Velké riziko pro firmy představují cílené útoky, které se nemusí projevit ihned. Skrytý malware může přetrvávat v síti dlouhé měsíce a šířit se. Zůstává bez povšimnutí především kvůli tomu, že jsou IT bezpečnostní týmy zahlceny manuálním tříděním nepřeberného množství upozornění, která vytvářejí moderní bezpečnostní řešení. Důležité indikátory napadení se přitom snadno ztratí či přehlédnou. I v případě jejich zachycení záleží ještě na jejich posouzení, k čemuž je zapotřebí detailní znalost kybernetických hrozeb a postupů, jako je reverzní inženýrství, malwarová analýza a digital forensics. Ne všechny firmy disponují dostatečnými kapacitami. To se pak odrazí v pomalé reakci na incident a nedostatečné vizibilitě koncových zařízení. Následkem jsou stále vyšší náklady, které musí firmy vynaložit na znovuobnovení provozuschopnosti po incidentu. Ty v současnosti dosahují hodnoty až okolo 977 tisíc dolarů.

V návaznosti na tyto problémy se firmy snaží zrychlit analýzu incidentu a zkrátit dobu potřebnou k reakci. Využívají k tomu speciální prvotřídní bezpečnostní řešení, která jsou označovaná jako EDR. Společnost Kaspersky Lab proto nyní svým zákazníkům nabízí Kaspersky Endpoint Detection and Responce. Mezi jeho hlavní funkce patří mírnění následků kyberincidentů, lepší vizibilita koncových zařízení, kompatibilita s tradičními bezpečnostními produkty pro koncová zařízení a schopnosti usnadňující bezpečnostním týmům a SOC (Security Operations Center) vyšetřování incidentů. Uživatelé Kaspersky EDR budou moci těžit z hluboké znalosti kyberbezpečnostního prostředí, pokročilých bezpečnostních technologií a dlouholetých zkušeností s detekcí celosvětově nejvýznamnějších APT hrozeb, které společnost Kaspersky Lab nabízí.

Následující čtyři pilíře tvoří základy strategického přístupu Kaspersky Lab k EDR bezpečnosti:

• Monitoring: Řešení Kaspersky EDR umožňují firmám získat dokonalý přehled o incidentu, aniž by musely data sbírat manuálně.
• Detekce: Pokročilé detekční technologie řešení Kaspersky EDR, mezi něž se řadí Targeted Attack Analyzer s technologií strojového učení, pomáhají firmám vyhodnotit data ze senzorů koncových zařízení a tím umožňují rychlou reakci na detekovanou hrozbu.
• Shromažďování informací: Za účelem co nejpřesnějšího odhalení celého vlákna útoku shromažďuje a vizualizuje Kaspersky EDR forenzní data z koncových zařízení. Ta zahrnují jak informace o neznámých souborech, tak i metadata o programech, procesech, službách, modulech, složkách, autorunech či síťových připojeních.
• Reakce: Účinné EDR není možné bez schopnosti reakce, umožňující organizacím dálkově odstranit infekci z napadených systémů. Nabízí tak alternativu k obtížnému a nákladnému manuálnímu opravení počítačů. Prevence opakujících se cílených útoků je jednou z hlavních předností Kaspersky EDR. Bezpečnostní odborníci budou moci zakázat spuštění podezřelých PE složek, office dokumentů a skript. Navíc budou moci nastavit pravidla, díky nimž budou proaktivně mazány soubory už v koncových zařízeních. Tím nedojde k ohrožení celé korporátní sítě.

Autor: Petr Smolník, šéfredaktor