Endpoint Detection and Response

Endpoint Detection and Response

EDR slúži na ochranu koncových staníc pred škodlivým kódom a prienikom útočníka. Od bežných antivírusových produktov sa líši logovaním dôležitých aktivít na koncovej stanici a širokými možnosťami na riešenie incidentu.


 


Ste pod kybernetickým útokom?

 

 

Náš príbeh

Česká banková inštitúcia v rámci niekoľko mesačnej analýzy sieťovej prevádzky zaznamenala anomálie, ktoré poukazovali na možnosť prítomnosti útočníka v ich sieti. Neboli si však istý, či sa jedná o false positive alebo nie a taktiež nedisponovali ani nástrojmi, ktoré by im pomohli tento problém vyriešiť. Kontaktovali teda nás, či by sme im v tejto veci nedokázali podať pomocnú ruku.

Spoločne so zákazníkom sme sa dohodli na implementácii Endpoint Detection and Response (EDR) riešenia, ktoré malo umožniť monitorovať podozrivé aktivity na koncových staniciach a serveroch a pomôcť detegovať, či má útočník prístup do niektorého z interných koncových systémov. Inštalácia sa podarila behom jedného doobedia a už poobede sme mali výsledky, ktoré nasvedčovali prítomnosť útočníka na dôležitých serveroch klienta.

Okamžite sme nastavili prísnejší detekčný režim, ktorý monitoroval sieťovú aktivitu z týchto serverov, spustené procesy a vykonávané príkazy. Vďaka týmto informáciám sme dokázali v priebehu dvoch hodín potvrdiť, že útočník na tieto servery prístup má, aké aktivity vykonáva a ako sa do systému dostal.

Dočasne sme pomocou EDR zablokovali sieťovú komunikáciu z týchto serverov a odstránili všetky pozostatky útočníka, vrátane zadných dvierok, ktoré používal na prístup do systému.

Vďaka logovaniu spustených procesov sme zistili, že útočník využíval prihlásenie cez verejne dostupné RDP, cez ktoré sa do siete po prvýkrát dostal. Odhalili sme kompromitovaný účet, ktorý bol na prihlásenie použitý a odporučili zákazníkovi zmeniť heslá a RDP službu sme prekonfigurovali tak, aby nebola z internetu dostupná.

Vďaka EDR riešeniu sme získali všetky potrebné informácie, ktoré nám pomohli pri vystopovaní útočníka a jeho odstrihnutí od všetkých napadnutých systémov. Teraz má klient EDR riešenie nasadené ako náhradu antivírusového produktu a monitoring vykonáva naše Cyber Defense Centrum.

Popis riešenia

Endpoint Detection and Response (EDR) produkty slúžia na ochranu koncových staníc pred škodlivým kódom a prienikom útočníka. Od bežných antivírusových produktov sa líši logovaním dôležitých aktivít na koncovej stanici a širokými možnosťami na riešenie incidentu. Riešenie EDR umožňuje zbierať informácie o aktivitách na koncovej stanici, napríklad:

  • rodičovských procesoch,
  • vykonaných príkazoch cez príkazový riadok alebo powershell,
  • stiahnutých súborov a ich reputácii,
  • zmenách v registri,
  • DNS requestoch a všeobecnej sieťovej komunikácii,
  • zmenách v súborovom systéme.

Analytik vďaka EDR systému získa možnosť vzdialeného pripojenia na koncovú stanicu a môže tak vynútiť ukončenie škodlivého procesu, zmazať súbory alebo si ich stiahnuť na detailnú analýzu a dokonca aj kompletne zablokovať sieťovú komunikáciu infikovanej stanice.

Keď interné sily nestačia

Vyhodnotiť správne všetky bezpečnostné udalosti môže byť časovo aj kapacitne náročné. Preto ponúkame služby nášho SOC Cyber Defense Center. Naši analytici vyhodnocujú bezpečnostné udalosti a v prípade problému môžu okamžite reagovať.

Kľúčové vlastnosti

    • Detekcia exploitov, bežného i fileless malwaru, zero-day malwaru
    • Analýza bežiacich procesov
    • Detekcia útoku, ktorý využíva legitímne nástroje (napríklad Powershell alebo WMI)
    • Detekcia útokov využívajúcich MITRE ATT&CK techniky
    • Kontrola vykonávaných príkazov cez CMD a Powershell
    • Odhalenie a blokácia pokusu útočníka o prienik na koncovú stanicu
    • Tvorba vlastných YARA rules
    • Nástroj na vyhľadávanie IoCs
    • Možnosť ukončenia procesu alebo zablokovania sieťovej komunikácie

Referencie

Ak máte záujem zistiť viac o tom, ako pracujeme, neváhajte sa na nás spýtať v niektorej z nasledujúcich spoločností. Ide iba o vybrané a schválené referencie z poslednej doby.
  • Expobank
  • PPA Controll