EDR

  • Нова усъвършенствана атака използва Windows Defender, за да заобиколи EDR

    Усъвършенствана техника за кибератаки използва Windows Defender Application Control (WDAC), за да деактивира EDR.

    WDAC е въведена с Windows 10 и Windows Server 2016 и предоставя на организациите фин контрол върху изпълнимия код на техните устройства. Експерти по сигурността обаче откриват, че хакерите могат да използват тази функция в своя полза. Това потенциално оставя цели мрежи уязвими за атаки.

    Техниката позволява на нападатели с административни привилегии да изготвят и внедрят специално разработени политики за WDAC. Те могат ефективно да блокират EDR по време на зареждането на системата. По този начин нападателите работят без ограниченията на тези критични за сигурността решения.

    Атаката може да бъде извършена по различни начини – от насочване към отделни машини до компрометиране на цели домейни. В най-тежките сценарии нападател с права на администратор на домейн може да разпространи злонамерени WDAC политики в цялата организация.

    Атаката включва три основни фази:

    • атакуващият създава персонализирана WDAC политика, която позволява на собствените му инструменти да се изпълняват и блокира решенията за сигурност. След това тази политика се поставя в директорията C:\Windows\System32\CodeIntegrity\ на целевата машина;
    • нападателят рестартира крайната точка, за да приложи новата политика;
    • при рестартиране тя влиза в сила, като не позволява на EDR да се активира и оставя системата уязвима за по-нататъшно компрометиране.

    Откриването на този тип атаки е предизвикателство заради използването на легитимни функции на Windows. Но за да смекчите тяхното въздействие, трябва да предприемете следните мерки:

    • внедрете централни WDAC политики, които отменят локалните промени. Това гарантира, че злонамерените правила не могат да влязат в сила;
    • прилагайте принципа на най-малките привилегии. Ограничете разрешенията за промяна на WDAC политиките и записите в чувствителни папки;
    • деактивирайте или защитете локалните администраторски акаунти с инструменти като Local Administrator Password Solution (LAPS) на Microsoft.

    С усъвършенстването на инструментите за сигурност се усъвършенстват и методите за тяхното преодоляване. Това подчертава необходимостта от многопластов подход към киберсигурността и постоянна бдителност от страна на бизнесите.

  • Модерна защита на крайните точки: От антивирус до XDR

    Последен ъпдейт на 26 декември 2024 в 12:20 ч.

    В днешната ера на все по-сложни кибератаки традиционните антивирусни решения вече не са достатъчни за адекватна защита на бизнеса. Добрата новина е, че технологиите за защита също се развиват.

    Преди години антивирусният софтуер разчиташе основно на сигнатури – дигитални „пръстови отпечатъци“ на известен зловреден код. Днес модерните решения са значително по-усъвършенствани и включват машинно обучение, поведенчески анализ и облачна защита. Въпреки това те остават фокусирани предимно върху превенцията и блокирането на познати заплахи.

    EDR: Следващото ниво на защита

    EDR (Endpoint Detection and Response) решенията представляват следващата стъпка в еволюцията на защитата. Те не само откриват и блокират заплахи, но и предоставят детайлна видимост върху всички процеси, протичащи в крайните точки.

    EDR системите записват и анализират всяко действие, позволявайки на специалистите по киберсигурност да:

    • проследяват целия път на атаката;
    • разкриват скрити заплахи;
    • автоматизират реакцията при инциденти;
    • извършват цялостни разследвания.

    MDR: Когато експертизата е от значение

    MDR (Managed Detection and Response) добавя човешкия елемент към технологичното уравнение. Това е услуга, при която екип от експерти по сигурност наблюдава вашите системи денонощно с помощта на EDR технологии.

    MDR е особено подходящ за организации, които:

    • нямат собствен екип по киберсигурност;
    • искат 24/7 мониторинг без изграждане на собствен SOC;
    • търсят експертна помощ при реагиране на инциденти;

    XDR: Интегрирана защита от ново поколение

    XDR (eXtended Detection and Response) е най-новото развитие в тази област. Този тип системи разширяват възможностите на EDR, интегрирайки данни от множество източници:

    • крайни точки;
    • мрежов трафик;
    • облачни услуги;
    • имейл системи;
    • мобилни устройства;
    • IoT/OT системи.

    XDR използва изкуствен интелект за анализ и съпоставка на данни от всички тези източници. Това позволява откриването на сложни атаки, които иначе биха останали незабелязани.

    Кое решение да изберем?

    Традиционните антивирусни решения продължават да еволюират, но новите технологии като EDR, MDR и XDR предлагат значително по-високо ниво на защита. Най-важното при избора на решение е да анализирате конкретните си нужди, както и възможностите на вашата организацията.

    Антивирусните решения са достатъчни за:

    • малки организации с ограничен бюджет;
    • среди с ниско ниво на риск;
    • базова защита в домашни условия;

    Използването на EDR е подходящ когато имате:

    • собствен IT екип;
    • повишени изисквания за сигурност;
    • необходимост от детайлна видимост;
    • достатъчно ресурси за управление на решението.

    MDR е правилният избор при:

    Интеграцията на XDR е подходяща за:

    • големи организации;
    • компании с комплексна IT инфраструктура;
    • високи изисквания към сигурността;
    • нужда от централизирано управление на сигурността.

    Независимо от избора ви, най-важно е да не забравяте, че киберсигурността е непрекъснат процес, а не еднократно решение.

  • Нож с две остриета: EDRSilencer помага за подобряване на киберзащитата, но и за нейното преодоляване

    Хакерите са взели на въоръжение инструмента EDRSilencer, който принципно се използва от Red Teams екипите за тестване на сигурността в организациите. Той е способен да се намесва в работата на EDR софтуерите, използвайки платформата за филтриране на трафика в Windows (WFP).  

    EDR наблюдават крайни точки като компютри или сървъри за признаци на злонамерена активност. От своя страна EDRSilencer е проектиран да блокира мрежовата комуникация на техните процеси. Ефектът от това действие е значителен, тъй като по този начин се нарушава основната функционалност на EDR системите. Блокирайки комуникацията им, EDRSilencer създава „сляпа зона“ в защитата на организацията. 

    За да противодействате на заплахи като тази, препоръчваме прилагането на комплексен подход. Той включва следните ключови стратегии: 

    Внедряване на многослойни контроли за сигурност 

    • Изолиране на критичните системи и чувствителните данни, за да се ограничи възможността за странично движение на атакуващите в мрежата. 
    • Използване на множество нива на контрол за сигурност, включително защитни стени, системи за откриване на нарушения, антивирусен софтуер и EDR решения. Този подход създава резервираност и повишава общата устойчивост на системата. 

    Подобряване на сигурността на крайните точки  

    • Внедряване на решения за сигурност, които използват поведенчески анализ и откриване на аномалии. Това позволява идентифициране на необичайни дейности, които биха могли да заобиколят традиционните EDR системи.
    • Ограничаване на изпълнението само до одобрени приложения, което значително намалява риска от изпълнение на злонамерен софтуер.

    Провеждане на непрекъснато наблюдение и активно търсене на заплахи  

    • Проактивното търсене на индикатори за компрометиране (IoCs) и APTs в мрежата позволява ранно откриване и предотвратяване на сложни атаки.

    Прилагане на строги контроли за достъп  

    • Осигуряване на минимално необходимото ниво на достъп за потребители и приложения, за да изпълняват своите функции. Това ограничава потенциалния обхват на щетите при успешна атака. 

     

     

     

     

Back to top button