N-able Endpoint Detection and Response är ett helt nytt tag på klientbaserad säkerhet.
Vanliga antivirus bygger på en kombination av definitionsfiler och aktiva analyser. Vanliga antivirusmotorer måste ladda ner definitionsfiler och scanna igenom datorn dagligen.
N-able EDR behöver aldrig göra någon daglig scanning eller ladda ner några några definitionsfiler. N-able EDR ger fullt skydd även när användarna är offline. EDR-klienten uppgrades vanligtvis 5-7 gånger per år om man upptäcker nya attackmodeller.
N-able EDR jobbar med alla typer av hot och attackvägar på klientnivå.
Nio olika Machine Learning-motorer
N-able Endpoint Detection and Response fungerar på ett helt annat
sätt än antivirus. Den har en klient som innehåller nio olika Machine
Learning-motorer. Några av dem jobbar proaktivt med att dekompilera och
kontrollera filer för att de som de kan ha skadligt beteende. Andra jobbar
med att analysera allt som dessa filer/program/script gör på datorn. Vissa
motorer jobbar med att analysera alla förändringar på datorn och alla
förändringar i dokument. Vissa analyserar vad som händer i minne och
processer.
Vad kan N-abel EDR skydda mot men som många vanliga Antivirus har stora problem med?
"Story Line" med rollback av förändringar på datorn
Alla dessa Machine Learning-motorer tillsammans skapar en överblick över
potentiella attacker. De bygger en "Story Line" av förändringar. Så när
något får N-able EDR att upptäcka attacken så kommer den
automatiskt stoppa alla tillhörande aktiviteter samt backa alla förändringar
gjorts på datorn eller servern.
Möjlighet till Network Quarantine
I en miljö där man behöver mycket hög säkerhet mot Malware/intrång
kan man sätta EDR till att låsa nätverksanslutningen till en dator som där
man detekterar en infektion eller rouge administrator. På så sätt
säkerställer man att ingenting kan sprida sig vidare i organisationen. Tänk
dig att någon hackar kundens Terminalserver för att sedan ta sig vidare i
nätverket. Om vi redan vid första attacken stoppar alla anslutningar både
inom nätverket och till Internet så kan vi stoppa attacken mycket tidigt och
sedan hitta och lösa eventuella problem i servern/nätverket innan vi släpper
på trafiken till servern igen. Naturligtvis har man alltid kontakt med
EDR-portalen så att administratören kan inspektera anledningen till att EDR
larmade/agerade. Om det mot förmodan är en False Positive så kan teknikern
snabbt slå på nätaccess till servern/datorn igen.
Inbyggd återställning av krypterade filer
Men nu kommer den riktigt intressanta biten med N-able EDR...
Om någon mot
förmodan hittar helt ny vägar att utföra en kryptoattack som inte
detekteras av N-able EDR förrän skadan redan är skedd och filerna redan
har börjat krypterats. Då har N-able EDR den helt unika lösningen att den kan
göra en återställning av krypterade filer. D.v.s. Post Execution.
N-able EDRs unika Post Execution rollback av ett Crypto virus
EDR bygger på de inbyggda återställningsfunktionerna i Windows (VSS) men har den unika fördelen att N-able EDR skapar ett krypterat skal runt dessa funktioner så att Malware och trojaner inte kan förstöra, ändra eller radera data från återställningsfunktionerna. Inte ens domänadmininstratörens konto har rättigeheter att radera dessa VSS:er.
Vanligvis börjar alla kryptovirus med att försöka rensa all återställningsinformation, rensa OneDrive, förstöra backuper innan den börjar kryptera din data.
N-able EDR finns även i Complete-versionen med Deep Visibility. Deep Visibility kan använda för att aktivt söka bland händelser (som inte har triggat åtgärd) bakåt i tiden. Dessa sökningar kan även användas för att skapa schemalagda proaktiva sökningar med larm.
EDR Complete lämpar sig till MSP:er som har en egna säkerhetsspecialister eller de som använder N-able 24/7 Managed SOC.
Deep Visibility är en funktion i EDR Complete. Där kan man söka i detalj på vad som har hänt 14 dagar tillbaka i tiden. Du kan även bygga proaktiva scanningar med larm om du vill få information om saker som sker i nätverket eller på datorer/servrar. Desstutom man man lägga händelser i nätverkskarantän d.v.s. låsa access till datorn om någon regel bryts (t.ex. en extern användare kör remote powershell mot en dator eller en icke-Microsoft applikation uppdaterar DLL/EXE-filer i Windows-foldern)
Som tillval till N-able EDR kan man lägga till 24/7 Managed Security Operations Center. 24/7 SOC:en hjälper till att dokumentera mer information runt alla händelser. De löser även eventuella False Positivs. Om något kräver manuell hantering hos kunden så kontaktar SOC:en MSP:n.
SOC:en hjälper även till med Reaktiva och Proaktiva säkerhetrelaterade sökningar för kunder som har EDR Complete. SentinelOnes personal som driver denna Managed SOC kan då applicera all sin kunskap på vad som händer i säkerhetsvälden just idag och göra proaktiva scanningar.
Med Ranger får ni koll på vad kunden har för enheter i nätverket kan kan spåra hur dessa påverkar datorerna (via Deep Visibility) samt att ni har möjlighet att blockera osäkra enheter från att kommunicera med era servrar och datorer.
Nedan är en demonstration av en Crypto-infektion med Solawinds EDR endast i Detect-läge. Och hur vi via EDR-portalen begär en rollback av allt som har hänt sedan vi laddade ner vårt kryptovirus-simulator.
Är du intresserad av att få en Live demo? Eller få din egen Trial-version
att testa med? Kontakta johan@communica.se