Petek, 22. 11. 2024, 14.36
5 ur, 19 minut
ESET-ova tehnična konferenca 2024: zgodba o uspehu ESET MDR
V ospredju ESET-ove vodilne kibernetske zaščite so storitve odkrivanja in odzivanja ESET MDR, ki se izkazujejo z učinkovitimi preventivnimi sposobnosti za zgodnje preprečevanje in prestrezanje groženj.
Na letni interni tehnološki konferenci ESET 2024 (ETeC) se je zvrstila vrsta delavnic, seminarjev, hekatonov in predstavitev z vrhunskimi vsebinami. ESET-ovi strokovnjaki Gabriel Balla, produktni vodja za rešitve in storitve za podjetja, James Rodewald, varnostni analitik, ter Michal Hajovsky, vodja globalne prodaje, so podali vpogled v storitve ESET MDR (managed detection and response) – v njihov razvoj, zaledne sisteme in dostavo strankam, pa tudi zgodbe o uspehu, ki dokazujejo njihovo končno vrednost za podjetja vseh velikosti.
Pot do uspeha s storitvami ESET MDR
Na uvodnem srečanju z Gabrielom Ballo in Jamesom Rodewaldom smo razpravljali o nekaterih največjih vplivih ESET MDR na varnost podjetij, tako o preteklih uspehih kot o obetih za prihodnost.
Gabriel Balla, produktni vodja za poslovne rešitve in storitve, ESET
Balla je začel z opisom znane situacije, s katero se spopadajo številni splošni skrbniki IT. To je preobilica nalog, ki močno vplivajo na splošno kakovost varnosti organizacije, saj so skrbniki že tako preobremenjeni z zadolžitvami, kot so podpora uporabnikom, vzdrževanje različnih naprav, spremljanje delovanja sistemov in drugo – in to vsak dan.
To je še posebej obremenjujoče za majhna in srednje velika podjetja, ki jim že kar praviloma primanjkuje:
- proračuna: majhna in srednja podjetja imajo manj sredstev, ki jih lahko porabijo za varnost na visoki ravni, in ker so strokovnjaki dragi in jih ni v izobilju, se pri njihovem novačenju spopadajo s hudo konkurenco večjih podjetij z debelejšimi denarnicami;
- časa: povprečna rešitev EDR/XDR lahko za majhno in srednje podjetje z le 250 sedeži ustvari do 160 tisoč zaznav. To zahteva veliko namenskega časa in razumevanja za razvrščanje, kar lahko privede do utrujenosti že od opozoril, med katerimi pa je večina lažno pozitivnih;
- znanja: prepoznavanje groženj zahteva strokovno znanje. Razumevanje najnovejših groženj, ki so namenjene podjetjem, pa je povsem druga in še težja naloga.
Čeprav se podjetjem te točke morda ne zdijo nevzdržne, ima vsako še vedno specifične težave, kot je vse večja površina napada z naraščajočim številom šibkih točk. Poleg tega podjetje potrebuje natančno nastavljeno preventivno varnost, saj večje, kot je podjetje, večja je verjetnost, da se bo spopadalo s težavami, povezanimi z nepopolnim pokrivanjem, na primer zaradi spregledanih naprav, ali s skladnostjo, kot so zakonodaja in različni panožni prepisi. Rodewald je kasneje opisal primer, ko je nekdo kupil varnostno storitev, vendar jo je pozabil uporabiti, kar bi se lahko zdelo komično, če se ne bi izkazalo, da bi to povzročilo drag incident.
Kako v 30 dneh dokazati vrednost MDR
Zakaj bi majhna in srednja podjetja sploh želela storitev MDR? Zakaj bi podjetje potrebovalo kaj drugega kot lasten varnostni operativni center (SOC)?
Michal Hajovsky, vodja globalne prodaje, ESET
Hajovsky je zlahka odgovoril na ta vprašanja: "Kar 82 odstotkov napadov z izsiljevalsko programsko opremo je usmerjenih v majhna in srednja podjetja. Podjetja se lahko zlomijo tudi z vklopljeno zaščito končne točke, saj lahko povzročitelji groženj vstopijo brez uporabe zlonamerne programske opreme, na primer zgolj z zlorabo RDP ali MS SQL, zato je bistveno, da spremljamo že začetno obnašanje sistemov."
Čas za odkrivanje in odziv je ključnega pomena. Brez uporabe kakršnekoli rešitve EDR/XDR traja odkrivanje zlonamernega obnašanja v poslovnih sistemih v povprečju 277 dni! Za podjetja z vzpostavljenim lastnim varnostnooperativnim centrom naj bi to trajalo približno 16 ur, kar je veliko bolje, z MDR pa je zaradi načina vzpostavitve storitve vse to mogoče opraviti v manj kot 30 minutah.
Hajovsky je tudi poudaril, da številna podjetja nimajo časa, da bi svoje ekipe namenila izključno upravljanju varnosti. Prav tako je poleg stalnega izobraževanja o novih grožnjah potrebnega več strokovnega znanja za iskanje groženj in odpravljanje posledic incidentov. Zadnje je prav zaradi pomanjkanja ustreznih spretnosti pogosto zanemarjeno.
Storitev ESET MDR pa izvajajo vrhunski strokovnjaki, ki sodelujejo z zmogljivimi notranjimi orodji SOAR/SIEM, ki zajemajo podatke z več točk, pri tem pa uporabljajo še zmogljivosti umetne inteligence, odkritja ESET-ove globalne mreže raziskovalcev ter akcijske podatke ESET-ovega obveščanja o grožnjah, s čimer zagotavljajo hitro proaktivno odkrivanje in lovljenje groženj. Dodatno vrednost je mogoče najti tudi pri izpolnjevanju zahtev glede skladnosti z zakonodajami in zahtevami zavarovanja kibernetske zaščite, kjer so rešitve EDR/XDR pogosto pogoj za sklenitev zavarovanja ali za plačevanje nižje premije.
Zgodbe o uspehu ESET MDR
Rodewald je svoj del zgodbe o ESET MDR posvetil podrobnemu opisu primerov uspešne uporabe.
James Rodewald, varnostni analitik, ESET
V eni od takšnih zgodb so operaterji ESET MDR opazili, da so se začeli pojavljati nenavadni uporabniški računi, ki so bili dodani lokalnim skrbnikom. To je počel mrežni agent (odprtokodno orodje RMM za upravljanje omrežja), ki običajno ni zlonameren. Vendar je bil agent nameščen v mapo c2Update (kar sumljivo spominja na strežnik C&C) s programom notepad.exe, ki se je zagnal iz ProgramData, kar je pomenilo zlonamerno dejavnost.
Ko je uporabniški račun začel izvajati več dejanj, kot je poskus ustvarjanja povratne lupine ali spuščanje EXE (izvajanje CVE v programski opremi Veeam za odstranjevanje varnostnih kopij), ki ga je ESET takoj odkril in izbrisal, je postal namen jasen: "Sumim, da je bil to verjetno začetek napada izsiljevalske programske opreme ali programske opreme za iznos podatkov, saj smo v ZDA že videli uporabo mrežnih agentov za nameščanje izsiljevalske programske opreme," je dejal Rodewald.
V drugi zgodbi o uspehu so analitiki družbe ESET zaznali EsetIpBlacklist na vratih, ki je aktivno uporabljal proces sqlserver.exe, izpostavljen internetu. Ta je bil kompromitiran z zunanjo povezavo, prijavil se je v MS SQL, se prelevil v upravitelja in začel izvajati ukaze v operacijskem sistemu. Ekipa MDR je ukrepala hitro. "Najboljši način ukrepanja je bil izolirati napravo. S tem, ko smo jih odrezali, niso mogli izvajati novih ukazov," je pojasnil Rodewald.
Pri nadaljnji analizi je ekipa ugotovila, da je ukaz strežnika MS SQL poskušal ustvariti skripto PowerShell z imenom updt.ps1 (s prenosom datoteke, shranjene kot tzt.bat) in jo izvršiti z WMI. "To nekoliko razbije drevo procesov, zato brez rešitve EDR, ki ga je sposobna povezati, ne bi bilo mogoče videti, da je MS SQL storil karkoli."
Pripisovanje je bilo opravljeno z dodatnimi obveščevalnimi podatki. Opazite podobnosti med zaznavanjem družbe ESET in drugih ponudnikov (zaradi jasnosti so označene z barvami).
Po dodatnih raziskavah je ekipa ta napad pripisala izsiljevalski skupini Mallox Ransomware. "Napad smo zaustavili, še preden mu je uspelo spustiti koristni tovor EXE, in sicer že v začetni fazi, ko je raziskoval, ali lahko zažene datoteko .bat. To pomeni, da je programu ESET MDR uspelo preprečiti napad z izsiljevalsko programsko opremo na stranko, kar je po mojem mnenju velik uspeh," je sklenil Rodewald.
Pri storitvi ESET MDR je na prvem mestu preventiva
Glede na telemetrijo družbe ESET so se napadi izsiljevalske programske opreme v prvem polletju 2024 v primerjavi s prejšnjim polletjem povečali za 32 odstotkov. To se dogaja hkrati z obsežnimi kompromitacijami malih in velikih podjetij ter kritične infrastrukture, kot so bolnišnice, kar kaže na naraščajočo težavo.
Vendar pa so dovršene grožnje, kot je izsiljevalska programska oprema, natanko tisto, na čemer uspevajo storitve, kot je ESET MDR. Izpolnjujejo pričakovanja o varnostnem pristopu, ki temelji na preventivi, saj delujejo v ozadju in podjetjem omogočajo, da se izogibajo grožnjam, ne da bi pri tem motile njihove procese.
Naročnik oglasnega sporočila je SI SPLET D.O.O.
