Végpontvédelmi megoldások és vírusirtók: mi a különbség?
Már közel egy évtizede bejelentették a hagyományos vírusirtó szoftverek halálát, ennek ellenére továbbra is igen népszerűek a nagyközönség körében. Bár az IT világban még mindig gyakran használt kifejezés, az antivírus mára közel sem a legkifinomultabb megoldás.
A hagyományos vírusirtó szoftverek elavulttá váltak, helyüket a "Next Generation Antivirus" (NGAV), az "Endpoint Protection Platform" (EPP) és az "Endpoint Detection and Response" (EDR) megoldások vették át. Szükségünk van még ma egyáltalán vírusirtó szoftverekre?
A vírusirtót az IBM fejlesztette ki először 1987-ben a "Brain" számítógépes vírusra válaszul. Az évek során az "antivírus" kifejezés nagy nyilvánosságot kapott, és a kollektív képzeletben a számítógépes vírusok elleni egyetlen védekezési eszközzé vált.
A vírusirtó programok a szignatúrák keresésének elvén működnek. A vírusirtóknak van egy szignatúra-adatbázisa, amely lehetővé teszi számukra, hogy felismerjék a számítógépes vírusokat. Ezért elengedhetetlen, hogy az adott vírus szignatúrája előzetesen rendelkezésre álljon. Ez a működési mód számos problémát és korlátozást hordoz magában. Az első ezek közül az, hogy a vírust már ismernünk kell, mielőtt azonosítani tudnánk. A második probléma a polimorfizmus megjelenése, egy olyan technika, amely olyan rosszindulatú fájlokat generál, amelyek digitális szignatúrája minden egyes fájl esetében egyedi, de a fertőzés módja azonos marad. Ez a korlátozás annál is inkább jelentős, mivel az AV-TEST Intézet szerint naponta 450 000, havonta pedig közel 4 millió új rosszindulatú programot hoznak létre. Ennek a robbanásszerű növekedésnek a közvetlen következményeként technikailag lehetetlen, hogy a vírusirtó szoftverek előzetesen ismerjék az összes szignatúrát. Ráadásul a kiberbűnözők módszerei az elmúlt években tovább fejlődtek, egészen odáig, hogy a fájlokban található digitális ujjlenyomatok keresésén alapuló észlelési mechanizmusok a rosszindulatú programok túlnyomó többségét átengedik.
Az egyre kifinomultabb kibertámadások magát a vírusirtó szoftvert is célponttá teszik. A 2022 decemberében megrendezett "Black Hat Europe" konferencián például egy biztonsági kutató egy korábban nem látott sebezhetőséget fedezett fel, amely számos vírusirtó programot érint. Ez a hiba lehetővé teszi a vírusirtó szoftverek feletti irányítás átvételét és a legitim fájlok törlését. Mit tehetünk tehát, ha a fő védelmi eszközünk már nem tölti be a szerepét?
A viselkedésalapú észlelés megjelenése a számítógépek védelmében
Az új helyzetre válaszul a kiberbiztonsági gyártóknak új megközelítéssel kellett előállniuk, és a szignatúrákról a felhasználói viselkedésen alapuló heurisztikus elemzésre kellett áttérniük. Az újgenerációs vírusirtók (NGAV) képezték a végpontvédelmi (EPP) rendszerek alapját. Az EPP-megoldások a polimorfizmusra és a fájl nélküli támadásokra adtak kezdeti választ az olyan új funkciók integrálásával, mint a memóriafigyelés, a viselkedéselemzés, illetve a veszélyeztetettségi mutatók (Indicators of Compromise, azaz IoC) ellenőrzése. E technológiai előrelépés ellenére az alattomos kibertámadások továbbra is átcsúsztak a réseken. Ezért elengedhetetlenné vált, hogy ezeket a bekövetkezésük után is felismerjék, és reagálni tudjanak rájuk.
Ez volt az a megfigyelés, amely 2013-ban a Gartner elemzéseiben a végponti fenyegetések észlelésére és elhárítására szolgáló megoldások (EDR) megjelenését indokolta. Az Endpoint Detection & Response megközelítésnek a különlegessége abban rejlik, hogy az ismeretlen fenyegetéseket valós időben, félautonóm módon képes észlelni és reagálni rájuk. Ha egy vírusirtó fenyegetést észlel, akkor a programot előzetesen blokkolja vagy karanténba helyezi. Az EDR ezzel szemben akkor lép működésbe, amikor a biztonsági incidenst észleli, vagy az incidens már megtörtént a gépen, és megpróbál segíteni az üzemeltető csapatoknak megakadályozni a fertőzés terjedését.
Hogyan észleli az EDR technológia a kifinomult támadásokat?
Az EDR a veszélyeztetettségi mutatók (IoC) segítségével azonosítja a rendellenes viselkedést. Ezek nem mindig kivételes események, lehetnek hétköznapi műveletek is, mint például egy külső szerverhez való kapcsolat megnyitása. Ezért fontos a megoldás működési keretének pontos meghatározása a tanulási fázisban, hogy elkerüljük a hamis pozitív jelzéseket. Az EDR és az EPP megoldások azonban továbbra is kiegészítik egymást. Egy példával illusztrálva, az EDR-megoldás olyan, mint a térfigyelő kamerák, ezek segítségével láthatjuk, hogy egy betolakodó behatolt-e az ipari telephelyre. De ahhoz, hogy megtagadjuk a belépést, szükség van egy biztonsági őrre is a helyszínen, ez az EPP.
Hol van tehát a vírusirtó helye ebben az egészben? A security.org weboldal szerint 2023-ban négy amerikai közül három úgy vélte, hogy vírusirtóra van szüksége ahhoz, hogy nyugodtan használhassa a személyi számítógépét. A fent említett technológiai fejlődést figyelembe véve szakmai szinten viszont felmerül a kérdés: miért van szükségünk még mindig vírusirtó szoftverre? A válasz: egyszerűen azért, mert a biztonság első rétegét képezi. Bár ez a megoldás nem lesz hatékony minden kibertámadás ellen, de a legkevésbé kifinomult támadások ellen nyújt kezdeti szintű védelmet - azzal a garanciával, hogy elkerülhetők a téves pozitív riasztások, ráadásul nagyon kevés erőforrást fogyaszt a munkaállomáson. A biztonság kezdeti szintje azonban feltételezi a továbbiak meglétét.
NDR, XDR, MDR: a felderítés és a válaszadás szakosodása felé mutató tendencia
Annak ellenére, hogy ezek a megoldások részben vagy teljesen automatizáltak, az eszközök kezelését továbbra is szakértőknek kell felügyelniük, amint azt a menedzselt EDR vagy mini-SOC megoldások fejlesztése is mutatja. A jobb észlelés mellett elengedhetetlen, hogy a végpontvédelmi eszközök tartalmazzanak incidensfelismerő és válaszadási képességeket is. Továbbá egy SOC-elemzőnek hozzáféréssel kell rendelkeznie az összes hálózati berendezéshez.
A hálózati észlelési és reagálási (NDR) megoldások például a hálózaton áthaladó TCP/IP csomagokat elemzik a gyanús tevékenységek észlelése érdekében. Az XDR (eXtended Detection and Response) rendszer célja ugyanakkor az összes belső és külső IT-eszköz (hálózat, könyvtárak, felhőforrások, tűzfalak stb.) összekapcsolása, hogy átfogó képet adjon az IT-rendszerben zajló eseményekről.
Az elmúlt években más rövidítések is megjelentek, például az MDR. A gyakorlatban a "Managed Detection and Response" (MDR) az XDR egy olyan változata, amelyben egy külső csapat kezeli a riasztásokat. Bármilyen eszközről és technológiáról legyen is szó, szem előtt kell tartani, hogy az elemző szerepe továbbra is központi szerepet játszik, és hogy önmagában egyetlen technológia sem nyújt elegendő biztonságot.
A Stormshield teljesen integrált és ellenőrzött XDR-kínálata
Ahogy arról korábban már hírt adtunk
Stormshield XDR a hálózatbiztonság, a végponti biztonság, valamint a „Threat Intelligence” ideális kombinációját nyújtja. Mindez a „Stormshield Log Supervisor” által menedzselve a valós idejű riasztások biztosítására és a gyors, fenntartható válaszadásra, mind a hálózatunkon, mind a végpontjainkon. Főbb jellemzői:
Az összes XDR információ ellenőrzése, teljeskörű megoldás az infrastruktúra védelmére
Az összes biztonsági incidens központi helyről történő menedzselése
A termelékenység és az üzemeltetési hatékonyság javítása
Kockázatcsökkentés
Integrációkban rejlő hiányosságok áthidalása
Az Stormshield Network Security (SNS) és a Stormshield Endpoint Security (SES) által jelentett események korrelálása
Valós idejű riasztások biztosítása
A válaszadás és a hibajavítás elemeinek irányítása
100%-ig európai, 100%-ig megbízható megoldás
A Stormshield XDR kombinálja a végpontvédelem fő komponenseit:
NDR: Stormshield Network Security – hálózatvédelem
EDR: Stormshield Endpoint Security – végpontvédelem
FDR: Stormshield Breach Fighter – fájlvédelem
Stormshield Security Lab – Cyber Threat Intelligence
Stormshield Log Supervisor – központi menedzsment, valós idejű riasztás
Forrás
FIC 2023: launch of the XDR Stormshield offer
Antivirus, EDR, XDR: endpoint protections | Stormshield
Stormshield-EN-XDR-Brochure.pdf
Kapcsolódó tartalom
Stormshield képzések a RelNet eLearning programban