι πρόσθετες διασφαλίσεις που παρέχει το EDR είναι απαραίτητες: οι hackers μπορούν να επιτεθούν ανά πάσα στιγμή κατά μήκος οποιουδήποτε φορέα. Ένας παράγοντας απειλής χρειάζεται μόνο μια ανοικτή πόρτα για να διεισδύσει στα συστήματα – μια ευπάθεια, ένα ανθρώπινο σφάλμα ή μια προηγμένη επίμονη απειλή (APT) μπορούν όλα τους να του παρέχουν έναν τρόπο ή μία ευκαιρία για παρείσδυση. Οι επιθέσεις μπορεί να προέρχονται από πολλά διαφορετικά σημεία, συμπεριλαμβανομένων των τερματικών, του ηλεκτρονικού ταχυδρομείου, του υπολογιστικού/αποθηκευτικού νέφους ή μέσω δικτύων.
Το πλεονέκτημα σε αυτό το σενάριο πηγαίνει στον εισβολέα έναντι του MSP, ο οποίος πρέπει να υπερασπιστεί τον πελάτη του παντού, σε κάθε σημείο και ενάντια σε κάθε τεχνική που θα μπορούσε να χτυπήσει ανά πάσα στιγμή.
Τα πλαίσια κυβερνοασφάλειας όπως τα NIST, ISO 27001 και COBIT παρέχουν στους MSPs καθοδήγηση και βέλτιστες πρακτικές για την προστασία των δεδομένων των πελατών τους. Αν και κανένα μεμονωμένο πλαίσιο δεν είναι «το καλύτερο», είναι ζωτικής σημασίας για τους MSPs να θεσπίσουν ισχυρές πολιτικές και διαδικασίες, καθώς και ένα «must-have» πλάνο για την κυβερνοασφάλεια.
Η περαιτέρω διερεύνηση αυτών των πλαισίων ρίχνει σημαντικό φως στις διαφορές μεταξύ των AV και EDR και στους λόγους που είναι πλέον και τα δύο απαραίτητα για την υπεράσπιση των δεδομένων μίας μικρομεσαίας επιχείρησης. Για παράδειγμα, το πλαίσιο κυβερνοασφάλειας NIST παρουσιάζει τη διαχείριση κινδύνου για ζωτικής σημασίας υποδομές ως ένα σύνολο αλληλένδετων βημάτων: Αναγνώριση, Προστασία, Εντοπισμός, Απόκριση και Ανάκτηση.
Οι οργανισμοί σήμερα ξοδεύουν το 85% του προϋπολογισμού τους για το στοιχείο «Προστασία». Το αποτέλεσμα είναι να μένει ένα μικρό μόνο ποσό για να ξοδέψετε για τις άλλες τέσσερις φάσεις, αν και οι στάσεις συμπεριφοράς γύρω από αυτό ποικίλουν και αλλάζουν. Υπάρχει μια αυξανόμενη συνειδητοποίηση μεταξύ των MSPs, των μικρομεσαίων επιχειρήσεων και των τμημάτων πληροφορικής ότι πρέπει να αλλάξουν τον τρόπο με τον οποίο επενδύουν στην κυβερνοασφάλεια.
Η ταχεία εξέλιξη των σύγχρονων απειλών έχει δώσει στους εισβολείς νέους τρόπους να παρακάμπτουν την προστασία τερματικών. Οι σημερινοί επιτιθέμενοι χρησιμοποιούν τεχνικές όπως:
- Living off the Land -Τα κακόβουλα προγράμματα δεν είναι απαραίτητα για τους hackers που μπορούν να παραμένουν αόρατοι κάτω από την επιφάνεια. Αντ’ αυτού χρησιμοποιούν κοινότυπα εργαλεία διαχείρισης όπως το Windows Powershell Command Line Interface (CLI) για την εκτέλεση μη φυσιολογικών δραστηριοτήτων.
- Staged Malware & Attacks -Μεμονωμένα, κάθε στάδιο μιας επίθεσης μπορεί να φαίνεται καλοήθες, ωστόσο σταδιακά μετατρέπεται σε μία εξουθενωτική παραβίαση.
- Απενεργοποίηση του Endpoint Protection -Πολλές επιθέσεις επιδιώκουν να απενεργοποιήσουν το AV και τα υπόλοιπα εργαλεία άμυνας προτού «ρίξουν» το τελευταίο τους φορτίο, όπως το ransomware.
Ποιες οι διαφορές μεταξύ AV και EDR;
Η χρήση αυτών των τεχνικών κυβερνοεπίθεσης κερδίζουν διαρκώς δυναμική. Ακριβώς αυτός είναι ο λόγος για τον οποίο οι επαγγελματίες πληροφορικής σήμερα χρειάζονται τόσο το AV όσο και το EDR, να συνεργάζονται μεταξύ τους, για να υπερασπιστούν τα τερματικά – αλλά ποιες είναι οι διαφορές μεταξύ τους;
Λογισμικό antivirus
Γνωστό και ως anti-malware, το antivirus (AV) είναι ένα λογισμικό που χρησιμοποιείται για την πρόληψη, τον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού. Ανεπτυγμένο κατά πρώτο λόγο για την ανίχνευση και την αφαίρεση ιών υπολογιστών, για πολλά χρόνια το AV αποτελούσε τη βασική άμυνα των δικτύων απέναντι στο ransomware.
Τα εργαλεία AV διαδραματίζουν σημαντικό ρόλο στην προστασία των τερματικών από τις καθημερινές κυβερνοαπειλές -παρέχουν τη δυνατότητα εντοπισμού και απόκρισης στο κακόβουλο λογισμικό στην περίπτωση ενός μολυσμένου υπολογιστή. Παρόλα αυτά, επειδή βασίζονται στην ανίχνευση υπογραφών ή στην ικανότητα του λογισμικού να εντοπίζει «γνωστές απειλές», οι εξελιγμένοι παράγοντες απειλών μπορούν κατά βούληση να παρακάμψουν τις άμυνες του AV αξιοποιώντας μία ποικιλία από τεχνικές επίθεσης που το τυπικό AV δεν είναι σε θέση να προσδιορίσει.
Επιπλέον, το λογισμικό προστασίας από ιούς πρέπει να ενημερώνεται σε τακτική βάση, καθώς αν δεν είναι ενημερωμένο ή δεν είναι ακόμη γνωστή μια απειλή, δεν πρόκειται να την εντοπίσει. Αυτό αφήνει πολλούς MSPs και τους πελάτες τους ανοικτούς σε επιθέσεις ransomware, στο file-less κακόβουλο λογισμικό, στην κλοπή διαπιστευτηρίων, στην απώλεια δεδομένων και σε άλλες κυβερνοεπιθέσεις.
Ανίχνευση και απόκριση στις απειλές τερματικών (EDR)
Την ίδια ώρα, η ανίχνευση και η απόκριση σε απειλές τερματικών (EDR) είναι μια πολυεπίπεδη, ολοκληρωμένη λύση ασφάλειας τερματικών συσκευών που παρακολουθεί αδιάκοπα τις συσκευές των τελικών χρηστών. Το EDR συλλέγει επίσης δεδομένα endpoint με μία rule-based αυτοματοποιημένη απόκριση.
Μια πλατφόρμα EDR καταγράφει και αποθηκεύει εξ αποστάσεως συμπεριφορές τερματικών σε επίπεδο συστήματος. Στη συνέχεια αναλύει γρήγορα αυτές τις συμπεριφορές για να εντοπίσει ύποπτη δραστηριότητα και να παρέχει διάφορες επιλογές απόκρισης και αποκατάστασης.
Οι πράκτορες EDR συλλέγουν και αναλύουν δεδομένα από τερματικά και ανταποκρίνονται σε απειλές που φαίνεται ότι παρακάμπτουν τις υπάρχουσες προστασίες προστασίας από ιούς (AV) και συνεχίζουν να αναλύουν, να εντοπίζουν, να ερευνούν, να αναφέρουν και να ειδοποιούν την ομάδα ασφαλείας σας για τυχόν πιθανές απειλές ακόμη και μετά.
Πως μπορούν οι MSPs να επιλέξουν το καλύτερο EDR
Οι MSPs χρειάζονται το EDR περισσότερο από ποτέ. Ωστόσο, η συντριπτική πλειονότητα των λύσεων EDR δεν έχει κατασκευαστεί για να ανταποκρίνεται στις ανάγκες τους, αλλά έχει σχεδιαστεί για εταιρική χρήση. Αυτά τα εργαλεία είναι συχνά ακριβά, πολύπλοκα και απαιτούν μια άρτια εκπαιδευμένη ομάδα ασφαλείας για τη διαχείρισή τους.
Καταφτάνει πάντως μεγάλη βοήθεια με ορισμένες προηγμένες νέες λύσεις όπως το Datto EDR, το οποίο δημιουργήθηκε ειδικά για τις ανάγκες των MSPs. Χρησιμοποιώντας το Datto EDR, οι πάροχοι διαχειριζόμενων υπηρεσιών (MSPs) μπορούν να βελτιώσουν τη στάση ασφαλείας τους και να επεκτείνουν τις προσφορές ασφαλείας για τις μικρομεσαίες επιχειρήσεις που προστατεύουν. Όταν καλείστε να επιλέξετε την καλύτερη λύση EDR, θα πρέπει να κάνετε τις ακόλουθες ερωτήσεις:
- Είναι εύκολο στη χρήση και στη διαχείριση;
- Καταπολεμά την «κόπωση συναγερμού» παρέχοντας μου τη δυνατότητα να εστιάσω στις πιο σημαντικές ειδοποιήσεις;
- Μπορώ να αποκαταστήσω γρήγορα τα προβλήματα που προκύπτουν;
- Πως ενσωματώνεται με τα υπόλοιπα εργαλεία πληροφορικής που χρησιμοποιώ, όπως το RMM και το Managed SOC;
- Προσφέρει ποιοτική τεχνική υποστήριξη;
- Είναι οικονομικά αποδοτικό;
Άλλα βασικά χαρακτηριστικά που πρέπει να αξιολογηθούν σε μια λύση EDR είναι τα δυνατά της σημεία στην πρόληψη κυβερνοεπιθέσεων, οι δυνατότητες συνεχούς παρακολούθησης και καταγραφής, ο γρήγορος εντοπισμός παραβάσεων, η αυτοματοποιημένη απόκριση και η ενσωματωμένη άμυνα ενάντια στις απειλές.
Συνολικά, οι σωστές δυνατότητες και το σύνολο χαρακτηριστικών μπορούν να επαναφέρουν το πλεονέκτημα της κυβερνοασφάλειας στο «γήπεδο» των MSPs. Οι εξειδικευμένες ειδοποιήσεις και οι λειτουργίες απόκρισης μπορούν να καθοδηγήσουν την ομάδα σας κατάλληλα κατά τη διαδικασία αποκατάστασης με λεπτομερείς συστάσεις και συμβουλές, ώστε να μπορείτε να αντιμετωπίζετε απειλές χωρίς να είναι απαραίτητη μια άρτια εκπαιδευμένη ομάδα ασφαλείας στο προσωπικό σας.
Μην μένετε στο AV για να προστατεύσετε τα τερματικά των πελατών σας. Η πρόσθετη ασφάλεια του Datto EDR διατηρεί τους MSPs και τους πελάτες τους μπροστά από προηγμένες απειλές. Προγραμματίστε μια επίδειξη του Datto EDR σήμερα κιόλας.
Πηγή: Datto