Ανίχνευση και Απόκριση Τελικού Σημείου: μια προσέγγιση ανοιχτού κώδικα

Abstract

Η ραγδαία εξέλιξη των επιθέσεων στον κυβερνοχώρο ειδικά την τελευταία δεκαετία επηρεάζοντας μεγάλες εταιρείες με σημαντικές οικονομικές απώλειες, δημιούργησε την εμφάνιση νέων λύσεων για την ανίχνευση, αντιμετώπιση και την εξάλειψη αυτών. Μια από τις πιο υποσχόμενες λύσεις των τελευταίων χρονών είναι τα συστήματα Ανίχνευσης και Απόκρισης Τελικού Σημείου (EDR). Εστιάζοντας αρχικά στο τι είναι τα Τελικά Σημεία και ποια μέτρα προστασίας πρέπει να λαμβάνουν οι οργανισμοί για αυτά, θα δούμε ποια κριτήρια πρέπει να ικανοποιεί ένα EDR καθώς και πως πρέπει να γίνεται η διαχείριση των απειλών. Το πρώτο βήμα που πρέπει να κάνει ένα EDR είναι αυτό της ανίχνευσης. Για το λόγω αυτό θα αναλύσουμε ποια είναι τα διαθέσιμα εργαλεία ανίχνευσης απειλών που χρησιμοποιούνται από τους αναλυτές ασφαλείας και ποιες είναι οι δυνατότητες που μας προσφέρουν. Στην συνέχεια έπειτα από έρευνα που πραγματοποιήθηκε θα παρουσιαστούν ποιες είναι υπάρχουσες λύσεις EDR ανοιχτού κώδικά και το κατά πόσο αποτελεσματικές είναι. Τέλος θα διερευνηθεί η αποτελεσματικότητα τους συστήματος παρακολούθησης συστήματος Windows Sysmon με την μέθοδο ποσοτικής δοκιμής. Για να προσδιοριστεί εάν το σύστημα παρακολούθησης Windows Sysmon είναι αποτελεσματικό, θα εκτελεστούν σενάρια επιθέσεων σε ένα περιβάλλον εικονικού εργαστηρίου.