Най-актуалните и ефективни атаки с рансъмуер не изискват да има зловреден софтуер; те изискват вход. Съвременните злонамерени лица не е необходимо да проникват. Те могат да използват легитимни самоличности и техните привилегии, за да проникнат, след което да продължат да се възползват от тях, движейки се странично, за да проучват повече възможности и да манипулират уязвимости и експлойти, за да разпространяват рансъмуер и шпионски софтуер. Уязвима самоличност или акаунт, свързан с крайна точка, може бързо да се превърне във възможност на атакуващия да получи достъп до най-ценните активи на организацията.
С използването на легитимни самоличности се наблюдава по-малко „аномална“ активност и много повече нормални действия, извършвани от доверен, привилегирован потребител. А атакуващите са напълно наясно колко лесно могат да се „скрият“ зад тези легитимни потребителски акаунти.
Ето защо откриването и реагирането на крайни точки (Endpoint Detection and Response – EDR) е всъщност само едно парче от пъзела за защита на крайните точки. То предлага ключова функционалност за откриване на заплахи в реално време и осигуряване на бързи реакции срещу zero-day експлойти, но има и част, който остава назащитена. Той открива заплахи, които задействат предупреждения, но не може да спре заплахите, които използват легитимни привилегии. Освен това му липсват много от функциите, необходими за проактивна стратегия за сигурност на крайните точки. Тук се намесва Управлението на привилегиите на крайните точки (Endpoint Privilege Management – EPM).
Каква е разликата между EPM и EDR?
EPM и EDR са известни като критични инструменти, когато става въпрос за защита на крайните точки. И все пак, те обхващат много различни етапи от жизнения цикъл на атаката.
EDR е проектиран да открива и реагира на злонамерени дейности в реално време, които могат да бъдат изпълнени на крайна точка. EDR успешно разкрива заплахи като зловреден софтуер и ransomware, които използват злонамерени файлове и процеси, а в някои случаи и „безфайлови“ атаки. Той играе роля и в защитата срещу zero-day експлойти. EDR се отличава с разкриването на подозрително поведение и осигуряването на бърза реакция при инциденти, след като атаката е в ход.
EPR, от друга страна, предприема превантивен подход, като премахва ненужните администраторски права и налага минимални привилегии. Дори ако даден злонамерен участник все пак проникне, EPM минимизира повърхността на атаката и ограничава възможността тези злонамерени участници да ескалират привилегиите или да се движат странично. Докато EDR ви предупреждава за активна заплаха, EPM помага да се ограничи радиусът на атаката и да се спре достъпът на злонамерените участници до привилегиите, от които се нуждаят, за да изпълнят целите си.
Защо самото откриване на крайни точки е недостатъчно
Поради реактивния характер на EDR решенията, организациите в крайна сметка чакат да се случи нещо злонамерено, след което го откриват, предупреждават и реагират, когато това се случи. И това е при условие, че SOC анализатор или инструмент е в състояние да локализира откриването сред голям обем сигнали и регистрационни файлове.
Както при много други инструменти за откриване и реагиране, EDR решенията създават масивни регистрационни файлове, които анализаторите на операциите по сигурност трябва да преглеждат и анализират. Огромният обем сигнали, генерирани от EDR решенията, също означава много фалшиво-положителни резултати.
Как управлението на привилегиите на крайните точки запълва празнината
Все по-често виждаме как нападателите първо получават достъп до привидно нископривилегировани акаунти, а след това намират пътища за ескалиране на привилегиите оттам, независимо дали чрез членство в групи, неправилни конфигурации или други имплицитни доверителни отношения. Поради тази причина, всяка идентичност трябва да се счита за привилегирована и защитена като такава. Това е особено важно при защитата на крайните точки, където привидно нископривилегирован потребител може да работи като локален администратор на собственото си устройство в BYOD ситуация или дори да изпълнява приложения или да променя данни. Ако бъде компрометиран, този акаунт с „ниски привилегии“ може да нанесе много щети в корпоративната мрежа. Основни стратегии за сигурност на идентичността, като например „най-ниски привилегии“ (включително „нулеви привилегии“), „нулево доверие“ и „защита в дълбочина“, са критични.
Управлението на привилегиите на крайните точки разглежда две ключови дейности:
- Премахване на администраторски права във всички крайни точки
За да бъдат блокирани атакуващите в крайната точка, трябва да им бъдат отказани привилегиите, на които разчитат. EPM решенията минимизират потенциалните пътища за ескалация на привилегиите, като гарантират, че потребителите работят като стандартни потребители без привилегии, администраторски права или дори делегирани права.
За да може потребителите да продължат да изпълняват ежедневните си задачи без прекъсване, EPM прехвърля администраторските права и привилегии на тези крайни точки към приложенията и изпълнимите файлове. Вместо да изисква от потребителите да използват повишени права, когато изпълняват приложения, самите приложения повишават правата, което означава, че потребителите винаги работят като стандартни акаунти.
- Наслояване на мерки за контрол на приложенията чрез повишаване на привилегиите
Чрез използване на контрола на приложенията, предлаган в много EPM решения, организациите могат да въведат опции „Разрешаване“ и „Отказ“, за да контролират какво потребителите могат или не могат да правят с много по-голяма детайлност. Това дава на организациите видимост върху лицензирането на приложенията за крайни точки, където те могат да открият скрити проблеми с лицензирането или нарушения, за които не са знаели, че съществуват в тяхната среда. Тези допълнителни предимства помагат на организациите да открият остарели или уязвими версии на приложенията.
Като започнат с повишаване на привилегиите и контрол на приложенията, екипите могат значително да намалят количеството шум, произведен от техните EDR решения. Броят на фалшиво-положителни резултати също е значително намален. В резултат на това анализаторите на операциите по сигурността могат да реагират много по-бързо на реални заплахи.
Защита на самия EDR: Спиране на атаките за заобикаляне
Управлението на привилегиите на крайните точки може допълнително да подобри откриването и реагирането на крайни точки, като помогне за справяне с атаките за заобикаляне на EDR. Виждаме все повече примери за този тип атака, тъй като киберпрестъпниците овладяват по-напреднали техники, като например използване на съществуващи системни инструменти или помощни програми, стартиране на атаки по веригата за доставки, за да влязат в системи от легитимни инструменти на трети страни.
Управлението на привилегиите на крайните точки директно се справя с опитите за заобикаляне на EDR, като регистрира ранни предупредителни знаци, включително опити за деактивиране на инструменти за сигурност, злоупотреба с легитимни инструменти или системни помощни програми („Living Off the Land“), дистанционно изпълнение на код и признаци за експлоатация на Bring Your Own Vulnerable Driver (BYOVD). Инструментите за EPM могат също да откриват използването на известни приложения като EDR-Killer HRSword, EDRSilencer и EDRKillerShifter.
В много отношения, управлението на привилегиите на крайните точки може да се разглежда като защитен слой за вашето решение за откриване и реагиране на крайни точки. То предпазва от злонамерени опити за неутрализиране на EDR.
EDR + EPM = Високоефективна защита на крайните точки
Въпреки че EDR играе жизненоважна роля в сигурността на крайните точки, то не е достатъчно само по себе си, за да се бори с днешните скрити, постоянни заплахи. Чрез комбиниране на проактивната защита на EPM с реактивната сигурност на EDR, организациите могат по-добре да се защитят срещу пълната гама от заплахи за крайните точки. Това обхваща защита срещу злонамерен софтуер, атаки без файлове, нови заплахи като zero-day атаки, както и атаки за заобикаляне на EDR и други привидно „легитимни“ дейности, които може да изглеждат сякаш се извършват от системен потребител, но всъщност се използват от злонамерен атакуващ.
В обобщение, EDR може да даде информация дали нещо не е наред във вашата среда, но EPM може да предотврати това нещо. Ако разчитате само на EDR, решавате само половината от проблема.