EDR? זו השאלה
דוד פלדמן
| 24/07/2017
דוד פלדמן מנכ"ל חברת Cybonet - יחצ
המושג EDR - Endpoint Detection and Response - הפך שגור בשיח העולמי על סייבר ואבטחת מידע בשנים האחרונות. כך לדוגמא, ביוני 2017 כללה חברת גרטנר את ה-EDR כאחת מ-10 יכולות אבטחת המידע המובילות לשנת 2017, והעריכה שעד שנת 2020, 80% מהארגונים הגדולים ו-25% מהארגונים בגודל בינוני ישקיעו ביכולות אלה.
EDR הוא שם כולל לקטגוריה של כלים ופתרונות הממוקדים באיתור, תחקור וטיפול בפעילויות חשודות ובבעיות אבטחת מידע במחשבים מארחים ובנקודות קצה ברשת הארגונית. כמערך של פתרונות שמספק ניטור וטיפול תמידי באיומים, קטגוריה זו ממלאת תפקיד מקביל לשילוב שניתן למצוא בבנק, בסופרמרקט או בעסק אחר בין מצלמת האבטחה שמזהה איום לבין איש האבטחה שמנטרל את אותו איום.
כשמדובר באיומים דיגיטליים, העבודה של פתרונות ה-EDR מאתגרת יותר מזו של מצלמת אבטחה, בעת שמתרבות העדויות לכך שתוקפי סייבר מתקדמים שוכנים בנקודות הקצה ברשת עד 250 ימים לפני שהם מזוהים. בדומה למצלמת אבטחה, פתרונות ה-EDR יוצרים רישום ניתן לבדיקה של כל הפעולות שבוצעו בנקודות הקצה ובשרתים הקריטיים. גם אם התוקפים פוגעים בנקודת הקצה ומוחקים את עקבותיהם, פתרונות ה-EDR לוכדים את כל שרשרת האירועים ומאחסנים אותם באופן שניתן יהיה להתייחס אליהם בעתיד.
נשאלת השאלה - מה הבידול הפונקציונלי והטכנולוגי של מערך סייבר עם EDR ביחס למערך סייבר ללא EDR? קיימות נקודות בידול רבות, אך לשם המחשה, נתמקד בשלוש נקודות קריטיות.
במבט על ניתן לומר כי ה-EDR כולל טכנולוגיות המאפשרות לאתר באופן אוטומטי ומהיר ביותר אירועי ואיומי סייבר ולתחקר אותם באופן מקיף הן בווקטור שמתקדם מהעבר להווה והן ב"רוורס" מההווה לעבר. לשם המחשה, נציין כי פתרונות EDR חזקים מסוגלים לאתר בתוך שניות אירוע או איום סייבר ברשת של עשרות אלפי תחנות עבודה.
בעזרת כלי ויזואליזציה, בדיקת תהליכים ב-sandbox ואמצעים אחרים, ה-EDR מאבחן במדויק את סיבת השורש לאירוע הסייבר. ה-EDR יידע לאבחן האם המקור לאירוע הסייבר נעוץ בתוכנה, במערכת ההפעלה, בפעולה של המשתמש, בקריסה של אפליקציה אחרת, בחיבור בלתי מורשה של disk on key שהריץ קובץ בעייתי או בגורם אחר.
שנית, פתרונות ה-EDR מביאים בחשבון טווח רחב בהרבה מהרגיל של וקטורים וגורמים לצורך קבלת ההחלטות בנוגע לטיפול באיומי הסייבר. אחד הביטויים הטכנולוגיים לכך הוא יכולתו של עולם ה-EDR ליצור קורלציה בין תקשורת נתונים חיצונית, של אירועים המתרחשים ברמת הרשת, לבין תקשורת נתונים פנימית, של אירועים המתרחשים בתוך כל מחשב. ה-EDR מחבר יחד שני ממדים אלה ובכך הוא שונה מפתרונות קיימים רבים המטפלים ברמת המחשב בלבד או ברמת הרשת בלבד.
שלישית, יכולתו הטכנולוגית של ה-EDR למקסם את כמות הווקטורים והמרכיבים לצורך ההחלטה מהו איום אמיתי מאפשרת ל-EDR להתמודד עם אחד האויבים המרכזיים של כל מערך סייבר: התראות שווא (false positive). התראות שווא על איומי ואירועי סייבר דומות לאותה מכונית שהושארה ברחוב עם אזעקה שפועלת כתוצאה מתקלה, שמתקבלת על ידי הסובבים כמטרד מיותר. מכיוון שהמגזר הביטחוני מאופיין ברמת הדריכות הגבוהה ביותר בכלל ובתחום הסייבר בפרט, התראות שווא עלולות להסיט את מערך הסייבר הביטחוני ממסלול אפקטיבי. ה-EDR יודע להתמודד עם מצב שבו מתקבלת התראה על תקשורת ליעד לא ברור, להבחין האם מדובר ב-false positive ולמנוע התראת שווא. יכולת זו מתעצמת בשל העובדה שפתרונות EDR יודעים לבצע ניתוח התנהגותי (behavioral analysis) שמשווה בין האירועים ברשת לפרופילים התנהגותיים של משתמשים בעייתיים ומזהה האם המשתמש נמצא "בתוך" הפרופיל הבעייתי.
שלוש נקודות בידול אלה, לצד נקודות אחרות שלא הזכרנו כאן, רלבנטיות ביותר לבעיה כאובה בארגוני המגזר הביטחוני. המגזר הביטחוני עושה שימוש מתמיד באנשי מקצוע ש"יושבים" על תעבורת הנתונים 24 שעות ביממה, 7 ימים בשבוע, כולל אנליסטים של סייבר. עם זאת, כמות האנליסטים היא מוגבלת והפעילות ב-SOC (Security Operations Center) עשויה להסתכם בתגובה לא מספיק מהירה להתראות.
מעבר לכך, המגזר הביטחוני משתמש באמצעים מרחיקי לכת לצורך הגנה על מידע, דוגמת הפרדת רשתות וניטור אנושי רציף של כלל תעבורת הנתונים. יחד עם זאת, בכל יום מתגלות שיטות נוספות לדלג מעל הפרדת הרשתות והניטור האנושי. גם בשכבה המוגנת ביותר מפני איומי סייבר יש פרצות ולכן פתרונות נוספים שנמצאים בחזית הטכנולוגיה הם חוליה חיונית בחיזוק הנקודות הרגישות ביותר.
כמענה לאתגרים אלה, הטכנולוגיות עליהן מושתתים פתרונות ה-EDR מאופיינות ברמות גבוהות של מהירות, אוטומציה ודיוק באיתור וטיפול באירוע סייבר. תכונות אלה הן שמהוות נקודות בידול שחוסכות שעות אדם רבות ויקרות ומקלות על ארגונים בכלל, וארגונים ביטחוניים בפרט, לספק תגובה אפקטיבית ומהירה ביותר לאירוע הסייבר.
דוד פלדמן הוא מנכ"ל חברת Cybonet.
דוד פלדמן מנכ"ל חברת Cybonet - יחצ
המושג EDR - Endpoint Detection and Response - הפך שגור בשיח העולמי על סייבר ואבטחת מידע בשנים האחרונות. כך לדוגמא, ביוני 2017 כללה חברת גרטנר את ה-EDR כאחת מ-10 יכולות אבטחת המידע המובילות לשנת 2017, והעריכה שעד שנת 2020, 80% מהארגונים הגדולים ו-25% מהארגונים בגודל בינוני ישקיעו ביכולות אלה.
EDR הוא שם כולל לקטגוריה של כלים ופתרונות הממוקדים באיתור, תחקור וטיפול בפעילויות חשודות ובבעיות אבטחת מידע במחשבים מארחים ובנקודות קצה ברשת הארגונית. כמערך של פתרונות שמספק ניטור וטיפול תמידי באיומים, קטגוריה זו ממלאת תפקיד מקביל לשילוב שניתן למצוא בבנק, בסופרמרקט או בעסק אחר בין מצלמת האבטחה שמזהה איום לבין איש האבטחה שמנטרל את אותו איום.
כשמדובר באיומים דיגיטליים, העבודה של פתרונות ה-EDR מאתגרת יותר מזו של מצלמת אבטחה, בעת שמתרבות העדויות לכך שתוקפי סייבר מתקדמים שוכנים בנקודות הקצה ברשת עד 250 ימים לפני שהם מזוהים. בדומה למצלמת אבטחה, פתרונות ה-EDR יוצרים רישום ניתן לבדיקה של כל הפעולות שבוצעו בנקודות הקצה ובשרתים הקריטיים. גם אם התוקפים פוגעים בנקודת הקצה ומוחקים את עקבותיהם, פתרונות ה-EDR לוכדים את כל שרשרת האירועים ומאחסנים אותם באופן שניתן יהיה להתייחס אליהם בעתיד.
נשאלת השאלה - מה הבידול הפונקציונלי והטכנולוגי של מערך סייבר עם EDR ביחס למערך סייבר ללא EDR? קיימות נקודות בידול רבות, אך לשם המחשה, נתמקד בשלוש נקודות קריטיות.
במבט על ניתן לומר כי ה-EDR כולל טכנולוגיות המאפשרות לאתר באופן אוטומטי ומהיר ביותר אירועי ואיומי סייבר ולתחקר אותם באופן מקיף הן בווקטור שמתקדם מהעבר להווה והן ב"רוורס" מההווה לעבר. לשם המחשה, נציין כי פתרונות EDR חזקים מסוגלים לאתר בתוך שניות אירוע או איום סייבר ברשת של עשרות אלפי תחנות עבודה.
בעזרת כלי ויזואליזציה, בדיקת תהליכים ב-sandbox ואמצעים אחרים, ה-EDR מאבחן במדויק את סיבת השורש לאירוע הסייבר. ה-EDR יידע לאבחן האם המקור לאירוע הסייבר נעוץ בתוכנה, במערכת ההפעלה, בפעולה של המשתמש, בקריסה של אפליקציה אחרת, בחיבור בלתי מורשה של disk on key שהריץ קובץ בעייתי או בגורם אחר.
שנית, פתרונות ה-EDR מביאים בחשבון טווח רחב בהרבה מהרגיל של וקטורים וגורמים לצורך קבלת ההחלטות בנוגע לטיפול באיומי הסייבר. אחד הביטויים הטכנולוגיים לכך הוא יכולתו של עולם ה-EDR ליצור קורלציה בין תקשורת נתונים חיצונית, של אירועים המתרחשים ברמת הרשת, לבין תקשורת נתונים פנימית, של אירועים המתרחשים בתוך כל מחשב. ה-EDR מחבר יחד שני ממדים אלה ובכך הוא שונה מפתרונות קיימים רבים המטפלים ברמת המחשב בלבד או ברמת הרשת בלבד.
שלישית, יכולתו הטכנולוגית של ה-EDR למקסם את כמות הווקטורים והמרכיבים לצורך ההחלטה מהו איום אמיתי מאפשרת ל-EDR להתמודד עם אחד האויבים המרכזיים של כל מערך סייבר: התראות שווא (false positive). התראות שווא על איומי ואירועי סייבר דומות לאותה מכונית שהושארה ברחוב עם אזעקה שפועלת כתוצאה מתקלה, שמתקבלת על ידי הסובבים כמטרד מיותר. מכיוון שהמגזר הביטחוני מאופיין ברמת הדריכות הגבוהה ביותר בכלל ובתחום הסייבר בפרט, התראות שווא עלולות להסיט את מערך הסייבר הביטחוני ממסלול אפקטיבי. ה-EDR יודע להתמודד עם מצב שבו מתקבלת התראה על תקשורת ליעד לא ברור, להבחין האם מדובר ב-false positive ולמנוע התראת שווא. יכולת זו מתעצמת בשל העובדה שפתרונות EDR יודעים לבצע ניתוח התנהגותי (behavioral analysis) שמשווה בין האירועים ברשת לפרופילים התנהגותיים של משתמשים בעייתיים ומזהה האם המשתמש נמצא "בתוך" הפרופיל הבעייתי.
שלוש נקודות בידול אלה, לצד נקודות אחרות שלא הזכרנו כאן, רלבנטיות ביותר לבעיה כאובה בארגוני המגזר הביטחוני. המגזר הביטחוני עושה שימוש מתמיד באנשי מקצוע ש"יושבים" על תעבורת הנתונים 24 שעות ביממה, 7 ימים בשבוע, כולל אנליסטים של סייבר. עם זאת, כמות האנליסטים היא מוגבלת והפעילות ב-SOC (Security Operations Center) עשויה להסתכם בתגובה לא מספיק מהירה להתראות.
מעבר לכך, המגזר הביטחוני משתמש באמצעים מרחיקי לכת לצורך הגנה על מידע, דוגמת הפרדת רשתות וניטור אנושי רציף של כלל תעבורת הנתונים. יחד עם זאת, בכל יום מתגלות שיטות נוספות לדלג מעל הפרדת הרשתות והניטור האנושי. גם בשכבה המוגנת ביותר מפני איומי סייבר יש פרצות ולכן פתרונות נוספים שנמצאים בחזית הטכנולוגיה הם חוליה חיונית בחיזוק הנקודות הרגישות ביותר.
כמענה לאתגרים אלה, הטכנולוגיות עליהן מושתתים פתרונות ה-EDR מאופיינות ברמות גבוהות של מהירות, אוטומציה ודיוק באיתור וטיפול באירוע סייבר. תכונות אלה הן שמהוות נקודות בידול שחוסכות שעות אדם רבות ויקרות ומקלות על ארגונים בכלל, וארגונים ביטחוניים בפרט, לספק תגובה אפקטיבית ומהירה ביותר לאירוע הסייבר.
דוד פלדמן הוא מנכ"ל חברת Cybonet.
