EDR – nowa linia obrony

Spośród produktów bezpieczeństwa już od dłuższego czasu największe kontrowersje wzbudzają antywirusy. Do ich krytyków należą zarówno wielkie koncerny, np. Cisco, IBM, jak i reprezentanci tzw. nowej fali. Przedstawiciele FireEye jakiś czas temu stwierdzili, że funkcje oprogramowania antywirusowego bazujące na sygnaturach bardziej przydadzą się do polowania na duchy niż do wykrywania cyberataków i zapobiegania im. Pretendenci zapowiadają nadejście kolejnej ery w tym segmencie rynku, którą nazywają next generation antivirus. Rodzimi resellerzy z ostrożnością przyglądają się tego typu rozwiązaniom. Zresztą podobna jest postawa klientów, zazwyczaj darzących ograniczonym zaufaniem mniej znane w Polsce marki i rozwiązania.

Ciekawe, że również analitycy Gartnera są dość powściągliwi w ocenach, co pokazuje tegoroczny kwadrant dotyczący rozwiązań zabezpieczających stacje robocze. Na pozycjach liderów znaleźli się: Symantec, Sophos i Trend Micro. Natomiast przedstawicieli „nowej fali”, m.in. FireEye, Carbon Black, uznano za graczy niszowych. Jednak należy dodać, że Gartner zauważa dynamiczny rozwój rozwiązań Endpoint Detection & Response, których działanie polega na aktywnym szukaniu w czasie rzeczywistym śladów włamań oraz ataków w każdym urządzeniu końcowym. Skumulowany wskaźnik wzrostu sprzedaży systemów EDR między rokiem 2015 a 2020 ma wynieść 45 proc. Przewiduje się, że w 2020 r. producenci uzyskają z ich sprzedaży 1,5 mld dol.

EDR jest dobrą propozycją dla dużych firm. Korzystanie z niego wymaga zespołu ludzi, którzy potrafią analizować udostępniane informacje, a następnie podejmować odpowiednie decyzje. W mniejszych firmach na ogół nie ma fachowców od bezpieczeństwa, więc tego typu rozwiązania się nie sprawdzą – sądzi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

Wiele wskazuje, że oprogramowanie antywirusowe jeszcze długo pozostanie rozwiązaniem zabezpieczającym urządzenia końcowe. Przetrwają jednak tylko ci producenci, którzy będą umieli iść z duchem czasu, umiejętnie wykorzystując technologiczne nowości.

Nowe produkty zapewniają nie tylko typową ochronę antywirusową, ale także możliwość kontroli aplikacji, nośników danych (np. USB) oraz filtrowanie zapytań stron internetowych. Wielu producentów w ramach ochrony antywirusowej proponuje klientom rozwiązania wykorzystujące mechanizmy nauczania maszynowego lub sztucznej inteligencji – wyjaśnia Maciej Kotowicz, Channel Account Executive, Sophos.

 

Zdaniem specjalisty

 

Damian Przygodzki, inżynier wsparcia technicznego, ABC Data

Wyzwań związanych z ochroną infrastruktury sieciowej jest co niemiara. Najważniejsze z nich to: duża i zmienna liczba użytkowników, polityka bezpieczeństwa sieci LAN/WLAN, odpowiednia segmentacja sieci, kontrola dostępu do danych i odpowiednia konfiguracja urządzeń bezpieczeństwa. W rozwiązaniach do ochrony sieci coraz częściej wykorzystywane są mechanizmy uczenia maszynowego. Dlatego powstają inteligentne i zautomatyzowane sieci, które są skorelowane z systemami zabezpieczeń. Dzięki temu można szybciej wykryć atak i zmniejszyć liczbę błędnych alarmów.

Jolanta Malak, dyrektor regionalna, Fortinet

Według przeprowadzonego przez Fortinet badania aż 65 proc. firm w Polsce zadeklarowało inwestycje w programy edukacyjne dla pracowników z zakresu cyberbezpieczeństwa w 2018 r. Ten wynik dowodzi rosnącej świadomości przedsiębiorców, że znaczna część naruszeń bezpieczeństwa jest efektem nieostrożności, niewiedzy lub ignorancji pracowników. Z drugiej strony zdaniem respondentów, którymi byli decydenci z obszaru IT, zarządy firm wciąż nie traktują cyberbezpieczeństwa wystarczająco poważnie. W tym kontekście ciekawe, że w 58 proc. przypadków za naruszenia bezpieczeństwa zarząd w pierwszej kolejności obwiniał dział IT – albo cały zespół (46 proc.), albo konkretną osobę (12 proc.), natomiast pracowników spoza działu IT – w 23 proc.

Piotr Szymański, Presales Engineer, Connect Distribution

Jednym z największych wyzwań dla administratorów sieci jest ochrona kluczowych urządzeń, których przestój naraża przedsiębiorstwo na straty finansowe. Dlatego kontrolowanie i przestrzeganie reguł bezpieczeństwa, testowanie wdrożonych procedur – to działania, które powinny zaistnieć w świadomości właściciela każdej firmy. Rozwiązania ewoluują w kierunku integracji i automatyzacji narzędzi służących do zabezpieczenia sieci. To sprawia, że administratorzy mają dostęp do większej ilości informacji na temat zagrożeń, a tym samym potrzebują mniej czasu na wykrycie ataków i przeciwdziałanie im.