Endpoint Detection and Response (EDR)

N-able EDR (Endpoint Detection and Response )

EDR är en ersättare till Antivirus.
Med inbyggd återställning av krypterade filer.
Inga dagliga scanningar eller definitionsuppdateringar.

 

N-able Endpoint Detection and Response är ett helt nytt tag på klientbaserad säkerhet.

Vanliga antivirus bygger på en kombination av definitionsfiler och aktiva analyser. Vanliga antivirusmotorer måste ladda ner definitionsfiler och scanna igenom datorn dagligen.

N-able EDR behöver aldrig göra någon daglig scanning eller ladda ner några några definitionsfiler.  N-able EDR ger fullt skydd även när användarna är offline. EDR-klienten uppgrades vanligtvis 5-7 gånger per år om man upptäcker nya attackmodeller.

N-able EDR jobbar med alla typer av hot och attackvägar på klientnivå.

Nio olika Machine Learning-motorer
N-able Endpoint Detection and Response fungerar på ett helt annat sätt än antivirus.  Den har en klient som innehåller nio olika Machine Learning-motorer. Några av dem jobbar proaktivt med att dekompilera och kontrollera filer för att de som de kan ha skadligt beteende. Andra jobbar med att analysera allt som dessa filer/program/script gör på datorn. Vissa motorer jobbar med att analysera alla förändringar på datorn och alla förändringar i dokument. Vissa analyserar vad som händer i minne och processer.

Vad kan N-abel EDR skydda mot men som många vanliga Antivirus har stora problem med?

1. Polymorphic Malware
   Ett Polymorphic Malware förändrar sig över tiden och ändrar sin funktion t.ex. genom att ladda och integrera ny programkod över tiden. Ett program som tidigare inte har detekerats som skadligt kan med tiden ändra sin funktion och bli ett aktivt malware.
   
2. Dokument med inbäddad programkod
   Angripare kan skicka t.ex. Adobe PDF-filer till en användare. Dessa kan ha inbäddad Java-kod som öppnar upp datorn för en vidare attack genom att öppna bakdörrar eller ladda ner mer avancerade malware i bakgrunden. Det ärinte bara Adobe PDF som är en vanlig attackväg in utan äver macro-aktiverade Microsoft Office dokument.
   
3. Infekterade websidor
   Infekterade websidor eller till och med annonser på vanligtvis säkra sidor som utnyttjar hål i användarens browser eller olika browser plugin för att ta sig vidare in i datorn.
   
4. Fillösa attacker
   Vanliga antivirus tittar normalt på alla filer som skrivs eller läses från disken. EDR titta på vad som händer på dator och och någon applikation eller process försöker utföra något konstigt på datorn. Många attacker sker idag genom någon befintlig funktion  på datorn t.ex. din browser, din Remote Desktop eller t.ex. gernom webservern på en server och attacken sker då genom att angriparen utnyttjar befintliga windows-applikationer för att exekvera skadlig kod på datorn utan att någonsin skriva en enda bokstav till disken.  Funktioner som process hollowing och Code Injection kan addera skadlig kod direkt in i en systemapplikation utan att behöva passera en vanlig Antivirus detektering på datorn.
   
5. Obfuscated Malware
   Det kanske är ett konstigt ord men jag har ingen bra översättning på Svenska.
   Ett malware som är specifikt byggt från grunden upp för att inte se ut som ett malware. Oftats byggt på massa krypterade textsträngar och menislösa textstränga som packas upp till ett aktivt malware efter att det startats på datorn.
   Det är byggt för att bara attackera en riktig dator (d.v.s. dölja sig för "Sandboxing"-detektering där man testar en fil i en virtuell miljö). Malwaren "sover" till dess att alla dess parametrar för en riktig dator stämmer och sedan börjar den packa upp och kompilera ett nytt malware av textsträngarna eller kryptonycklar i detta malware. Obfuscated Malware genereras ofta exakt samma sekund som det laddas ner från t.ex. en websida. En speciell appliktion på webserver bygger ett helt nytt Obfuscated Malware vid varje nerladdning så att ALLA nerladdade filer ser helt olika ut och mycket svåra för vanliga antivirus att hitta.

"Story Line" med rollback av förändringar på datorn
Alla dessa Machine Learning-motorer tillsammans skapar en överblick över potentiella attacker. De bygger en "Story Line" av förändringar. Så när något får N-able EDR att upptäcka attacken så kommer den automatiskt stoppa alla tillhörande aktiviteter samt backa alla förändringar gjorts på datorn eller servern.

Inbyggd återställning av krypterade filer
Men nu kommer den riktigt intressanta biten med N-able EDR...
Om någon mot förmodan hittar helt ny vägar att utföra en kryptoattack som inte detekteras av N-able EDR förrän skadan redan är skedd och filerna redan har börjat krypterats. Då har N-able EDR den helt unika lösningen att den kan göra en återställning av krypterade filer. D.v.s. Post Execution.

Den bygger på de inbyggda återställningsfunktionerna i Windows (VSS) men har den unika fördelen att N-able EDR skapar ett krypterat skal runt dessa funktioner så att Malware och trojaner inte kan förstöra, ändra eller radera data från återställningsfunktionerna.

Vanligvis börjar alla kryptovirus med att försöka rensa all återställningsinformation, rensa OneDrive, förstöra backuper innan den börjar kryptera din data.

Crypto Infection - File Rollback demo

Nedan är en demonstration av en Crypto-infektion med Solawinds EDR endast i Detect-läge.  Och hur vi via EDR-portalen begär en rollback av allt som har hänt sedan vi laddade ner vårt kryptovirus-simulator.

Är du intresserad av att få en Live demo? Eller få din egen Trial-version att testa med? Kontakta johan@communica.se