ESET Enterprise Inspector: nowy wymiar ochrony sieci

Wyszukane ataki ukierunkowane oraz nowe typy wirusów, takie jak ransmoware i cryptojacking, mogą niezauważenie przeniknąć do sieci firmowej, stanowiąc potężne zagrożenie dla komputerów pracowników, infrastruktury krytycznej, a nawet całych Państw. Nowa, dynamicznie rozwijająca się kategoria narzędzi zabezpieczeń klasy Endpoint Detection and Response (EDR), pomaga u źródła skutecznie identyfikować i blokować najbardziej wyrafinowane zagrożenia sieciowe.

Eksperci są zgodni, że wykrycie takich ataków nie zawsze jest możliwe z użyciem wyłącznie aplikacji antywirusowej. Gdy dodamy do tego możliwość infekcji z wewnątrz firmy, np. przez uruchomienie potencjalnie niebezpiecznej aplikacji przez pracownika, szybko okaże się, że do skutecznego odpierania współczesnych zagrożeń potrzebować będziemy dodatkowej warstwy ochrony. Co więcej, dla bezpieczeństwa sieci kluczowe znaczenie ma czas reakcji. Od tego jak długo zajmie nam wykrycie i wyeliminowanie wirusa zależy skala skutków jakie może on spowodować w firmowej sieci. Tu z pomocą przychodzą rozwiązania klasy EDR.

Endpoint Detection and Response (EDR) to stosunkowo nowa kategoria systemów zabezpieczeń sieciowych, umożliwiająca wykrywanie ataków sieciowych w ich początkowej fazie. System EDR zapewnia widoczność zagrożeń już na poziomie anomalii w „zachowaniu” procesów uruchamianych na punktach końcowych oraz pomaga w ustaleniu kiedy i gdzie zaczął się atak.

ESET Enterprise Inspector

W ostatnim czasie portfolio produktów firmy ESET zostało wzbogacone o szereg komplementarnych produktów w zakresie zabezpieczania urządzeń i sieci. Pierwszym narzędziem jest ESET Dynamic Threat Defense, który pozwala na uruchamianie podejrzanych plików w chmurze dostawcy (sanboxing). Recenzja tego produktu dostępna jest pod tym adresem. Drugim ważnym elementem całej układanki jest ESET Enterprise Inspector (EEI) oraz zintegrowana z nim nowa usługa monitorowania zagrożeń – ESET Threat Monitoring.

ESET Enterprise Inspector to rozwiązanie klasy Endpoint Detection and Response, przeznaczone do monitorowania i ochrony urządzeń końcowych, w tym stacji roboczych i serwerów. Oprogramowanie zapewnia trzy obszary działania:

  • detekcję, czyli odnajdywanie podejrzanych operacji w środowisku sieciowym firmy,
  • widoczność, dającą wgląd w to, jaki plik lub skrypt został zainfekowany, kiedy i jak,
  • reakcję, rozumianą jako możliwość zablokowania procesu na punkcie końcowym, pobranie zainfekowanego pliku w celu dalszej analizy lub jego zdalne skasowanie.

ESET Enterprise Inspector skierowany jest do większych przedsiębiorstw oraz korporacji o złożonej architekturze sieciowej, w której działa min. 250 stanowisk końcowych. Nie chodzi tu bynajmniej, o to, że ESET Enterprise Inspector jest nadmiernie drogi, albo zbyt skomplikowany w użyciu. Wręcz przeciwnie. Problem w tym, że żaden system EDR nie jest produktem samoobsługowym. Oznacza to, że firma która zamierza wdrażać takie rozwiązania u siebie powinna mieć wydzieloną komórkę bezpieczeństwa (SOC) lub co najmniej administratora zajmującego się monitorowaniem sieci z kompetencjami do zarządzania systemem EDR. Mimo wielu udogodnień wprowadzonych przez ESET-a (przyjazny interfejs konsoli, 230 predefiniowanych reguł) pełną sprawność systemu osiągniemy dopiero przy zaangażowaniu osób potrafiących rozpoznać pojawiające się anomalie, dokonać analizy sytuacji i zablokować potencjalne zagrożenie. W tym miejscu dodajmy, że architektura rozwiązania pozwala oddzielić mechanizmy zarządzania systemem EDR od ochrony końcówek ESET Endpoint lub łączyć obie te funkcje w jednej konsoli administratora.

Wspomniana konsola udostępnia administratorom szczegółowe informacje na temat zarejestrowanych zdarzeń wraz z wynikami analizy. Na uwagę zasługuje rozbudowany system filtrowania i sortowania, który pomaga skutecznie zidentyfikować anomalie w „zachowaniu” aplikacji spośród milionów rejestrowanych zdarzeń.

Jak działa EDR?

Ochrona ESET Enterprise Inspector zaczyna się na punkcie końcowym. Agent usługi przechwytuje zdarzenia z procesów skryptów lub plików wykonywalnych (aplikacji) uruchamianych na chronionych komputerach pracowników i serwerach, a następnie przesyła je do centralnego serwera ESET Enterprise Inspector Server. Podejście to pozwala odciążyć punkty końcowe od zadań przetwarzania zdarzeń, a przy tym w jednym miejscu daje wgląd w stan zabezpieczeń całej firmowej sieci.

Szczegółowa analiza zdarzeń odbywa się na wspomnianym serwerze. Zarejestrowane zdarzenia porównywane są ze zdefiniowanymi regułami – politykami zabezpieczeń. Na tym etapie weryfikowana jest również ocena reputacji pliku w chmurze ESET LiveGrid. W przypadku obiektów budzących wątpliwość administrator może przesłać plik do dalszej analizy w chmurze (moduł ESET Dynamic Threat Defense), zablokować proces albo bezpośrednio usunąć go z wszystkich chronionych końcówek. Identyfikacja niebezpiecznych obiektów w całym ekosystemie rozwiązań ochrony ESET odbywa się z wykorzystaniem funkcji skrótu SHA-1. Istnieje możliwość ręcznego dodania sumy kontrolnej pozyskanej z innych źródeł do listy zainfekowanych obiektów.

Na tle konkurencji

Młody rynek rozwiązań EDR dynamicznie się rozwija, a ESET Enterprise Inspector wypada nad wyraz dobrze na tle konkurencyjnych produktów takich jak CrowdStrike, CylanceOPTICS czy rozwiązań rozwijanych przez innych producentów oprogramowania antywirusowego (Symantec, McAfee, Kaspersky).

Zamiast chmury, rozwiązanie instalowane jest w infrastrukturze firmy, co pozwala na zamknięcie danych klienta w środowisku lokalnym. ESET Enterprise Inspector zapewnia funkcję ESET Threat Huntingu z możliwością uruchamiania nowych lub zmodyfikowanych reguł na danych historycznych. Wszystko po to, aby skuteczniej odnajdywać przejawy ataków zero-day. Wśród pozostałych funkcji wyróżniających produkt ESET-a na tle konkurencji warto wspomnieć o zaawansowanych mechanizmach definiowania wykluczeń oraz narzędzi do przeglądania w formie tabeli plików wykonywalnych i DLL kiedykolwiek zauważonych w sieci. W tym kontekście ESET Enterprise Inspector zapewnia dostęp do danych statystycznych oraz innych informacji o obiekcie takich jak jego pochodzenie, utworzone wpisy rejestru, czy wywołane przez niego alarmy.

W dobie ataków ukierunkowanych, ransomware i cryptojacking, system klasy EDR taki jak ESET Enterprise Inspector stanowi potężny oręż w walce z nowymi typami zagrożeń, pozwalając działom SOC na szybkie i skuteczne wykrywanie anomalii w sieci oraz blokowanie w zarodku nawet najbardziej wyrafinowanych ataków na infrastrukturę przedsiębiorstwa. Bezpieczeństwo można mieć pod kontrolą.