V\u00e9gpontv\u00e9delmi megold\u00e1sok \u00e9s v\u00edrusirt\u00f3k: mi a k\u00fcl\u00f6nbs\u00e9g?<\/p>\n
M\u00e1r k\u00f6zel egy \u00e9vtizede bejelentett\u00e9k a hagyom\u00e1nyos v\u00edrusirt\u00f3 szoftverek hal\u00e1l\u00e1t, ennek ellen\u00e9re tov\u00e1bbra is igen n\u00e9pszer\u0171ek a nagyk\u00f6z\u00f6ns\u00e9g k\u00f6r\u00e9ben. B\u00e1r az IT vil\u00e1gban m\u00e9g mindig gyakran haszn\u00e1lt kifejez\u00e9s, az antiv\u00edrus m\u00e1ra k\u00f6zel sem a legkifinomultabb megold\u00e1s.<\/p>\n
A hagyom\u00e1nyos v\u00edrusirt\u00f3 szoftverek elavultt\u00e1 v\u00e1ltak, hely\u00fcket a \\”Next Generation Antivirus\\” (NGAV), az \\”Endpoint Protection Platform\\” (EPP) \u00e9s az \\”Endpoint Detection and Response\\” (EDR) megold\u00e1sok vett\u00e9k \u00e1t. Sz\u00fcks\u00e9g\u00fcnk van m\u00e9g ma egy\u00e1ltal\u00e1n v\u00edrusirt\u00f3 szoftverekre?<\/p>\n
A v\u00edrusirt\u00f3t az IBM fejlesztette ki el\u0151sz\u00f6r 1987-ben a \\”Brain\\” sz\u00e1m\u00edt\u00f3g\u00e9pes v\u00edrusra v\u00e1laszul. Az \u00e9vek sor\u00e1n az \\”antiv\u00edrus\\” kifejez\u00e9s nagy nyilv\u00e1noss\u00e1got kapott, \u00e9s a kollekt\u00edv k\u00e9pzeletben a sz\u00e1m\u00edt\u00f3g\u00e9pes v\u00edrusok elleni egyetlen v\u00e9dekez\u00e9si eszk\u00f6zz\u00e9 v\u00e1lt.<\/p>\n
A v\u00edrusirt\u00f3 programok a szignat\u00far\u00e1k keres\u00e9s\u00e9nek elv\u00e9n m\u0171k\u00f6dnek. A v\u00edrusirt\u00f3knak van egy szignat\u00fara-adatb\u00e1zisa, amely lehet\u0151v\u00e9 teszi sz\u00e1mukra, hogy felismerj\u00e9k a sz\u00e1m\u00edt\u00f3g\u00e9pes v\u00edrusokat. Ez\u00e9rt elengedhetetlen, hogy az adott v\u00edrus szignat\u00far\u00e1ja el\u0151zetesen rendelkez\u00e9sre \u00e1lljon. Ez a m\u0171k\u00f6d\u00e9si m\u00f3d sz\u00e1mos probl\u00e9m\u00e1t \u00e9s korl\u00e1toz\u00e1st hordoz mag\u00e1ban. Az els\u0151 ezek k\u00f6z\u00fcl az, hogy a v\u00edrust m\u00e1r ismern\u00fcnk kell, miel\u0151tt azonos\u00edtani tudn\u00e1nk. A m\u00e1sodik probl\u00e9ma a polimorfizmus megjelen\u00e9se, egy olyan technika, amely olyan rosszindulat\u00fa f\u00e1jlokat gener\u00e1l, amelyek digit\u00e1lis szignat\u00far\u00e1ja minden egyes f\u00e1jl eset\u00e9ben egyedi, de a fert\u0151z\u00e9s m\u00f3dja azonos marad. Ez a korl\u00e1toz\u00e1s ann\u00e1l is ink\u00e1bb jelent\u0151s, mivel az AV-TEST Int\u00e9zet szerint naponta 450 000, havonta pedig k\u00f6zel 4 milli\u00f3 \u00faj rosszindulat\u00fa programot hoznak l\u00e9tre. Ennek a robban\u00e1sszer\u0171 n\u00f6veked\u00e9snek a k\u00f6zvetlen k\u00f6vetkezm\u00e9nyek\u00e9nt technikailag lehetetlen, hogy a v\u00edrusirt\u00f3 szoftverek el\u0151zetesen ismerj\u00e9k az \u00f6sszes szignat\u00far\u00e1t. R\u00e1ad\u00e1sul a kiberb\u0171n\u00f6z\u0151k m\u00f3dszerei az elm\u00falt \u00e9vekben tov\u00e1bb fejl\u0151dtek, eg\u00e9szen od\u00e1ig, hogy a f\u00e1jlokban tal\u00e1lhat\u00f3 digit\u00e1lis ujjlenyomatok keres\u00e9s\u00e9n alapul\u00f3 \u00e9szlel\u00e9si mechanizmusok a rosszindulat\u00fa programok t\u00falnyom\u00f3 t\u00f6bbs\u00e9g\u00e9t \u00e1tengedik.<\/p>\n
Az egyre kifinomultabb kibert\u00e1mad\u00e1sok mag\u00e1t a v\u00edrusirt\u00f3 szoftvert is c\u00e9lpontt\u00e1 teszik. A 2022 december\u00e9ben megrendezett \\”Black Hat Europe\\” konferenci\u00e1n p\u00e9ld\u00e1ul egy biztons\u00e1gi kutat\u00f3 egy kor\u00e1bban nem l\u00e1tott sebezhet\u0151s\u00e9get fedezett fel, amely sz\u00e1mos v\u00edrusirt\u00f3 programot \u00e9rint. Ez a hiba lehet\u0151v\u00e9 teszi a v\u00edrusirt\u00f3 szoftverek feletti ir\u00e1ny\u00edt\u00e1s \u00e1tv\u00e9tel\u00e9t \u00e9s a legitim f\u00e1jlok t\u00f6rl\u00e9s\u00e9t. Mit tehet\u00fcnk teh\u00e1t, ha a f\u0151 v\u00e9delmi eszk\u00f6z\u00fcnk m\u00e1r nem t\u00f6lti be a szerep\u00e9t?<\/p>\n
A viselked\u00e9salap\u00fa \u00e9szlel\u00e9s megjelen\u00e9se a sz\u00e1m\u00edt\u00f3g\u00e9pek v\u00e9delm\u00e9ben<\/p>\n
Az \u00faj helyzetre v\u00e1laszul a kiberbiztons\u00e1gi gy\u00e1rt\u00f3knak \u00faj megk\u00f6zel\u00edt\u00e9ssel kellett el\u0151\u00e1llniuk, \u00e9s a szignat\u00far\u00e1kr\u00f3l a felhaszn\u00e1l\u00f3i viselked\u00e9sen alapul\u00f3 heurisztikus elemz\u00e9sre kellett \u00e1tt\u00e9rni\u00fck. Az \u00fajgener\u00e1ci\u00f3s v\u00edrusirt\u00f3k (NGAV) k\u00e9pezt\u00e9k a v\u00e9gpontv\u00e9delmi (EPP) rendszerek alapj\u00e1t. Az EPP-megold\u00e1sok a polimorfizmusra \u00e9s a f\u00e1jl n\u00e9lk\u00fcli t\u00e1mad\u00e1sokra adtak kezdeti v\u00e1laszt az olyan \u00faj funkci\u00f3k integr\u00e1l\u00e1s\u00e1val, mint a mem\u00f3riafigyel\u00e9s, a viselked\u00e9selemz\u00e9s, illetve a vesz\u00e9lyeztetetts\u00e9gi mutat\u00f3k (Indicators of Compromise, azaz IoC) ellen\u0151rz\u00e9se. E technol\u00f3giai el\u0151rel\u00e9p\u00e9s ellen\u00e9re az alattomos kibert\u00e1mad\u00e1sok tov\u00e1bbra is \u00e1tcs\u00fasztak a r\u00e9seken. Ez\u00e9rt elengedhetetlenn\u00e9 v\u00e1lt, hogy ezeket a bek\u00f6vetkez\u00e9s\u00fck ut\u00e1n is felismerj\u00e9k, \u00e9s reag\u00e1lni tudjanak r\u00e1juk.<\/p>\n
Ez volt az a megfigyel\u00e9s, amely 2013-ban a Gartner elemz\u00e9seiben a v\u00e9gponti fenyeget\u00e9sek \u00e9szlel\u00e9s\u00e9re \u00e9s elh\u00e1r\u00edt\u00e1s\u00e1ra szolg\u00e1l\u00f3 megold\u00e1sok (EDR) megjelen\u00e9s\u00e9t indokolta. Az Endpoint Detection & Response megk\u00f6zel\u00edt\u00e9snek a k\u00fcl\u00f6nlegess\u00e9ge abban rejlik, hogy az ismeretlen fenyeget\u00e9seket val\u00f3s id\u0151ben, f\u00e9lauton\u00f3m m\u00f3don k\u00e9pes \u00e9szlelni \u00e9s reag\u00e1lni r\u00e1juk. Ha egy v\u00edrusirt\u00f3 fenyeget\u00e9st \u00e9szlel, akkor a programot el\u0151zetesen blokkolja vagy karant\u00e9nba helyezi. Az EDR ezzel szemben akkor l\u00e9p m\u0171k\u00f6d\u00e9sbe, amikor a biztons\u00e1gi incidenst \u00e9szleli, vagy az incidens m\u00e1r megt\u00f6rt\u00e9nt a g\u00e9pen, \u00e9s megpr\u00f3b\u00e1l seg\u00edteni az \u00fczemeltet\u0151 csapatoknak megakad\u00e1lyozni a fert\u0151z\u00e9s terjed\u00e9s\u00e9t.<\/p>\n
Hogyan \u00e9szleli az EDR technol\u00f3gia a kifinomult t\u00e1mad\u00e1sokat?<\/p>\n
Az EDR a vesz\u00e9lyeztetetts\u00e9gi mutat\u00f3k (IoC) seg\u00edts\u00e9g\u00e9vel azonos\u00edtja a rendellenes viselked\u00e9st. Ezek nem mindig kiv\u00e9teles esem\u00e9nyek, lehetnek h\u00e9tk\u00f6znapi m\u0171veletek is, mint p\u00e9ld\u00e1ul egy k\u00fcls\u0151 szerverhez val\u00f3 kapcsolat megnyit\u00e1sa. Ez\u00e9rt fontos a megold\u00e1s m\u0171k\u00f6d\u00e9si keret\u00e9nek pontos meghat\u00e1roz\u00e1sa a tanul\u00e1si f\u00e1zisban, hogy elker\u00fclj\u00fck a hamis pozit\u00edv jelz\u00e9seket. Az EDR \u00e9s az EPP megold\u00e1sok azonban tov\u00e1bbra is kieg\u00e9sz\u00edtik egym\u00e1st. Egy p\u00e9ld\u00e1val illusztr\u00e1lva, az EDR-megold\u00e1s olyan, mint a t\u00e9rfigyel\u0151 kamer\u00e1k, ezek seg\u00edts\u00e9g\u00e9vel l\u00e1thatjuk, hogy egy betolakod\u00f3 behatolt-e az ipari telephelyre. De ahhoz, hogy megtagadjuk a bel\u00e9p\u00e9st, sz\u00fcks\u00e9g van egy biztons\u00e1gi \u0151rre is a helysz\u00ednen, ez az EPP.<\/p>\n
Hol van teh\u00e1t a v\u00edrusirt\u00f3 helye ebben az eg\u00e9szben? A security.org weboldal szerint 2023-ban n\u00e9gy amerikai k\u00f6z\u00fcl h\u00e1rom \u00fagy v\u00e9lte, hogy v\u00edrusirt\u00f3ra van sz\u00fcks\u00e9ge ahhoz, hogy nyugodtan haszn\u00e1lhassa a szem\u00e9lyi sz\u00e1m\u00edt\u00f3g\u00e9p\u00e9t. A fent eml\u00edtett technol\u00f3giai fejl\u0151d\u00e9st figyelembe v\u00e9ve szakmai szinten viszont felmer\u00fcl a k\u00e9rd\u00e9s: mi\u00e9rt van sz\u00fcks\u00e9g\u00fcnk m\u00e9g mindig v\u00edrusirt\u00f3 szoftverre? A v\u00e1lasz: egyszer\u0171en az\u00e9rt, mert a biztons\u00e1g els\u0151 r\u00e9teg\u00e9t k\u00e9pezi. B\u00e1r ez a megold\u00e1s nem lesz hat\u00e9kony minden kibert\u00e1mad\u00e1s ellen, de a legkev\u00e9sb\u00e9 kifinomult t\u00e1mad\u00e1sok ellen ny\u00fajt kezdeti szint\u0171 v\u00e9delmet – azzal a garanci\u00e1val, hogy elker\u00fclhet\u0151k a t\u00e9ves pozit\u00edv riaszt\u00e1sok, r\u00e1ad\u00e1sul nagyon kev\u00e9s er\u0151forr\u00e1st fogyaszt a munka\u00e1llom\u00e1son. A biztons\u00e1g kezdeti szintje azonban felt\u00e9telezi a tov\u00e1bbiak megl\u00e9t\u00e9t.<\/p>\n
NDR, XDR, MDR: a felder\u00edt\u00e9s \u00e9s a v\u00e1laszad\u00e1s szakosod\u00e1sa fel\u00e9 mutat\u00f3 tendencia<\/p>\n
Annak ellen\u00e9re, hogy ezek a megold\u00e1sok r\u00e9szben vagy teljesen automatiz\u00e1ltak, az eszk\u00f6z\u00f6k kezel\u00e9s\u00e9t tov\u00e1bbra is szak\u00e9rt\u0151knek kell fel\u00fcgyelni\u00fck, amint azt a menedzselt EDR vagy mini-SOC megold\u00e1sok fejleszt\u00e9se is mutatja. A jobb \u00e9szlel\u00e9s mellett elengedhetetlen, hogy a v\u00e9gpontv\u00e9delmi eszk\u00f6z\u00f6k tartalmazzanak incidensfelismer\u0151 \u00e9s v\u00e1laszad\u00e1si k\u00e9pess\u00e9geket is. Tov\u00e1bb\u00e1 egy SOC-elemz\u0151nek hozz\u00e1f\u00e9r\u00e9ssel kell rendelkeznie az \u00f6sszes h\u00e1l\u00f3zati berendez\u00e9shez.<\/p>\n
A h\u00e1l\u00f3zati \u00e9szlel\u00e9si \u00e9s reag\u00e1l\u00e1si (NDR) megold\u00e1sok p\u00e9ld\u00e1ul a h\u00e1l\u00f3zaton \u00e1thalad\u00f3 TCP\/IP csomagokat elemzik a gyan\u00fas tev\u00e9kenys\u00e9gek \u00e9szlel\u00e9se \u00e9rdek\u00e9ben. Az XDR (eXtended Detection and Response) rendszer c\u00e9lja ugyanakkor az \u00f6sszes bels\u0151 \u00e9s k\u00fcls\u0151 IT-eszk\u00f6z (h\u00e1l\u00f3zat, k\u00f6nyvt\u00e1rak, felh\u0151forr\u00e1sok, t\u0171zfalak stb.) \u00f6sszekapcsol\u00e1sa, hogy \u00e1tfog\u00f3 k\u00e9pet adjon az IT-rendszerben zajl\u00f3 esem\u00e9nyekr\u0151l.<\/p>\n
Az elm\u00falt \u00e9vekben m\u00e1s r\u00f6vid\u00edt\u00e9sek is megjelentek, p\u00e9ld\u00e1ul az MDR. A gyakorlatban a \\”Managed Detection and Response\\” (MDR) az XDR egy olyan v\u00e1ltozata, amelyben egy k\u00fcls\u0151 csapat kezeli a riaszt\u00e1sokat. B\u00e1rmilyen eszk\u00f6zr\u0151l \u00e9s technol\u00f3gi\u00e1r\u00f3l legyen is sz\u00f3, szem el\u0151tt kell tartani, hogy az elemz\u0151 szerepe tov\u00e1bbra is k\u00f6zponti szerepet j\u00e1tszik, \u00e9s hogy \u00f6nmag\u00e1ban egyetlen technol\u00f3gia sem ny\u00fajt elegend\u0151 biztons\u00e1got.<\/p>\n
A Stormshield teljesen integr\u00e1lt \u00e9s ellen\u0151rz\u00f6tt XDR-k\u00edn\u00e1lata<\/p>\n
Ahogy arr\u00f3l kor\u00e1bban m\u00e1r h\u00edrt adtunk Stormshield XDR a h\u00e1l\u00f3zatbiztons\u00e1g,<\/a> a v\u00e9gponti biztons\u00e1g, valamint a \u201eThreat Intelligence\u201d ide\u00e1lis kombin\u00e1ci\u00f3j\u00e1t ny\u00fajtja. Mindez a \u201eStormshield Log Supervisor\u201d \u00e1ltal menedzselve a val\u00f3s idej\u0171 riaszt\u00e1sok biztos\u00edt\u00e1s\u00e1ra \u00e9s a gyors, fenntarthat\u00f3 v\u00e1laszad\u00e1sra, mind a h\u00e1l\u00f3zatunkon, mind a v\u00e9gpontjainkon. F\u0151bb jellemz\u0151i:<\/p>\n Az \u00f6sszes XDR inform\u00e1ci\u00f3 ellen\u0151rz\u00e9se, teljesk\u00f6r\u0171 megold\u00e1s az infrastrukt\u00fara v\u00e9delm\u00e9re A Stormshield XDR kombin\u00e1lja a v\u00e9gpontv\u00e9delem f\u0151 komponenseit:<\/p>\n NDR: Stormshield Network Security \u2013 h\u00e1l\u00f3zatv\u00e9delem FIC 2023: launch of the XDR Stormshield offer<\/a>
\n
Az \u00f6sszes biztons\u00e1gi incidens k\u00f6zponti helyr\u0151l t\u00f6rt\u00e9n\u0151 menedzsel\u00e9se
\n
A termel\u00e9kenys\u00e9g \u00e9s az \u00fczemeltet\u00e9si hat\u00e9konys\u00e1g jav\u00edt\u00e1sa
\n
Kock\u00e1zatcs\u00f6kkent\u00e9s
\n
Integr\u00e1ci\u00f3kban rejl\u0151 hi\u00e1nyoss\u00e1gok \u00e1thidal\u00e1sa
\n
Az Stormshield Network Security (SNS) \u00e9s a Stormshield Endpoint Security (SES) \u00e1ltal jelentett esem\u00e9nyek korrel\u00e1l\u00e1sa
\n
Val\u00f3s idej\u0171 riaszt\u00e1sok biztos\u00edt\u00e1sa
\n
A v\u00e1laszad\u00e1s \u00e9s a hibajav\u00edt\u00e1s elemeinek ir\u00e1ny\u00edt\u00e1sa
\n
100%-ig eur\u00f3pai, 100%-ig megb\u00edzhat\u00f3 megold\u00e1s<\/p>\n
\n
EDR: Stormshield Endpoint Security \u2013 v\u00e9gpontv\u00e9delem
\n
FDR: Stormshield Breach Fighter \u2013 f\u00e1jlv\u00e9delem
\n
Stormshield Security Lab \u2013 Cyber Threat Intelligence
\n
Stormshield Log Supervisor \u2013 k\u00f6zponti menedzsment, val\u00f3s idej\u0171 riaszt\u00e1s<\/p>\nForr\u00e1s<\/h5>\n
\n
Antivirus, EDR, XDR: endpoint protections | Stormshield<\/a>
\n
Stormshield-EN-XDR-Brochure.pdf<\/a><\/p>\nKapcsol\u00f3d\u00f3 tartalom<\/h5>\n