Intr-o lume ideala, angajatii care lucreaza de la birou si cei care lucreaza remote (folosind o conexiune VPN, de exemplu) se pot conecta la aplicatii si isi pot face munca in conditii de siguranta. Realitatea ne spune ca nu se intampla intotdeauna acest lucru. Fiecare tip de dispozitiv folosit de utilizator, endpoint, are un “calcai al lui Ahile” de care hackerii pot profita pentru a obtine acces neautorizat la sistem, si implicit la reteaua companiei. Accesul poate fi obtinut prin exploatarea unei vulnerabilitati din sistemul de operare sau dintr-o aplicatie folosita de user sau prin infectarea cu o forma de malware (botnet, ransomware, rootkits, phishing, inginerie sociala si altele). O solutie de endpoint protection are ca obiectiv protejarea endpoint-urilor de astfel de atacuri cibernetice.
Diferenta dintre o solutie de endpoint protection si un antivirus
Virusii nu mai sunt amenintarile periculoase de acum 20-30 de ani. Cu toate acestea, software-ul de antivirus ofera protectie impotriva lor, dar blocheaza si amenintarile moderne de astazi ca troieni, ransomware, adware, spyware si alte forme de malware. Acum putem introduce si termenul-umbrela de antimalware, prin care identificam o solutie de securitate capabila sa ofere protectie impotriva software-urilor malitioase (malicious software-malware). Cand spunem antivirus, ne referim de fapt la antimalware.
Cele mai multe produse de antivirus/antimalware folosesc doua tehnici principale prin care detecteaza pericolele: analiza semnaturilor si analiza heuristica. Folosind o baza de date de semnaturi, o posibila amenintare este cautata intr-o lista de malware cunoscut. Este ca si cum un infractor este identificat dupa amprentele sale. Problema este ca infractorul trebuie sa fi comis deja o actiune ilegala, sa fi fost prins si sa i se fi inregistrat amprentele. Adica malware-ul sa fi facut deja victime si sa i se fi creat o amprenta digitala pe care antivirusul trebuie sa o descarce in baza sa. Daca posibilul malware nu are o semnatura specifica, atunci el poate sa treaca neobservat si sa compromita sistemul tinta. Aici intra in actiunea al doilea mecanism de protectie: analiza heuristica care urmareste comportamentul aplicatiei (ce procese ruleaza, ce fisiere creeaza, ce locatii acceseaza si ce sesiuni stabileste in retea). De exemplu, o aplicatie beningna ca Microsoft Word ruleaza un process de cmd.exe si executa scripturi .bat. Daca aplicatia se comporta ca un malware, atunci probabil este malware implicat si este blocat.
Functionalitatea de antivirus/antimalware este doar o componenta pe care o regasim intr-o solutie de endpoint protection capabila. Pe langa aceasta, producatorii de solutii de endpoint protection mai ofera si:
- management centralizat in cloud – spre deosebire de un consumator casnic (care instaleaza local solutia de protectie pe fiecare dispozitiv in parte), organizatia poate sa beneficieze de avantajele cloud-ului: usurinta in gestionare, scalabilitate mare si configurarea centralizata a solutiei de protectie. Nu este necesar hardware suplimentar sau nu sunt necesare mai multe persoane care sa se ocupe de solutie pe masura ce numarul de endpoint-uri creste. Organizatia nu va trebui decat sa achizitioneze numarul necesar de licente.
- un singur agent pentru toate functiile – pe fiecare dispozitiv se va instala un agent software cu o amprenta foarte mica si care nu va ingreuna modul de functionare al sistemului. Este cunoscut ca solutiile traditionale de antivirus consumau multe resurse in timpul scanarii sistemului, facandu-l inutilizabil pentru user, care alegea fie sa il opreasca, fie sa il dezinstaleze, expunandu-se pericolelor.
- remediere – din pacate, nu exista ceva care sa ne apere 100% de malware. Insa o solutie buna de endpoint protection ofera capabilitati de remediere. Acestea include nu numai inlaturarea malware-ului de pe sistem si luarea masurilor necesare impotriva mecanismelor de persistenta care ar putea readuce malware-ul pe sistem, ci si colectarea de artefacte pentru o analiza mai amanuntita a atacului si pentru a determina actiunile necesare pentru a bloca un atac similar in viitor (threat investigation).
- automatizare – hackerii lanseaza atacuri in fiecare secunda. Daca solutia de securitate necesita interventia administratorului, raul va fi deja facut pana cand acesta va intelege ce se intampla. In schimb, dupa ce a fost configurata conform cerintelor organizatiei, o solutie de endpoint protection automatizeaza detectia si blocarea atacului si remedierea endpoint-ului.
Pentru un consumator obisnuit protectia oferita de un program antivirus/antimalware este de ajuns. Tot ce trebuie sa faca acesta este sa instaleze antivirusul pe fiecare dispozitiv pe care doreste sa il securizeze (mult mai putin decat ce regasim intr-o organizatie), sa configureze setarile si sa programeze orarul de scanare de malware. Insa pentru o companie, nu este suficient. Administratorii de securitate au nevoie raportare, de un raspuns automat si de remedierea endpoint-ului pentru a inlatura malware-ul si pentru a permite utilizatorului sa isi desfasoare munca in siguranta. Organizatiile au nevoie de o solutie de endpoint protection. Conform IBM costul unei brese de securitate in 2021 a crescut la 4.24 miloane USD de la 3.86 milioane USD anul trecut, o crestere de 10%, cea mai mare din ultimii 7 ani. Cu aceasta statistica in minte este evident de ce o solutie de EDR ca Cisco Secure Endpoint este absolut cruciala in protejarea utilizatorilor, a dispozitivelor acestora si a datelor de amenintarile cibernetice si de impactul acestora asupra business-ului. Organizatiile nu isi permit sa fie victimele unui atac cibernetic cauzat de o protectie neadecvata a endpoint-urilor, mai ales ca repercusiunile se pot extinde si asupra clientilor si a partenerilor de business.
Mihai Dumitrascu, Sr Systems Engineer