Jak efektywnie chronić stacje robocze oraz serwery przed zagrożeniami zewnętrznymi i wewnętrznymi?

W świetle wydarzeń, które miały miejsce w Nitro-Chem, o których dowiedzieliśmy się w ostatnich dniach, warto zadać sobie pytanie: co my, jako osoby odpowiedzialne za bezpieczeństwo, możemy zrobić, aby uniknąć podobnej sytuacji?

Kompleksowe podejście do bezpieczeństwa należy zacząć od rozpoznania ryzyka i zaadresowania rozpoznanych problemów. Niewystarczająco, a tym bardziej wcale niechronione stacje robocze są najczęstszą przyczyną przełamania zabezpieczeń istniejących w organizacji. Przejęcie danych logowania, rozpoznanie środowiska, uzyskanie dostępu do poczty i zasobów firmy to dopiero początek działalności złośliwego oprogramowania, za którego działaniem niejednokrotnie stoją całe grupy wyspecjalizowane w atakach celowanych.

Jak zabezpieczyć stacje robocze i serwery?

Klasyczne podejście do ochrony stacji końcowych w oparciu o sygnatury plików, już od dawna przestało być wystarczające. Pomimo jego szybkiego działania, w kwestii skuteczności pozostawia bardzo wiele do życzenia. Odpowiedzią dostawców oprogramowania zapewniającego bezpieczeństwo jest wprowadzenie analizy zachowania oprogramowania w kontekście określonych reguł przechowywanych zarówno lokalnie jak i w chmurze. Analizując zachowanie, nie zaś sygnaturę pliku, systemy są w stanie określić czy – bazując na posiadanych danych z poprzednich analiz plików oraz ataków – oprogramowanie zachowuje się w sposób uznany za mogący stanowić zagrożenie.

Takie podejście do ochrony, o ile jest dużo skuteczniejsze, to nie zawsze pozwala na faktyczne rozpoznanie ataku. Dla pełnego zrozumienia sytuacji niejednokrotnie należy spojrzeć nie tylko przez kontekst pojedynczych plików czy stacji. Złośliwe kampanie bardzo często opierają się na powszechnie znanych i zaufanych narzędziach. Taka sytuacja najczęściej ma miejsce zwłaszcza na początkowym etapie, kiedy złośliwy aktor nie posiada jeszcze pełnej kontroli pozwalającej np. na wyłączenie systemu ochrony na stacji. Narzędzia te wykorzystywane są do „zagnieżdżenia” w systemie, podniesienia uprawnień, a dopiero w dalszych krokach może zostać wykorzystane dodatkowe złośliwe, dedykowane oprogramowania do dalszych wrogich działań.

Jakie jest nasze rozwiązanie?

W celu wykrycia i przeciwdziałania takim nadużyciom obecnie najskuteczniejsze są systemy klasy EDR, które pozwalają spojrzeć na bezpieczeństwo systemu jako całości, przeanalizowania zachowania użytkownika oraz oprogramowania. Liderem w tej klasie oprogramowania jest Cybereason.

Rozwiązanie Cybereason – które jako jedyne będące w kwadracie Gartnera w sekcji „Leaders” może zostać wdrożone jako w pełni odseparowane od Internetu środowisko – pozwala w prosty, intuicyjny, a przede wszystkim skuteczny sposób wykryć zagrożenia w początkowej fazie ataku. System pozwala na wykrycie złośliwych działań prowadzonych z użyciem powszechnie uznanego za zaufane oprogramowania, np.: PowerShell, TeamViewer, itp. Instalacja pojedynczego agenta, który posiada funkcjonalności EDR i NGNAV pozwala na wykrycie i zatrzymanie szerokiego spektrum ataków, pozwalając jednocześnie na szybki i intuicyjny przegląd zdarzeń w konsoli zarządzającej. Zapewnia to optymalną i niespotykaną do tej pory skuteczność na poziomie 100% podczas testów MITRE ATT&CK w zakresie ochrony, widoczności oraz wykryć Real-Time.

Rozwiązanie Cybereason to jedno z najważniejszych i najskuteczniejszych narzędzi, jakie możesz wdrożyć w celu ochrony stacji końcowych i serwerów. Doświadczeni administratorzy otrzymują potężne narzędzie do walki ze złośliwym oprogramowaniem. Pozwala ono na uzyskanie maksymalnego efektu, pomimo stosunkowo niewielkiego zaangażowania. Firma Cybereason oferuje również swoim klientom funkcjonalność MDR – Managed DR, aby wyjść naprzeciw organizacjom z ograniczonymi zasobami ludzkimi i kompetencjami. Jest to stosunkowo nowa usługa na rynku w tym segmencie oprogramowania, dzięki której możemy zapewnić monitorowanie i zabezpieczenie naszego środowiska w systemie 24/7.

Zachęcamy do zapoznania się z naszym webinarium prowadzonym przez Kamila Wyroślaka, które pozwoli Państwu szczegółowo zapoznać się z tym oprogramowaniem.

Jeżeli jesteście Państwo zainteresowani poznaniem pełnych możliwości tego oraz innych rozwiązań, zachęcamy do kontaktu z naszą wyspecjalizowaną grupą inżynierów i opiekunów handlowych.