Systemy EDR są chlebem powszednim, jeżeli chodzi o wdrożenia, które przeprowadza nasza firma. Stają się w wielu jednostkach coraz częściej spotykane, ponieważ różnice między klasycznym antywirusem a EDR-em nie są tylko marketingowym hasłem, lecz wynikają tak naprawdę z ich odmiennych podejść do wykrywania zagrożeń.
Przyjrzyjmy się kilku sytuacjom, które standardowy antywirus może przegapić, a które EDR wychwyci i zareaguje na nie odpowiednio.
1. Atak na bazie exploitów zero-day
Typowy antywirus polega głównie na bazach sygnatur wirusów – czyli na wcześniej znanych zagrożeniach. Problem natomiast zaczyna się pojawiać, gdy haker wykorzystuje exploit zero-day – lukę, która jeszcze nie została ujawniona ani załatana. Klasyczny antywirus nie ma szans zareagować, ponieważ zwyczajnie nie rozpoznaje nietypowych działań jako złośliwych.
EDR monitoruje zachowanie systemu i może zauważyć, że coś jest nie tak, nawet jeśli plik czy proces nie przypomina niczego znanego. Np. niespodziewana zmiana uprawnień użytkownika lub nagłe zwiększenie aktywności procesora w aplikacji biurowej– takie anomalie są sygnałem dla systemu EDR, że dzieje się coś złego.
2. Ataki typu fileless
Nowoczesne zagrożenia często nie pozostawiają śladów w formie plików, które mógłby przeanalizować zwyczajny antywirus. Zamiast tego hakerzy wykorzystują wbudowane narzędzia systemowe, takie jak np. PowerShell, aby przeprowadzić swoje ataki.
EDR monitoruje działania procesów – czyli jest obserwatorem, tego co robi np. PowerShell – jakie komendy są wykonywane, czy próbują one połączyć się z serwerami zewnętrznym, czy chcą modyfikować pliki systemowe. Jeżeli dojdzie do nietypowych aktywności w takich rejonach, system natychmiast zaalarmuje administratora.
3. Ataki kanałami bocznymi
Kiedy haker już uzyska dostęp do jednego urządzenia w sieci LAN, często jego następnym krokiem jest przenoszenie się pomiędzy urządzeniami w poszukiwaniu coraz to ciekawszych danych lub sposobów na dostęp do dalszych uprawnień. Klasyczne antywirusy mogą nie zauważyć takiej aktywności, o ile w ogóle malware nie zostałby wykryty na każdym urządzeniu osobno.
EDR monitoruje lokalnie, ale również sieciowy ruch boczny. Śledzi sposób komunikacji urządzeń między sobą i może zauważyć nietypowe próby dostępu do zasobów w sieci LAN. Np. jeśli jeden z komputerów zaczyna skanować całą sieć w poszukiwaniu jakichś zasobów – dla dobrego EDR to wyraźny sygnał, że ktoś próbuje poruszać się po sieci w sposób, który sugeruje nam próbę przejęcia większej liczby urządzeń.
4. Ataki typu living off the land
Ataki living off the land, to wykorzystywanie narzędzi systemowych do realizacji swoich celów. Mogą to być po prostu standardowe aplikacje jak cmd.exe, netstat, tasklist itp. Działając z ich pomocą, haker stara się jak najmniej wyróżniać, by nie wzbudzić podejrzeń.
Zwykły antywirus widzi te aplikacje jako zaufane. EDR patrzy na nie z perspektywy kontekstu sytuacji, np. jeżeli cmd.exe zaczyna uruchamiać dziwne skrypty, albo modyfikować elementy systemu, to jest to dla niego wyraźny sygnał, że dzieje się coś złego.
5. Brakujące pliki w logach
Standardowy antywirus raczej nie sprawdza, czy działania prowadzone w systemie mają odzwierciedlenie w logach. W praktyce wygląda to tak, że haker po udanym ataku może próbować ukryć swoje ślady z pomocą usuwania wpisów w logach systemowych.
EDR analizuje ciągłość zdarzeń i weryfikuje spójność logów z rzeczywistością. Jeśli zauważy, że brak pewnych wpisów lub że logi zostały zmodyfikowane w nienaturalny sposób – to sygnał dla niego, że ktoś próbuje zatrzeć swoje ślady.
6. Polimorfizm i zmiany w czasie rzeczywistym
To jeden z najciekawszych rodzajów cyberzagrożeń (zwłaszcza dla fanów Wiedźmina :).
Malware dotarło do poziomu, że potrafi już modyfikować swój kod w trakcie działania, co sprawia, że trudno je wykryć tradycyjnymi narzędziami opartymi tylko na sygnaturach. Tego typu złośliwe oprogramowanie (tzw. oprogramowanie polimorficzne – stąd też wzmianka o Wiedźminie) nie jest problemem dla antywirusa tylko i wyłącznie do momentu, aż jego kod zostanie rozpoznany jako zagrożenie.
Wiele systemów EDR, zamiast polegać wyłącznie na sygnaturach, wykorzystuje uczenie maszynowe i analizę zachowania poprzez AI. Niezależnie od tego, jak malware zmodyfikuje swój kod, jeśli zachowuje się w podejrzany sposób, to EDR to wyłapie.
7. Odmowa dostępu na poziomie procesów
Kolejną przewagą EDR nad klasycznym antywirusem jest możliwość monitorowania działań na poziomie procesów i ich wzajemnych interakcji między sobą.
Np. jeśli jeden proces próbuje uzyskać dostęp do zasobów innego, np. modyfikować jego pliki lub go zatrzymać, to klasyczny antywirus może tego nie wychwycić.
EDR rejestruje tego typu działania i analizuje je. Dla niego np. proces bez odpowiednich uprawnień próbujący wyłączyć usługę antywirusową – to typowe zachowanie malware, które finalnie EDR rozpozna jako próbę przejęcia kontroli nad systemem.
Nasza firma to specjaliści od systemów cyberbezpieczeństwa, w tym EDR.
Jeśli myślisz o wdrożeniu tego typu systemu, skontaktuj się z nami, celem bezpłatnej konsultacji!
Kontakt:
Kamil Brandys – Opiekun Klienta Kluczowego
tel.: 887 104 700
e-mail:
lub
Sebastian Komor – Opiekun Klienta Kluczowego
tel.: 606 836 070
e-mail:
Wróć
