EDR

  • Нож с две остриета: EDRSilencer помага за подобряване на киберзащитата, но и за нейното преодоляване

    Хакерите са взели на въоръжение инструмента EDRSilencer, който принципно се използва от Red Teams екипите за тестване на сигурността в организациите. Той е способен да се намесва в работата на EDR софтуерите, използвайки платформата за филтриране на трафика в Windows (WFP).  

    EDR наблюдават крайни точки като компютри или сървъри за признаци на злонамерена активност. От своя страна EDRSilencer е проектиран да блокира мрежовата комуникация на техните процеси. Ефектът от това действие е значителен, тъй като по този начин се нарушава основната функционалност на EDR системите. Блокирайки комуникацията им, EDRSilencer създава „сляпа зона“ в защитата на организацията. 

    За да противодействате на заплахи като тази, препоръчваме прилагането на комплексен подход. Той включва следните ключови стратегии: 

    Внедряване на многослойни контроли за сигурност 

    • Изолиране на критичните системи и чувствителните данни, за да се ограничи възможността за странично движение на атакуващите в мрежата. 
    • Използване на множество нива на контрол за сигурност, включително защитни стени, системи за откриване на нарушения, антивирусен софтуер и EDR решения. Този подход създава резервираност и повишава общата устойчивост на системата. 

    Подобряване на сигурността на крайните точки  

    • Внедряване на решения за сигурност, които използват поведенчески анализ и откриване на аномалии. Това позволява идентифициране на необичайни дейности, които биха могли да заобиколят традиционните EDR системи.
    • Ограничаване на изпълнението само до одобрени приложения, което значително намалява риска от изпълнение на злонамерен софтуер.

    Провеждане на непрекъснато наблюдение и активно търсене на заплахи  

    • Проактивното търсене на индикатори за компрометиране (IoCs) и APTs в мрежата позволява ранно откриване и предотвратяване на сложни атаки.

    Прилагане на строги контроли за достъп  

    • Осигуряване на минимално необходимото ниво на достъп за потребители и приложения, за да изпълняват своите функции. Това ограничава потенциалния обхват на щетите при успешна атака. 

     

     

     

     

Back to top button