Proč chci nasadit EDR ke všem zákazníkům

Nedávno jsem se díval, že od mého posledního článku uteklo už půl roku. Z četnosti mých článků by se mohlo zdát, že už tolik nepracuji. Opak je však pravdou. Poslední rok bylo práce víc než jindy. Pomáhali jsme zachraňovat zašifrované firmy, vyšetřovat „nedokonané“ útoky a také jsme jezdili po auditech.

Hlavně auditů bylo hodně. Zpočátku jsem to vnímal jako zpestření kancelářské práce a formu výletu. Nakonec se z toho stal non-stop shon a stres, aby se vše stihlo. Auditům se chci věnovat v příštím článku. Rád bych sepsal naše postřehy a doporučení, co si ve své síti zkontrolovat. Tím snad pomohu co největšímu počtu lidí se zájmem a zároveň zbude volný čas i pro mne.😊

Nyní však zpět k dnešnímu tématu. Tím je „Endpoint Detection and Response“, neboli EDR.

Co je EDR

Jedná se o aplikaci, která běží na koncovém zařízení („Endpoint„) a sbírá informace o tom, co se na něm děje. Jaké programy se spouští, jaká dělají síťová spojení, jaké spouští dceřiné procesy, jak komunikují s ostatními procesy, k jakým souborům a registrům přistupují, jaká systémová volání využívají a s jakými parametry byly spuštěny.

V sesbíraných informacích pak hledají známky škodlivého chování („Detection„) a umožňují správci zasáhnout („Response„). Například izolovat zařízení od sítě, ukončit proces, zablokovat aplikaci.

V podstatě je to takový „sourozenec“ antiviru. EDR sbírá a ukládá informace o dění v systému. Detekci škodlivé činnosti pak provádí na základě podezřelého chování v sesbíraných informacích. Programům (jejich kódu), které na zařízení běží, se porozumět nesnaží (pozoruje je z venku).

Antivirus naopak moc informací nesbírá a neukládá. Jeho cílem je kontrolovat data, ke kterým koncové zařízení přistupuje, a kód, který se chystá vykonat (programy kontroluje zevnitř). Výsledkem jeho detekce je odhalení škodlivého kódu (malware – programů co se snaží uškodit).

Samozřejmě obě aplikace (EDR a Antivirus) k sobě mají blízko a v části funkcionality se překrývají. Proto běžně antivirové společnosti vyvíjí jak antivirus tak i EDR. Právě kombinace těchto dvou „funkcionalit“ v jednom produktu dává nejlepší výsledky – díky jejich vzájemné korelaci (vyhodnocování škodlivosti chování na základě většího množství dat vede k lepším výsledkům).

Je EDR další buzz word?

Pokud chodíte na partnerské akce či sponzorované webináře, se zkratkou EDR jste se museli setkali. Je to další technologie, u které všichni cítí, že by mohla být dodatečným zdrojem 💵.

A my, správci, přemýšlíme… Je to technologie, která má smysl? Nebo past? Nic moc nepřinese a její provoz bude stát hromadu času zkušených lidí? Tuto debatu jsme vedli samozřejmě i u nás ve firmě.😁

Nedávno populární technologie jako SIEM či sandboxing mne moc nenadchly. Ne že by byly špatné, jen jsou drahé (pořízení a provoz) a vhodné až pro velké firmy (alespoň vyšší stovky zařízení). Více jsem o tom psal v „Přehnaná očekávání od bezpečnostních technologií„.

Avšak EDR, to je jiná písnička. Je to technologie, která výrazně zvyšuje zabezpečení při malých pořizovacích nákladech a minimálních udržovacích nákladech. V podstatě jakmile už firma má někoho, kdo se kouká do antivirové konzole, tak se provoz nijak nezmění. Velikostně je to vhodné pro všechny firmy od pár počítačů výše.

Proč věřím v EDR

Kdo mě znáte, tak víte, že většinou hackuji bez používání malware (viz můj Youtube kanál). To proto, abych nemusel řešit, jestli moje hackování antivirus detekuje, nebo ne. Místo malware používám nástroje, které jsou standardně součástí operačního systému (tzv. „Living of the Land“ – LotL) a nebo se v systému chovám jako „běžný“ správce. Obdobné chování vidíme i útočníků.

Já i útočníci (a spousta dalších 😊) záměrně hackujeme mimo „dohled“ běžného antiviru.

A právě EDR je způsob, jak odhalit mě a další takové hackery. EDR přidává „viditelnost“ do míst, kde byla ještě nedávno tma.🔦 Antivirus spolu s EDR tak obrovsky zvyšuje pravděpodobnost odhalení útočníka v síti.

Zároveň, když se stane nějaký incident, tak máte výrazně více informací o tom, co a jak se stalo. Díky EDR víte, kdy a odkud se k vám backdoor/malware dostal, s jakými servery komunikoval, jaké příkazy/aplikace na napadeném zařízení spouštěl. To vše z informací, které EDR sbírá. Jinými slovy EDR částečně supluje i „log management“.

Jaké EDR vybrat

To je otázka za 1️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣! Za poslední měsíce jsem měl možnost si sáhnout na několik EDR při vyšetřování reálných incidentů, které jsme v napadených firmách řešili. Zároveň u nás v interní síti používáme už několik roků EDR od ESETu – ESET Inspect.

Každé EDR má své silné i slabé stránky. Níže naleznete mé zkušenosti a myšlenkové pochody ohledně jednotlivých produktů. Berte to tak, že hledám nějaké řešení, které bychom mohli nasadit na všechny naše zákazníky. Je to tedy trochu specifický případ. Zároveň mé zkušenosti s produkty jsou poměrně letmé. S žádným nemám roky zkušeností a větší množství vyšetřovaných incidentů.

Které EDR je však to správné a nejlepší, netuším.🤔 Přitom už několik měsíců se snažím vybrat nějaké řešení, které bychom mohli nasadit u všech našich zákazníků v rámci zvyšování zabezpečení.

Budu moc rád, když se podělíte i vy o své zkušenosti. Pomůže mi to s výběrem našeho firemního EDR.

V každém případě věřím, že ať volba padne na jakýkoliv z nejznámějších EDR systémů, vždy to bude cesta vpřed.

ESET – ESET Inspect

Jsme dlouholetými partnery ESETu a jeho antivirové řešení máme nasazené u všech zákazníků (v rámci naše principu standardizace). Proto by dávalo smysl používat i jejich EDR.

EDR produkt ESETu se nejprve jmenoval ESET Enterprise Inspector (EEI). Jak název napovídá, určený byl hlavně velkým organizacím. V roce 2022 jej přejmenovali na ESET Inspect, nejspíše proto, aby ukázali, že je vhodný i pro „menší“ firmy.

ESET jej nabízí jak v cloudové, tak i on-prem verzi. Pokud se ho rozhodnete nasadit, pak budete potřebovat další poměrně výkonný server (kam se nasadí serverová část ESET Inspect) a na všechny klienty doinstalovat další aplikaci (ESET Inspect Agent). Osobně bych se spíše klonil k tomu využívat cloudovou verzi (kdy je ESET Protect i ESET Inspect hostován ESETem).

Na ESET Antivirus nedáme dopustit. Za ty roky jsme s ním velice spokojení – pokrytí detekcí, minimum false positive, stabilita, výkonové nároky. ESET Inspect mne však moc nenadchnul. Přehlednost rozhraní je oproti Bitdefenderu nebo Microsoft Defenderu o generaci pozadu.

Další věcí je způsob vyhodnocování událostí. ESET Inspect stojí na pravidlech, která se vyhodnocují samostatně (vzájemně se nekorelují, až na výjimky). V konzoli tak budete mít za den tisíce „událostí“. Ladění pravidel si tak vyžádá dny práce. Nakonec vám stejně zůstane produkt, který bude každý den vyžadovat dost času a manuální práce.

Bitdefender a Microsoft události shlukují do incidentů a podle toho i vyhodnocují (jako celek). Nestane se tak, že jedno samostatné pravidlo, které samo o sobě nic neznamená způsobí „událost“. Denně tak dostanete jeden až dva incidenty (události). U nich máte rovnou zobrazeno (bez dalšího dohledávání) mnohem více informací. Jednodušeji se tak dokážete rozhodnout, zdali se jedná o problém, který vyžaduje vaši pozornost, nebo byl automaticky vyřešen (či se jednalo o false positive).

Na druhou stranu je pravda, že pro profesionální SoC tým plný dedikovaných specialistů může být ESET Inspect lepší volbou. Dávám jim možnost si psát vlastní pravidla, výjimky a libovolně přistupovat ke všem nasbíraným událostem (threat hunting).

Poslední, co bych chtěl zmínit, je, že mi u ESETu chybí nějaká vize (subjektivní názor). Poslední roky nepřišli s žádnou pořádnou novinkou. Nové major verze antivirů vypadají spíše jako service packy (nepřibývá funkcionalita). Řada partnerů a zákazníků od nich odchází ke konkurenci (z ESETu se prý ani nezajímají proč končí😔). Mám pocit, jako kdyby ESET usnul na vavřínech svých předchozích úspěchů, a je mi to vážně líto.

Bitdefender – GravityZone Business Security Enterprise

Když bychom zakládali firmu teď a neměli jsme vybraný (nasazený) ještě žádný produkt, asi bych se rozhodl pro Bitdefender. Líbí se mi, jak se Bitdefender posouvá vpřed a jednoduchost jeho ovládání. Jakoby vývojáři věděli, jak my, správci, pracujeme, a snažili se nám práci ulehčovat.

Produkt se skládá pouze z jedné aplikace, která se instaluje na zařízení. Podle druhu licence a konfigurace se nainstalují potřebné bezpečnostní moduly. O aktualizace produktu se pak stará cloudová konzole sama. Konzole vypadá přehledně, moderně a hezky se s ní pracuje.

Moc se mi líbí modul „Risk management„, který ukazuje miskonfigurace, zranitelnosti a rizikové chování uživatelů. Bezpečnost totiž není jen o tom chytat hackery a detekovat malware, ale dělat síť odolnou, aby se do ní vůbec nedostali. Tohle je podle mne cesta, jakou by se AV měli ubírat (myslím, že samotný AV, co chytá jen malware, je přežitý koncept).

Co se týče detekcí, působí na mne Bitdefender dost agresivně. Oproti třeba ESETu u něj pozorujeme hodně false positive detekcí. Zejména u software/skriptů, které ještě neviděl. Problém tak mohou mít zejména vývojové firmy.

Když už na nějaký false positive dojde, možnost vytvářet výjimky není tak mocná jako třeba u ESETu. Podpora Bitdefenderu je však nápomocná a dokáže věci nechat překvalifikovat v rámci globálních definic (jen to zabere trochu více úsilí a času).

Právě pro menší MSP firmy (firmy, které se starají o jiné firmy) může být ta agresivita výhodou. Sice se občas stane, že to zařízne legitimní aplikaci a bude třeba to řešit. Avšak je mnohem větší šance, že to samo zastaví skutečný útok hackerů (nemám proto žádnou statistiku, spíše jen dojmy a zkušenosti z vyšetřování incidentů).

Tím, jak se snaží být Bitdefender jednoduchý, tak v případě incidentu vám sám ukáže informace, o kterých si myslí, že jsou relevantní. Blbé je, že k těm, které nepokládá za relevantní, se nedostanete 🙁(incident se tak hůře vyšetřuje).

Bitdefender již aktuálně pracuje na XDR. Mají konektor do Azure Active Directory a možnost síťových sond. Zároveň korelují data z jednotlivých endpointů mezi sebou a dokáží ukázat incidenty skrze více zařízení (umí i Microsoft Defender).

Microsoft Defender for Endpoint P2

Pokud bych byl interním správcem a naše firma měla licenci M365 Business Premium, tak tohle by byla nejspíše moje volba. V rámci výše zmíněné licence je totiž Microsoft Defender s EDR funkcionalitou v ceně (jen se asi bude třeba dokoupit licence pro serverové OS).

Opět se mi moc líbí rozhraní tohoto produktu. Množství informací, které se z něj dají vytáhnout při řešení incidentu. Možnost dělat threat hunting.

Tím, že se jedná o Microsoft produkt, tak je zde zároveň velká provázanost s MS Azure, MS Office 365 a on-prem prostředím (tipoval bych, že asi největší, jaká může být).

Tím, že Microsoft Defender (AV v aktuální podobě) je standardně součástí MS Windows 2016+ a Windows 10 (pokud se pletu, prosím o opravu), tak neočekávám, že by jeho používání mělo způsobovat nějaké komplikace (false positive, rozbíjet aplikace).

Pro nás, jako MSP (spravujeme více firem), však chybí multitenantnost (vidět, co se děje u všech zákazníků skrze jednu konzoli bez nutnosti se do jejich prostředí přepínat) a zároveň odrazuje vyšší cena, pokud bychom na něj chtěli převést všechny zákazníky (aktuálně Defender for endpoint plan 2 stojí 5,2$ uživatel/měsíc). Na druhou stranu vidíme u zákazníků stále větší adopci O365, kdy jsou ochotni si za funkce připlácet.

FortiEDR

Toto EDR jsem zvažovali proto, že FortiNet je také jedním z našich partnerů, od kterého už používáme řadu produktů. Centrálně máme FortiEMS a FortiAnalyzer. V jednotlivých sítích pak nasazujeme FortiGate, FortiSwitche a FortiAP. Logicky by tedy dávalo smysl používat jejich produkt.

FortiNet má také obrovskou vizi a drive. Co plánuje, dává smysl. Jen ze zkušeností s některými produkty (zejména FortiClient a FortiEMS) mám pocit, že ne vždy jsou ty věci úplně „production ready“. Nicméně je vidět, že vše se posouvá vpřed a zlepšuje.

Další nevýhodou může být (pokud je to stále platné), že u FortiEDR je minimální odběr licencí 500. Takže není možné pokrýt menší firmy (pokud se to nevezme v nějakém MSSP programu).

SentinelOne

S tímhle produktem zatím zkušenosti nemám, nicméně všude na internetu čtu, že by to měla být špička.😊 Na tento seznam potenciální kandidátů jsem jej zařadil proto, že máme možnost licence pořídit v rámci našeho monitorovacího systému N-able RMM (dříve Solarwinds).

Pokud s ním někdo máte nějaké praktické zkušenosti, určitě bych moc stál o jejich nasdílení.

Do budoucna XDR

I když EDR výrazně rozšiřuje prostor, kde jsem schopni útočníky odhalit, stále nám zůstávají šedá místa. Například minulý měsíc jsme řešili jednoho zákazníka, kterému hacknuli NAS a udělali si z něj „proxy“. Skrz ni pak napadali další zařízení v síti.

Do EDR systému by se nám tedy hodila možnost dodat informace z dalších síťových zařízení, jako jsou switche, routery, Wifi AP, kamery, tiskárny, VoIP telefony, NASy, mobilní telefony. A jelikož řada firem má i cloudové služby, tak i logy z těchto služeb (určitě alespoň Azure Active Directory).

Čímž se dostáváme k pojmu XDR (eXtended Detection adn Reponse). Tato technologie bude nejspíše pokračovatelem/nástupcem EDR a opět nám umožní mít lepší přehled o našem prostředí.

U některých výrobců se již s XDR technologií můžeme setkat. Zatím jde podle mne více o vizi a směr (nějaká funkcionalita tam je, ale větší část cesty je stále před nimi). Na budoucnost jsem určitě zvědavý. 🤗

Závěr

EDR pro spoustu firem znamená možnost jak levně, jednoduše a rychle pozvednout míru zabezpečení. Většinou bude stačit jen zakoupit vyšší edici svého AV produktu (tak aby obsahoval EDR) a přeinstalovat agenta na koncových zařízeních. Správa, dohled a údržba AV pak zůstává stejná.

Co si myslíte vy? A jaké jsou vaše zkušenosti s EDR řešeními?