Srostoucí nebezpečností kybernetických útoků roste poptávka po bezpečnostních řešeních, která pro ochranu zařízení v podnikové síti dělají daleko více, než že kontrolují data přicházející z internetu oproti databázi vzorků známých typů škodlivého softwaru. Tyto tradiční antivirové produkty již nepokrývají potřebný rozsah funkcí, které zajistí bezpečnost a včasnou detekci nežádoucího chování na koncové stanici − kterou je kromě počítače stále častěji i mobilní telefon. Hlavní nevýhoda klasických antivirových produktů spočívá v tom, že jsou ve velké míře závislé na aktuálnosti svojí databáze hrozeb. Pokud je antivir neaktuální nebo je hrozba natolik nová, že ji ještě databáze neobsahují, je schopnost tradičních řešení takovouto hrozbu zachytit malá. Proto se na trhu stále více prosazují řešení typu Endpoint Detection and Response (EDR).

"Endpoint Detection and Response je kyberbezpečnostní technologie, která dokáže rychleji detekovat a reagovat na pokročilé kybernetické hrozby, které by obešly jiná tradiční bezpečnostní řešení. EDR se nezaměřuje na automatické blokování hrozeb na úrovni jediného koncového bodu, jako to dělají technologie Endpoint Protection Platform (EPP). Místo toho se specializuje na automatickou pokročilou detekci, které je dosaženo díky všeobecnému přehledu o všech koncových bodech v rámci firemní sítě," vysvětluje Miroslav Kořen, generální ředitel společnosti Kaspersky pro východní Evropu.

Technologie EDR tak odhaluje a zároveň prozkoumává podezřelé aktivity a další problémy. Díky tomu mohou bezpečnostní odborníci vyhodnotit riziko a včasně reagovat na komplexní hrozby a rozsáhlé útoky zacílené na celou řadu počítačů, notebooků a serverů v síti. Úkolem EDR je především zabránit narušení chodu firmy v důsledku aktivity pokročilých kybernetických hrozeb. Také proto je tato technologie vhodná především pro firmy, které nejsou schopné včasně a adekvátně reagovat na kybernetické ohrožení z důvodu nedostatečných zdrojů − ať už lidských, nebo technologických.

36 %

Takové procento organizací dnes dle průzkumů ESG využívá mezi 25 a 49 různými bezpečnostními nástroji a 19 procent organizací dokonce více než 50.

7,15

Trh s EDR řešeními by měl podle analytiků z Reports and Data do roku 2026 dosáhnout hodnoty 7,15 mld. dolarů. Velikost trhu v loňském roce přitom odhadli na1,2 mld. dolarů.

"EDR je nadstavbou běžných antimalwarových prostředků. Umožňuje daleko lépe analyzovat proběhlé události (např. útoky), vystopovat veškeré aktivity v rámci sítě a v neposlední řadě také na tato zjištění reagovat (manuálně či automaticky), a zamezit tak dalším škodám. Společnosti využívají EDR pro přesnější pochopení toho, co se při útocích v síti a na počítačích děje, aby mohly zamezit moderním sofistikovaným vícestupňovým útokům," dodává Michal Hebeda, sales engineer společnosti Sophos.

Více než antivir

EDR nenahrazuje ostatní bezpečnostní technologie, naopak s nimi spolupracuje, vhodně je doplňuje a využívá celé řady informací, které tyto klasické antimalwarové produkty nabízejí. Implementace EDR systémů se liší dle jejich výrobců, některé produkty přenechávají odezvu a integraci s dalšími technologiemi na lidské obsluze, jiné mají schopnost reagovat automaticky a komunikovat s dalšími produkty, například firewally.

"EDR zaznamenává veškerou aktivitu na koncovém bodě a tento záznam je k dispozici k analýze týmu bezpečnosti, který tímto získává jedinečný vhled do prostředí v reálném čase. Pokročilé EDR systémy používají k analýze umělou inteligenci a analýzu chování a týmu bezpečnosti pak předkládají k řešení už pouze konkrétní bezpečnostní incidenty, které byly detekovány v prostředí," říká Pavel Formánek, teamleader/architect security společnosti Mainstream Technologies.

U některých EDR řešení je dokonce možné reakci na incidenty automatizovat. Například pokud dojde k napadení počítače, je tento konkrétní počítač izolován od zbytku sítě, je na něm zakázáno spouštění nepodepsaného kódu a dojde ke sběru a odeslání záznamů do centrální konzole.

"Vhodné EDR řešení je rovněž integrováno do ostatních bezpečnostních řešení organizace tak, aby navazovalo a pokrývalo ty komponenty, které jinými prostředky nelze chránit. Touto integrací získávají organizace ucelenou ochranu infrastruktury se sdílením informací o možných hrozbách, pokusech o útok či o probíhajícím útoku," uvádí Milan Habrcetl, bezpečnostní expert společnosti Cisco.

"EDR není náhradou za jiná bezpečnostní řešení pro koncová zařízení, jedná se o další evoluční krok, který doplňuje detekci hrozeb o další nástroje pro ochranu koncových stanic," říká Vojtěch Dvořák, technický ředitel a jednatel společnosti S&T CZ, a dodává: "Je ale možné, že v budoucnu se technologie EDR a EPP budou více slučovat do jednoho řešení. Na trhu již existují výrobci, kteří taková řešení nabízí. EDR systémy již běžně počítají s tím, že informace, které při detekci získají, budou poskytovat dalším bezpečnostním platformám typu SIEM, IDS/IPS, log management apod."

EDR v praxi

Mezi nejvýraznější praktické přínosy technologií EDR patří zkrácení času potřebného pro prvotní sběr dat o rizicích, analýza telemetrie na úrovni koncového zařízení a zvýšení celkového počtu kvalitativně zpracovaných incidentů. Nespornou výhodou je také celková automatizace všech procesů týkajících se detekce komplexních incidentů, jejich zanalyzování a následné reakce. Tím se výrazně zkracuje čas potřebný pro reakci na napadení − z hodin na minuty. EDR umožňuje zanalyzovat potenciální hrozby v reálném čase a pomáhá tak při reakcích na incidenty a zneškodňování hrozeb. Poskytuje potřebné informace o detekovaných hrozbách a díky přístupu k retrospektivním datům umožňuje vyšetřování dlouhotrvajících útoků. Tuto vlastnost firmy ocení především ve chvíli, kdy jsou jejich pracovní stanice zablokované, infikované nebo když došlo k zašifrování dat tzv. ransomwarem, jehož původce požaduje výkupné za jejich opětovné dešifrování.

"Pokud antimalware či jiný systém zahlásí, že je daný koncový bod (počítač, server či mobilní zařízení) nakažen, EDR umožní ověřit, kdy k události nakažení došlo, jakým způsobem k ní došlo a zda se malware nevyskytuje a hlavně nevyskytoval kdekoli jinde v síti. Útočník typicky po nakažení prvního počítače a proniknutí do dalšího zařízení po sobě nákazu na prvním počítači smaže. Díky EDR je ale možné říci, že se určitý soubor s určitým otiskem posledních několik měsíců vyskytoval na konkrétních počítačích," doplňuje Robin Bay, sales engineer společnosti Trend Micro.

Úlohou EDR je také pokrytí rizik plynoucích z používání koncových bodů. Například smartphone, se kterým pracujeme odkudkoliv, je bez nasazení EDR řešení potenciálním nebezpečím pro podnikovou síť. Když se totiž připojíme s takovým zařízením do interní sítě, nacházíme se uvnitř perimetru a ochrana firewallu je tudíž neúčinná.

"Dalším významným přínosem je právě integrace do uceleného bezpečnostního systému organizací, kdy pomocí EDR dokážeme mapovat jednotlivé koncové body a monitorovat, detekovat a vynucovat chování na těchto bodech v návaznosti na hrozby a případné útoky," říká Milan Habrcetl ze společnosti Cisco.

Cennou vlastností řešení EDR je také schopnost dodat komplexní přehled o detekovaných útocích, a to v rámci celé sítě, a nikoliv jen izolovaně dle jednotlivých počítačů. Pokud navíc umí řešení EDR reagovat automaticky, zamezí tak šíření útoku a dalším větším škodám.

"Mnoho zákazníků také oceňuje, že jim EDR řešení umožňuje vyhledávat rezidua útoků napříč všemi koncovými body a také je naráz zablokovat či vymazat," dodává Michal Hebeda ze společnosti Sophos.

Nasazení EDR

Jak uvádí Robin Bay ze společnosti Trend Micro, EDR je pro firmy dalším z několika již používaných bezpečnostních nástrojů: "Je to další nástroj vyžadující znalosti pro jeho správu. Plných 36 procent organizací má dnes dle průzkumů ESG mezi 25 a 49 různými bezpečnostními nástroji a 19 procent organizací dokonce více než 50."

Většina EDR řešení vyžaduje kvalifikovaný personál na obsluhu, který zajišťuje správnou interpretaci výsledků a adekvátní reakci. V praxi se přitom ukazuje, že právě kvalifikovaní specialisté na bezpečnost jsou nedostatkovým zbožím. Nasazení a správa EDR řešení jsou také problematické ve firmách, kde je bezpečnost IT vnímána jako trpěná nákladová položka. "Technologie EDR jsou obtížnější na implementaci a správu než například standardní antivirový software. Také integrace s dalšími bezpečnostními systémy může být pro zákazníka velkou výzvou. Proto je vhodné mít zkušeného partnera pro implementaci a také věnovat pozornost zaškolení IT personálu, který s řešením bude pracovat, říká Vojtěch Dvořák z S&T CZ. Také z těchto důvodů roste zájem firem o zajištění IT bezpečnosti specializovaným poskytovatelem služeb formou outsourcingu. "Organizace uvažující o pořízení EDR řešení by si měly být vědomy,

že řešení vyžaduje zapojení odborníků na bezpečnost IT. EDR se totiž stává účinným nástrojem až ve chvíli, kdy je v rukách těchto specialistů a stěžejním prvkem komplexního zabezpečení proti kybernetickým hrozbám," uzavírá Miroslav Kořen ze společnosti Kaspersky.

Článek byl publikován v komerční příloze Hospodářských novin a týdeníku Ekonom.