Endpoint Detection and Response (EDR) är fortfarande en grundläggande del av modern cybersäkerhet. Det ger djup insyn i aktiviteter som sker på slutpunkter som bärbara datorer, servrar och arbetsstationer, vilket gör det möjligt för säkerhetsteam att upptäcka misstänkt beteende, utreda incidenter och svara på hot mer effektivt än med traditionella antivirusverktyg.
Den snabba utvecklingen av angriparnas tekniker har dock avslöjat begränsningarna med att enbart förlita sig på endpoint-fokuserad säkerhet. Dagens cyberattacker sker sällan på en enda enhet. Istället utspelar de sig i komplexa hybridmiljöer som inkluderar molntjänster, fjärranvändare, SaaS-plattformar, operativ teknik och ohanterade enheter.
I den här miljön behöver angriparna inte längre bryta sig igenom en enda perimeter. De behöver helt enkelt få tillgång till någonstans i miljön och börja röra sig över den.
Det är därför som organisationer i allt högre grad inser att EDR inte ensamt kan ge den insyn som krävs för att stoppa moderna cyberattacker. För att upptäcka och reagera effektivt måste säkerhetsteamen utöka synligheten över själva nätverket med hjälp av Network Detection and Response (NDR).
Det fanns en tid då företagsnätverk var relativt enkla. Organisationer arbetade från en handfull kontor som var anslutna till ett centralt datacenter. Säkerhetsstrategierna fokuserade på att försvara en tydligt definierad perimeter.
Den modellen har till stor del försvunnit.
Dagens företagsmiljöer är distribuerade, hybrida och ständigt expanderande. Data finns på molnplattformar och i lokal infrastruktur. Anställda arbetar på distans med hjälp av personliga enheter och företagsenheter. SaaS-applikationer används snabbt på olika avdelningar. Internet of Things-enheter, operativ teknik och tredjepartsintegrationer medför ytterligare komplexitet.
Ur en försvarares perspektiv kan dessa miljöer framstå som separata domäner, t.ex. endpoint, moln, identitet och nätverk. Angripare ser dem inte på det sättet.
För en angripare utgör hela miljön en enda sammankopplad attackyta.
Deras mål är enkelt: få fotfäste någonstans i nätverket och börja utöka åtkomsten.
EDR är fortfarande en kraftfull defensiv förmåga, men hotaktörer utformar alltmer sina tekniker för att undvika eller inaktivera endpoint-kontroller.
Angripare har blivit mycket effektiva när det gäller att utnyttja luckor i synligheten för slutpunkter. Många system i moderna miljöer kan inte köra EDR-agenter, inklusive enheter för nätverksinfrastruktur, äldre system, IoT-utrustning och operativa teknikplattformar. Dessa enheter kan utgöra idealiska ingångspunkter till nätverket.
Även där EDR distribueras förlitar sig angripare ofta på tekniker som är utformade för att undvika upptäckt. I "Living off the land"-attacker används legitima administrativa verktyg som redan finns i systemen för att utföra skadliga aktiviteter. Eftersom dessa verktyg är betrodda av operativsystemet kan de vara svåra för endpoint-verktyg att klassificera som skadliga.
I vissa fall inaktiverar angriparna säkerhetsagenter efter att ha fått privilegierad åtkomst. I andra fall fungerar de helt och hållet i minnet och undviker traditionella skadliga filer som EDR-lösningar är utformade för att upptäcka.
Branschforskning belyser omfattningen av denna utmaning. Över 50% av de stora intrången involverar angripare som kringgår endpoint-kontroller. Många moderna attacker spänner också över flera domäner och involverar samtidigt kompromettering av endpoint, identitetsmissbruk, nätverksrörelse och molnexploatering.
Trots komplexiteten i moderna attacker är den underliggande strategin som används av många hotaktörer förvånansvärt enkel.
Angripare förlitar sig vanligtvis på tre grundläggande tillvägagångssätt för att undgå upptäckt:
Med detta tillvägagångssätt kan angripare kringgå förebyggande teknik, undvika EDR-detektering och arbeta tyst i en organisations miljö.
Hastigheten ökar utmaningen för försvararna ytterligare. Forskning från CrowdStrike visar att angripare kan förflytta sig i sidled över nätverk på så kort tid som 48 minuter efter den första kompromissen. Samtidigt kan den genomsnittliga tiden för organisationer att identifiera och begränsa intrång sträcka sig till månader.
Utan bredare insyn i hela miljön kan angripare förbli oupptäckta tillräckligt länge för att eskalera privilegier, exfiltrera data eller distribuera ransomware.
EDR ger detaljerad insikt i aktiviteten på enskilda system. Men det fångar inte alltid den bredare attackvägen när angripare rör sig genom miljön.
Moderna cyberattacker involverar vanligtvis lateral rörelse över interna system, missbruk av privilegierade inloggningsuppgifter och hemlig kommunikation med extern kommandoinfrastruktur. Dessa aktiviteter genererar ofta signaler i nätverkstrafiken snarare än på själva slutpunkterna.
Till exempel kan ovanliga autentiseringsmönster, oväntade interna anslutningar och onormala dataöverföringar alla indikera angriparaktivitet. Utan nätverkssynlighet kan dessa signaler förbli dolda.
Detta skapar en farlig blind fläck. Säkerhetsteam kan övervaka slutpunkter noggrant medan angripare rör sig tyst över nätverket.
Network Detection and Response åtgärdar dessa synlighetsluckor genom att analysera nätverkstrafiken i hela miljön. I stället för att förlita sig på endpoint-agenter observerar NDR kommunikationen mellan system, vilket gör det möjligt att upptäcka misstänkt beteende på både hanterade och obehandlade enheter.
Eftersom NDR fokuserar på nätverksbeteende kan det identifiera angriparaktivitet som annars skulle förbli osynlig för endpoint-verktyg. Detta inkluderar lateral rörelse mellan system, misstänkt autentiseringsbeteende, dold kommando- och kontrolltrafik och försök att exfiltrera känsliga data.
Avancerade NDR-plattformar använder beteendeanalys och maskininlärning för att fastställa en baslinje för normal nätverksaktivitet. När avvikelser uppstår, t.ex. ovanliga kommunikationsmönster eller oväntade enhetsinteraktioner, larmas säkerhetsteamen för att undersöka saken.
Detta gör det möjligt för försvarare att identifiera attacker tidigare i dödskedjan och reagera innan betydande skador uppstår.
En annan stor utmaning för säkerhetsoperationscenter är överbelastning av varningar. Moderna säkerhetsmiljöer genererar ett stort antal varningar från flera olika verktyg i endpoint-, moln-, identitets- och nätverkslager.
Varje system kan producera värdefulla signaler, men när de betraktas isolerat saknar varningarna ofta sammanhang. Analytiker måste ägna mycket tid åt att undersöka falska positiva signaler och korrelera händelser mellan olika verktyg.
Genom att införa NDR får organisationer en bredare bild av aktiviteten i hela miljön. Nätverkssynlighet ger sammanhang som hjälper analytiker att koppla ihop misstänkta händelser, identifiera verkliga attacker snabbare och minska tiden som läggs på att undersöka godartad aktivitet.
Detta förbättrar både effektiviteten och effektiviteten hos säkerhetsoperatörerna.
Säkerhetsstrategier har traditionellt fokuserat på att hindra angripare från att ta sig in i miljön. Även om förebyggande åtgärder fortfarande är viktiga, inser moderna säkerhetsledare alltmer att detektions- och svarsfunktioner är lika viktiga.
EDR spelar en avgörande roll när det gäller att förebygga och utreda intrång i endpoints. Men för att uppnå en motståndskraftig säkerhet krävs också förmågan att upptäcka angripare som redan har fått åtkomst.
NDR ger den möjligheten genom att identifiera misstänkt beteende i nätverket och avslöja angriparens rörelser som annars skulle kunna förbli dolda.
Tillsammans ger EDR och NDR kompletterande insyn i både slutpunkter och nätverk, vilket avsevärt förbättrar möjligheten att upptäcka, undersöka och reagera på hot.
Cyberattacker blir allt snabbare, smygande och mer komplexa. Angripare utnyttjar identitetssystem, rör sig i sidled över nätverk och använder legitima verktyg för att undvika upptäckt.
För att försvara sig mot dessa hot måste organisationer utöka sin synlighet bortom enskilda enheter och förstå hur aktiviteten utvecklas i hela miljön.
EDR är fortfarande en viktig komponent i modern cybersäkerhet. Men på egen hand kan den inte ge den täckning som krävs för att upptäcka moderna attacker.
Genom att kombinera endpoint-visibilitet med nätverksdetektering via NDR får organisationer en mycket mer komplett bild av angriparnas beteende och kan täppa till kritiska luckor i sin säkerhetsställning.
I dagens gränslösa digitala miljöer är ett effektivt cyberförsvar beroende av att man inte bara ser vad som händer på slutpunkterna, utan också hur hoten rör sig i själva nätverket.
Kontakta experterna på Integrity360 för dina EDR- och NDR-behov och hur vi kan stödja din organisation när det gäller att stärka sin cybersäkerhet.
Endpoint Detection and Response (EDR) är en cybersäkerhetsteknik som övervakar slutpunktsenheter som bärbara datorer, servrar och arbetsstationer för att upptäcka skadlig aktivitet. EDR-verktyg analyserar systembeteende, identifierar misstänkta processer och gör det möjligt för säkerhetsteam att undersöka och reagera på hot på enskilda enheter.
Network Detection and Response (NDR) är en säkerhetsteknik som analyserar nätverkstrafik för att identifiera misstänkt aktivitet i en organisations infrastruktur. NDR upptäcker hot som lateral förflyttning, kommando- och kontrollkommunikation, missbruk av inloggningsuppgifter och dataexfiltrering genom att övervaka kommunikationen mellan system.
EDR fokuserar på att upptäcka hot på enskilda slutpunkter, medan NDR fokuserar på att övervaka nätverkstrafik mellan system. EDR ger djup insyn i värdaktivitet, medan NDR avslöjar hur angripare rör sig över nätverk. Tillsammans ger de bredare täckning av hotdetektering.
EDR kan inte distribueras på alla enheter i en miljö och kan missa angriparaktivitet som förekommer i nätverkstrafik. Angripare kringgår ofta slutpunktskontroller med hjälp av tekniker som attacker som lever utanför landet, missbruk av referenser eller genom att rikta in sig på ohanterade enheter.
Genom att kombinera EDR och NDR får man insyn i både slutpunkter och nätverkskommunikation. Detta skiktade tillvägagångssätt förbättrar detekteringsnoggrannheten, minskar blinda fläckar och gör det möjligt för säkerhetsteam att identifiera attacker tidigare i attackkedjan.
NDR kan identifiera tidiga indikatorer på ransomware-aktivitet, t.ex. lateral rörelse, misstänkta interna anslutningar eller onormala dataöverföringar. Att upptäcka dessa beteenden tidigt kan hjälpa organisationer att stoppa ransomware-attacker innan krypteringen börjar.
NDR ger ytterligare kontext kring misstänkt aktivitet, vilket hjälper säkerhetsoperationscenter att korrelera varningar över slutpunkter, nätverk och identitetssystem. Detta minskar antalet falska positiva signaler och gör det möjligt för analytiker att fokusera på verkliga hot på ett mer effektivt sätt.