Endpoint Detection and Response

Endpoint Detection and Response

EDR slouží k ochraně koncových stanic před škodlivým kódem a průnikem útočníka. Od běžných antivirových produktů se liší logováním důležitých aktivit na koncové stanici a širokými možnostmi při řešení incidentu.


 


Jste pod kybernetickým útokem?

 

 

Náš příběh

Česká bankovní instituce v rámci několikaměsíční analýzy síťového provozu zaznamenala anomálie, které poukazovaly na možnost přítomnosti útočníka v jejich síti. Nebyli si ale jistí, zda se jedná o false positive nebo ne a nedisponovali nástroji, které by jim pomohli tento problém vyřešit. Kontaktovali tedy nás, zda bychom jim v této věci nedokázali podat pomocnou ruku.

Společně se zákazníkem jsme se domluvili na implementaci Endpoint Detection and Response (EDR) řešení, které mělo umožnit monitorovat podezřelé aktivity na koncových stanicích a serverech a pomoci detekovat, zda má útočník přístup na některé z interních koncových systémů. Instalace se podařila během jednoho dopoledne a po obědě už jsme měli výsledky, které nasvědčovali přítomnosti útočníka na důležitých serverech klienta.

Okamžitě jsme nastavili přísnější detekční režim, který monitoroval síťovou aktivitu z těchto serverů, spouštěné procesy a vykonávané příkazy. Díky těmto informacím jsme dokázali během dvou hodin potvrdit, že útočník na tyto servery má přístup, jaké provádí aktivity a jak se na systémy dostal. Dočasně jsme pomocí EDR zablokovali síťovou komunikaci z těchto serverů a odstranili všechny pozůstatky útočníka, včetně zadních vrátek, která využíval pro přístup do systémů.

Díky logování spuštěných procesů jsme zjistili, že útočník využíval přihlášení přes veřejně dostupné RDP, přes které se do sítě napoprvé dostal. Odhalili jsme kompromitovaný účet, který byl pro přihlášení použit, a doporučili zákazníkovi změnit hesla a RDP službu překonfigurovat tak, aby nebyla z internetu dostupná.

Díky EDR řešení jsme získali všechny potřebné informace, které nám pomohli při vystopování útočníka a jeho odstranění ze všech napadených systémů. Nyní má klient EDR řešení nasazené jako náhradu antivirového produktu a monitoring provádí naše Cyber Defense Center.

Popis řešení

Endpoint Detection and Response (EDR) produkty slouží k ochraně koncových stanic před škodlivým kódem a průnikem útočníka. Od běžných antivirových produktů se liší logováním důležitých aktivit na koncové stanici a širokými možnostmi při řešení incidentu.

Řešení EDR umožňuje sbírat informace o aktivitách na koncové stanici, například informace o:

  • rodičovských procesech,
  • vykonaných příkazech přes příkazový řádek nebo powershell,
  • stažených souborů a jejich reputaci,
  • změnách v registrech,
  • DNS requestech a obecně síťové komunikaci,
  • změnách v souborovém systému.

Analytik díky EDR systému získá možnost vzdáleného připojení na koncovou stanici a může tak vynutit ukončení škodlivého procesu, smazat soubory či si je stáhnout pro detailní analýzu nebo kompletně zablokovat síťovou komunikaci infikované stanice.

Když interní síly nestačí

Vyhodnotit správně všechny bezpečnostní události může být časově i kapacitně náročné. Proto nabízíme také služby našeho SOC Cyber Defense Center. Naši analytici vyhodnocují bezpečnostní události a v případě problémů mohou okamžitě reagovat.

Klíčové vlastnosti

    • Detekce exploitů, běžného i fileless malwaru, zero-day malwaru
    • Analýza běžících procesů
    • Detekce útoku, který využívá legitimní nástroje (například Powershell nebo WMI)
    • Detekce útoků využívajících MITRE ATT&CK technik
    • Kontrola vykonávaných příkazů přes CMD a Powershell
    • Odhalení a blokace pokusu útočníka o průnik na koncovou stanici
    • Tvorba vlastních YARA rules
    • Nástroj pro vyhledávání IoCs
    • Možnost ukončení procesu nebo zablokování síťové komunikace

Reference

Pokud máte zájem zjistit více o tom, jak pracujeme, neváhejte se na nás zeptat v některé z následujících společností. Jedná se pouze o vybrané a schválené reference z poslední doby.

  • Expobank
  • PPA Controll