Tradycyjna ochrona punktów końcowych bazująca na oprogramowaniu antywirusowym już od pewnego czasu jest niewystarczająca. Chociaż wielu przedsiębiorców nadal wierzy w moc antywirusów, to prędzej czy później będą musieli sięgnąć po nowsze rozwiązania. Odwrót od klasycznego oprogramowania biznesowego, bazującego na sygnaturach, nie musi jednak oznaczać rezygnacji z systemów ochrony stacji końcowych. Nawet największe korporacje, dysponujące rozbudowanymi działami IT, nie potrafią w 100 proc. zapobiec nieustannie ewoluującym zagrożeniom.

Inteligentne zabezpieczenia

Aby sprostać nowym wyzwaniom, dostawcy rozwiązań z zakresu bezpieczeństwa wykorzystują techniki proaktywne, m.in. zaawansowaną analizę heurystyczną, emulację czy uczenie maszynowe. W efekcie na rynku debiutują nowe grupy produktów, takie jak np. EDR – Endpoint Detection & Response. Ich rola polega na bardzo wczesnym wykrywaniu ataków, jeszcze zanim hakerzy wtargną do firmowej sieci. Co ważne, prewencja nie ogranicza się jedynie do blokowania znanych zagrożeń, ale polega na wyszukiwaniu nowych, potencjalnie niebezpiecznych incydentów, aplikacji, kodów itp. EDR zapewnia szczegółowy obraz każdego zdarzenia występującego w sieci, co gwarantuje skuteczne wykrywanie wszelkich anomalii. Jeśli wziąć pod uwagę możliwość analizy w trakcie czy po ataku, to odbiorcami systemów EDR są przede wszystkim duże firmy, które stać na zatrudnianie specjalistów IT. Analiza udostępnianych informacji związanych z bezpieczeństwem wymaga bowiem fachowej wiedzy i odpowiednich zasobów.

Więcej niż EDR

Systemy EDR oferowane przez najważniejszych graczy na rynku cyberbezpieczeństwa bazują na analogicznej koncepcji, a co za tym idzie mają zbliżoną funkcjonalność. Jak zwraca uwagę Damian Przygodzki, inżynier wsparcia technicznego w ABC Data, nieco odmienną strategię realizuje McAfee. Na pierwszy rzut oka system EDR tej marki opiera się na podobnych założeniach. Produkt dostarcza informacje o potencjalnych zagrożeniach czyhających w sieci, koreluje zdarzenia, pozwala również na automatyzację, dzięki czemu administratorzy mogą podejmować szybkie działania naprawcze i zastosować zabezpieczenia chroniące firmę przed przyszłymi atakami. Niemniej działanie produktu McAfee nie ogranicza się do analizy zachowania użytkowników sieci czy wykorzystania technik uczenia maszynowego.

System ten jest połączony z dwoma ważnymi komponentami: McAfee Threat Intelligence Exchange (TIE) i McAfee Data Exchange Layer (DXL). Ich współpraca zapewnia informacje zarówno o zagrożeniach globalnych, jak i tych specyficznych, występujących w lokalnej sieci.

McAfee wychodzi z założenia, że EDR nie powinien być osobnym produktem, lecz elementem dużej sieci bezpieczeństwa. Kluczową kwestią jest więc komunikowanie się systemów ochrony występujących w infrastrukturze. Wymiana informacji pozwala na podejmowanie trafnych decyzji. Duże znaczenie ma fakt, że McAfee wykrywa zagrożenia na podstawie informacji uzyskiwanych z chmury publicznej oraz komponentów lokalnych, takich jak sandbox czy system EDR – zauważa Damian Przygodzki.