Μελέτη τεχνολογιών ασφάλειας EDR (Endpoint Detection & Response), EPP (Endpoint Protection Platform) και antivirus

Abstract

Τα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR) παρέχουν ορατότητα σε εξελιγμένες εισβολές ταιριάζοντας τα συμβάντα του συστήματος με γνωστές αντίθετες συμπεριφορές. Ωστόσο, οι τρέχουσες λύσεις υποφέρουν από τρεις προκλήσεις: ● Τα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR) δημιουργούν μεγάλο όγκο ψευδών συναγερμών, δημιουργώντας συσσωρευμένες εργασίες έρευνας για τους αναλυτές. ● Ο προσδιορισμός της ειλικρίνειας αυτών των ειδοποιήσεων απειλής απαιτεί κουραστική χειρωνακτική εργασία, λόγω του συντριπτικού αριθμού κορμών συστήματος χαμηλού επιπέδου, δημιουργώντας ένα πρόβλημα "βελόνας στ΄άχυρα". ● Εξαιτίας του τεράστιου φόρτου πόρων της διατήρησης αρχείων καταγραφής, στην πράξη τα αρχεία καταγραφής του συστήματος που περιγράφουν μακροχρόνιες εκστρατείες επιθέσεων, συχνά διαγράφονται πριν από την έναρξη μιας έρευνας. Σκοπός αυτής της διατριβής είναι να αναλύσει τα οφέλη που προκύπτουν, από τα διάφορα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR). Εισάγουμε την έννοια της πλατφόρμας προστασίας τελικών σημείων (EPP), η οποία είναι μια ολοκληρωμένη λύση ασφαλείας που αναπτύσσεται σε συσκευές τελικού σημείου, για προστασία από απειλές. Θα γίνει μια αναφορά στα προγράμματα προστασίας από ιούς, τα Anti-Virus (AV) και στα προγράμματα προστασίας από ιούς επόμενης γενιάς (NGAV). Θα γίνει μια αναφορά ως προς τις απειλές που διατρέχει ένα τελικό σημείο και τι ζημιά μπορεί να κάνουν αυτές στο τελικό σημείο. Θα εστιάσουμε σε μερικά εμπορικά συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR), και θα εστιάσουμε σε τι προσφέρουν στο τελικό μας σημείο. Τέτοιες λύσεις είναι το McAfee MVision EDR, το CrowdStrike Falcon Insight και το Microsoft Defender ATP. Θα εξετάσουμε μερικά από τα συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR), ανοιχτού κώδικα. Τέτοια συστήματα είναι το Wazuh, το OpenEDR και το Bluespawn. Θα τα εγκαταστήσουμε σε ορισμένα τελικά σημεία και θα εξετάσουμε το πως συμπεριφέρονται κατά τη διάρκεια μιας εισβολής σε κάποιο από τα συστήματα μας. Η εισβολή θα γίνει με το Caldera. Τέλος θα εξηγήσουμε την αναγκαιότητα των συστημάτων ανίχνευσης και απόκρισης τελικού σημείου, για την ασφάλεια των τελικών σημείων και των δεδομένων.