Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Firma AV-Comparatives opublikowała wyniki testu produktów Endpoint Prevention and Response (EPR). Analitycy uwzględniając całkowity koszt posiadania produktu, koszty operacyjne, a także skuteczność wykrywania anomalii i naruszeń sporządzili zestawienie „EPR CyberRisk Quadrant”. W najbardziej prestiżowej części Strategic Leaders umieszczono po raz kolejny Bitdefendera z produktem GravityZone Business Security Enterprise w wersji 7.5.
AV Compartives definiuje EPR jako produkty przeznaczone do wykrywania, zapobiegania, analizowania i reagowania na ukierunkowane ataki, takie jak zaawansowane trwałe zagrożenia (APT). Rozwiązania zabezpieczające punkty końcowe wykrywają i blokują złośliwe oprogramowanie i ataki sieciowe na poszczególne stacje robocze. Natomiast systemy EPR muszą radzić sobie z wieloetapowymi atakami mającymi na celu infiltracja całej sieci organizacji.
W teście wzięło udział 10 produktów, które zostały poddane 50 oddzielnym scenariuszom ataków ukierunkowanych. Niektóre testy branżowe koncentrują się na możliwościach prewencji (na przykład Business Security Test firmy AV-Comparatives), podczas gdy inne skupiają się na możliwościach wykrywania (na przykład MITER ATT&CK Evaluations). Raport EPR to ambitna, kompleksowa ocena, która odzwierciedla codzienną rzeczywistość w przedsiębiorstwach, łącząc w jednym raporcie zarówno funkcje zapobiegania, jak i wykrywania.
Raport EPR rozróżnia reakcję aktywną (zapobieganie działaniu) i reakcję pasywną (działanie jest wykrywane i zgłaszane, ale wymaga interakcji z człowiekiem). Atak przechodzi przez trzy różne fazy,
a) wstępny dostęp, próba wykonania złośliwego kodu, uporczywe działania takie jak utrzymywanie dostępu do systemu po ponownym uruchomieniu, zmianie poświadczeń itp.
b) eskalacja uprawnień, dostęp do poświadczeń, pozyskiwanie informacji o systemie i sieci wewnętrznej, techniki służące do przejmowania i kontrolowania zdalnych systemów,
c) gromadzenie informacji, komunikacja i kontrola przejętych serwerów, wykradanie danych, manipulacja, niszczenie systemów i danych.
Celem jest zablokowanie ataku, zanim osiągnie on fazę 3, ostatnią fazę, w której cyberprzestępcy zaczynają realizować swój ostateczny cel. Jeśli zapobieganie i wykrywanie nie powiedzie się w tej końcowej fazie, cyberprzestępcy osiągnęli naruszenie bezpieczeństwa bez wykrycia. W tym roku połowa uczestniczących dostawców nie zapobiegła naruszeniu bezpieczeństwa. W związku z tym postanowiła pozostać anonimowa w raporcie EPR.
Pomiar fałszywych zgłoszeń, TCO oraz ROI
Połączenie operacji zapobiegania i wykrywania w jednym raporcie sprawia, że ma on unikalny charakter. Niejednokrotnie zdarza się, że dostawcy konfigurują rozwiązania w taki sposób, aby przystosować je do agresywnej ochrony, sztucznie poprawiając oceny zapobiegania. Niestety, to skutkuje dużą liczbą fałszywych alarmów, a tym samym ogranicza produktywność użytkowników końcowych, powoduje wzrost TCO oraz ROI i niepotrzebnie angażuje zespół ds. bezpieczeństwa.
Raport EPR radzi sobie z tym wyzwaniem poprzez uwzględnienie danych o kosztach dokładności operacyjnej i opóźnień przepływu pracy. Dokładność operacyjna symuluje typową aktywność użytkownika (otwieranie plików, przeglądanie), jednocześnie monitorując, czy rozwiązanie bezpieczeństwa punktu końcowego wpływa na wydajność (fałszywe alarmy). Co istotne, autorzy raportu łączą informacje z testów efektywności z danymi dotyczącymi kosztów i dokładności produktu w celu obliczenia całkowitego kosztu posiadania.
Bitdefender wśród liderów „EPR CyberRisk Quadrant”
AV Compartives bazując na wynikach przeprowadzonych badań, a także kilku innych kryteriach, takich jak koszty zakupu, koszty całkowitego użytkowania (TCO), czy oszczędności wynikające z zapobieganiu naruszeniom, opracował zestawienie „EPR CyberRisk Quadrant”. Badacze jako model bazowy przyjęli przedsiębiorstwo z 5 tysiącami komputerów objętych ochroną EPR przez okres pięciu lat. W „EPR CyberRisk Quadrant” znajdują się trzy obszary przeznaczone dla certyfikowanych przez AV Compartives dostawców - Strategic Leaders, CyberRisk Visionaries oraz Strong Challengers. Co istotne, producenci, którym nie udało się osiągnąć współczynnika reakcji aktywnej oraz pasywnej powyżej 90 proc. lub ze zbyt wysokim TCO nie trafili do zestawienia.
W najbardziej prestiżowej części Strategic Leaders umieszczono po raz kolejny Bitdefendera z produktem GravityZone Business Security Enterprise w wersji 7.5. Rozwiązanie Bitdefender osiągnęło skumulowany wskaźnik aktywnych odpowiedzi na poziomie 100 proc., zapobiegając naruszeniom bezpieczeństwa we wszystkich testowanych scenariuszach. To niesamowite osiągnięcie, pokazujące pozycję Bitdefendera na rynku bezpieczeństwa punktów końcowych. Warto podkreślić, że produkt Bitdefendera nie generował fałszywych alarmów, a także cechuje się wysokim zwrotem z inwestycji i bardzo niskim kosztem posiadania (TCO).
Możliwość działania
Posiadanie skutecznych narzędzi bezpieczeństwa jest jednym z najważniejszych czynników powstrzymujących incydenty przed przekształceniem się w naruszenia danych. Raport EPR zawiera wymierne informacje, takie jak fałszywe alarmy, ale istnieje więcej subiektywnych elementów, które poprawiają skuteczność i wykonalność zespołów ds. bezpieczeństwa.
AV-Comparatives zwraca uwagę na fakt, iż platforma Bitdefender posiada szerokie możliwości w zakresie korelacji oraz harmonogramy rozprzestrzeniania się zagrożeń. Na przykład, gdy niektóre ataki zostały wykryte w późniejszej fazie, produkt prześledził ich pochodzenie i dostarczył bardzo szczegółowych informacji.
Bitdefender GravityZone XDR zaprojektowano jako rozwiązanie Native XDR. Jednym z jego zalet jest lepsza dokładność w wykrywaniu zagrożeń, co potwierdzają wyniki testu AV-Comparatives.
Jedną z najważniejszych funkcji jest „Incident Advisor” - przegląd podsumowujący najważniejsze informacje o incydentach na jednej stronie. Koreluje on dane z wielu źródeł, prezentując je w formacie, który minimalizuje czas potrzebny na dochodzenie i odpowiedź. Obejmuje to informacje o tym, co się stało, na kogo wpłynęło, jak doszło do incydentu oraz zalecane działania. Rozszerzona analiza przyczyn źródłowych jest dostępna do dalszego zbadania, w tym wizualizacji łańcucha ataku, aby umożliwić analitykowi bezpieczeństwa przerwanie go, zanim w pełni się rozwinie.
Podsumowanie
Najlepszą ochroną przed współczesnymi atakami jest wdrożenie architektury dogłębnej obrony. Należy rozpocząć od zmniejszenia powierzchni ataku, a następnie wykorzystać zautomatyzowane mechanizmy prewencji, aby jak najszybciej wyeliminować większość incydentów związanych z bezpieczeństwem. W przypadku nielicznych incydentów, które mogą przejść przez zabezpieczenia, trzeba polegać na możliwościach wykrywania i reagowania, przyjętych jako usługa lub jako produkt.
Wdrażanie wielu warstw zabezpieczeń nie powinno być ćwiczeniem typu „checkbox” - jakość każdej warstwy musi być dokładnie i regularnie oceniana. Chociaż wysoki wskaźnik ochrony przed złośliwym oprogramowaniem i niewielka liczba fałszywych alertów są dobrymi wskaźnikami prawidłowego rozwiązania zabezpieczającego, należy wziąć pod uwagę również inne czynniki decyzyjne - na przykład, czy rozwiązanie to Native XDR lub Open XDR i jak łatwo jest je wdrożyć, skonfigurować oraz zarządzać produktem.
Niezależne testy z dobrze zdefiniowaną metodologią zapewniają bezcenny wgląd w możliwości firm zajmujących się cyberbezpieczeństwem, co pozwala klientom podejmować świadome decyzje. Cyberbezpieczeństwo to gra w kotka i myszkę, w której obie strony nieustannie wprowadzają innowacje i ulepszają narzędzia i techniki, a dostawcy zabezpieczeń muszą udowodnić, że ich rozwiązania są skuteczne, dokładne i zapewniają spójne wyniki.
O systemie GravityZone Business Security Enterprise
GravityZone Business Security Enterprise (wcześniej znany jako GravityZone Ultra) łączy najbardziej efektywną na świecie platformę ochrony punktów końcowych z funkcjami Endpoint Detection and Response (EDR), aby pomóc chronić infrastrukturę punktów końcowych (stacje robocze, serwery i kontenery) przez cały cykl życia zagrożenia, z wysoką skutecznością i efektywność. Korelacja zdarzeń między punktami końcowymi przenosi wykrywanie zagrożeń i widoczność na nowy poziom, łącząc szczegółowość i bogaty kontekst zabezpieczeń EDR z analizą XDR (eXtended Detection and Response) obejmującą całą infrastrukturę.
Źródło: Bitdefender
