Ochrana koncových zařízení (EDR, EPP)

Hlavním cílem EDR je posílit schopnost identifikovat, monitorovat a reagovat na podezřelé aktivity na koncových zařízeních, jako jsou pracovní stanice, servery a mobilní zařízení. Tento druh bezpečnostního řešení umožňuje sledovat chování aplikací, procesů a uživatelů v reálném čase a upozornit na potenciální anomálie či nebezpečné akce. Díky tomu může tým zodpovědný za bezpečnost rychle identifikovat nové, neznámé hrozby a podniknout nezbytné kroky k jejich zastavení. 

Produkty EDR často spolupracují s dalšími bezpečnostními technologiemi, jako jsou SIEM (Security Information and Event Management), XDR (Extended Detection and Response) AV systémy. Které rovněž naleznete v našem portfoliu. 

Služby, které jsme schopni poskytovat nad rámec implementace EDR poskytovat jsou následující: 

• Školení a Vzdělávání: Poskytování školení a vzdělávání pro týmy IT a bezpečnosti organizace, aby se efektivně naučily používat a spravovat EDR produkt. To zahrnuje školení o detekci hrozeb, analýze útoků a reakcí na incidenty. 
• Monitorování a Analýza: Specializované služby sledování a analýzy koncových bodů 24/7. Týmy analytiků sledují aktivitu koncových bodů, vyhledávají neobvyklé vzory chování a provádějí hloubkovou analýzu podezřelých aktivit. 
• Forenzní Analýza: Pokročilá analýza útoků po jejich detekci. Týmy provádějí hloubkovou forenzní analýzu, aby zjistily, jakým způsobem útok probíhal, jaké byly jeho důsledky a jak ho příště předcházet. 
• Správa Politik a Pravidel: Pravidelná aktualizace a správa politik a pravidel pro detekci a reakci na hrozby. To zahrnuje optimalizaci nastavení EDR produktu podle aktuálního hrozebného prostředí organizace. 
• Integrace a Konzultace: Služby specializované na integraci EDR produktu s dalšími bezpečnostními nástroji a infrastrukturou organizace. Konzultace pomáhají organizacím efektivně propojit EDR s dalšími součástmi bezpečnostního ekosystému. 

Výše uvedené služby přispívají k tomu, aby organizace mohla co nejlépe využít EDR produkt a zajistit tak efektivní ochranu svých koncových bodů před kybernetickými hrozbami. 

Česká bankovní instituce v rámci několikaměsíční analýzy síťového provozu zaznamenala anomálie, které poukazovaly na možnost přítomnosti útočníka v jejich síti. Nebyli si ale jistí, zda se jedná o false positive nebo ne a nedisponovali nástroji, které by jim pomohli tento problém vyřešit. Kontaktovali tedy nás, zda bychom jim v této věci nedokázali podat pomocnou ruku. 

Společně se zákazníkem jsme se domluvili na implementaci Endpoint Detection and Response (EDR) řešení, které mělo umožnit monitorovat podezřelé aktivity na koncových stanicích a serverech a pomoci detekovat, zda má útočník přístup na některé z interních koncových systémů. Instalace se podařila během jednoho dopoledne a po obědě už jsme měli výsledky, které nasvědčovaly přítomnosti útočníka na důležitých serverech klienta. 

Okamžitě jsme nastavili přísnější detekční režim, který monitoroval síťovou aktivitu z těchto serverů, spouštěné procesy a vykonávané příkazy. Díky těmto informacím jsme dokázali během dvou hodin potvrdit, že útočník na tyto servery má přístup, jaké provádí aktivity a jak se na systémy dostal. Dočasně jsme pomocí EDR zablokovali síťovou komunikaci z těchto serverů a odstranili všechny pozůstatky útočníka, včetně zadních vrátek, která využíval pro přístup do systémů. 

Díky logování spuštěných procesů jsme zjistili, že útočník využíval přihlášení přes veřejně dostupné RDP, přes které se do sítě napoprvé dostal. Odhalili jsme kompromitovaný účet, který byl pro přihlášení použit, a doporučili zákazníkovi změnit hesla a RDP službu překonfigurovat tak, aby nebyla z internetu dostupná. 

Díky EDR řešení jsme získali všechny potřebné informace, které nám pomohli při vystopování útočníka a jeho odstranění ze všech napadených systémů. Nyní má klient EDR řešení nasazené jako náhradu antivirového produktu a monitoring provádí naše Cyber Defense Center