Endpoint Detection and Response (EDR)

N-able EDR (Endpoint Detection and Response )

EDR är en ersättare till Antivirus.
Med inbyggd återställning av krypterade filer.
Inga dagliga scanningar eller definitionsuppdateringar.

 

N-able Endpoint Detection and Response är ett helt nytt tag på klientbaserad säkerhet.

Vanliga antivirus bygger på en kombination av definitionsfiler och aktiva analyser. Vanliga antivirusmotorer måste ladda ner definitionsfiler och scanna igenom datorn dagligen.

N-able EDR behöver aldrig göra någon daglig scanning eller ladda ner några några definitionsfiler.  N-able EDR ger fullt skydd även när användarna är offline. EDR-klienten uppgrades vanligtvis 5-7 gånger per år om man upptäcker nya attackmodeller.

N-able EDR jobbar med alla typer av hot och attackvägar på klientnivå.

Solarwinds EDR

Nio olika Machine Learning-motorerSolarwinds EDR
N-able Endpoint Detection and Response fungerar på ett helt annat sätt än antivirus.  Den har en klient som innehåller nio olika Machine Learning-motorer. Några av dem jobbar proaktivt med att dekompilera och kontrollera filer för att de som de kan ha skadligt beteende. Andra jobbar med att analysera allt som dessa filer/program/script gör på datorn. Vissa motorer jobbar med att analysera alla förändringar på datorn och alla förändringar i dokument. Vissa analyserar vad som händer i minne och processer.

Vad kan N-abel EDR skydda mot men som många vanliga Antivirus har stora problem med?

  1. Polymorphic Malware
    Ett Polymorphic Malware förändrar sig över tiden och ändrar sin funktion t.ex. genom att ladda och integrera ny programkod över tiden. Ett program som tidigare inte har detekerats som skadligt kan med tiden ändra sin funktion och bli ett aktivt malware.
  2. Dokument med inbäddad programkod
    Angripare kan skicka t.ex. Adobe PDF-filer till en användare. Dessa kan ha inbäddad Java-kod som öppnar upp datorn för en vidare attack genom att öppna bakdörrar eller ladda ner mer avancerade malware i bakgrunden. Det ärinte bara Adobe PDF som är en vanlig attackväg in utan äver macro-aktiverade Microsoft Office dokument.
  3. Infekterade websidor
    Infekterade websidor eller till och med annonser på vanligtvis säkra sidor som utnyttjar hål i användarens browser eller olika browser plugin för att ta sig vidare in i datorn.
  4. Fillösa attacker
    Vanliga antivirus tittar normalt på alla filer som skrivs eller läses från disken. EDR titta på vad som händer på dator och och någon applikation eller process försöker utföra något konstigt på datorn. Många attacker sker idag genom någon befintlig funktion  på datorn t.ex. din browser, din Remote Desktop eller t.ex. gernom webservern på en server och attacken sker då genom att angriparen utnyttjar befintliga windows-applikationer för att exekvera skadlig kod på datorn utan att någonsin skriva en enda bokstav till disken.  Funktioner som process hollowing och Code Injection kan addera skadlig kod direkt in i en systemapplikation utan att behöva passera en vanlig Antivirus detektering på datorn.
  5. Obfuscated Malware
    Det kanske är ett konstigt ord men jag har ingen bra översättning på Svenska.
    Ett malware som är specifikt byggt från grunden upp för att inte se ut som ett malware. Oftats byggt på massa krypterade textsträngar och meningslösa textstränga som packas upp till ett aktivt malware efter att det startats på datorn.
    Det är byggt för att bara attackera en riktig dator (d.v.s. dölja sig för "Sandboxing"-detektering där man testar en fil i en virtuell miljö). Malwaren "sover" till dess att alla dess parametrar för en riktig dator stämmer och sedan börjar den packa upp och kompilera ett nytt malware av textsträngarna eller kryptonycklar i detta malware. Obfuscated Malware genereras ofta exakt samma sekund som det laddas ner från t.ex. en websida. En speciell appliktion på webserver bygger ett helt nytt Obfuscated Malware vid varje nerladdning så att ALLA nerladdade filer ser helt olika ut och mycket svåra för vanliga antivirus att hitta.
  6. Rouge Operators
    EDR har möjligheten att skydda mot manuella attacker där någon kommer in som administrator eller remote administrator och t.ex. via Powershell försöker utföra saker som skulle skada datorn/servern/nätverket. Till exempel försäka döda antivirus, rensa shadowcopies, elevera sina rättgheter eller något annat sätt försöka ta sig förbi regler.

"Story Line" med rollback av förändringar på datorn
Alla dessa Machine Learning-motorer tillsammans skapar en överblick över potentiella attacker. De bygger en "Story Line" av förändringar. Så när något får N-able EDR att upptäcka attacken så kommer den automatiskt stoppa alla tillhörande aktiviteter samt backa alla förändringar gjorts på datorn eller servern.

Möjlighet till Network Quarantine
I en miljö där man behöver mycket hög säkerhet mot Malware/intrång kan man sätta EDR till att låsa nätverksanslutningen till en dator som där man detekterar en infektion eller rouge administrator. På så sätt säkerställer man att ingenting kan sprida sig vidare i organisationen. Tänk dig att någon hackar kundens Terminalserver för att sedan ta sig vidare i nätverket. Om vi redan vid första attacken stoppar alla anslutningar både inom nätverket och till Internet så kan vi stoppa attacken mycket tidigt och sedan hitta och lösa eventuella problem i servern/nätverket innan vi släpper på trafiken till servern igen. Naturligtvis har man alltid kontakt med EDR-portalen så att administratören kan inspektera anledningen till att EDR larmade/agerade. Om det mot förmodan är en False Positive så kan teknikern snabbt slå på nätaccess till servern/datorn igen.

Inbyggd återställning av krypterade filer
Men nu kommer den riktigt intressanta biten med N-able EDR...
Om någon mot förmodan hittar helt ny vägar att utföra en kryptoattack som inte detekteras av N-able EDR förrän skadan redan är skedd och filerna redan har börjat krypterats. Då har N-able EDR den helt unika lösningen att den kan göra en återställning av krypterade filer. D.v.s. Post Execution.

N-able EDRs unika Post Execution rollback av ett Crypto virus

EDR bygger på de inbyggda återställningsfunktionerna i Windows (VSS) men har den unika fördelen att N-able EDR skapar ett krypterat skal runt dessa funktioner så att Malware och trojaner inte kan förstöra, ändra eller radera data från återställningsfunktionerna. Inte ens domänadmininstratörens konto har rättigeheter att radera dessa VSS:er.

Vanligvis börjar alla kryptovirus med att försöka rensa all återställningsinformation, rensa OneDrive, förstöra backuper innan den börjar kryptera din data.

EDR Complete

N-able EDR finns även i Complete-versionen med Deep Visibility. Deep Visibility kan använda för att aktivt söka bland händelser (som inte har triggat åtgärd) bakåt i tiden. Dessa sökningar kan även användas för att skapa schemalagda proaktiva sökningar med larm.

EDR Complete lämpar sig till MSP:er som har en egna säkerhetsspecialister eller de som använder N-able 24/7 Managed SOC.

Deep Visibility

Deep Visibility är en funktion i EDR Complete. Där kan man söka i detalj på vad som har hänt 14 dagar tillbaka i tiden. Du kan även bygga proaktiva scanningar med larm om du vill få information om saker som sker i nätverket eller på datorer/servrar. Desstutom man man lägga händelser i nätverkskarantän d.v.s. låsa access till datorn om någon regel bryts (t.ex. en extern användare kör remote powershell mot en dator eller en icke-Microsoft applikation uppdaterar DLL/EXE-filer i Windows-foldern)

EDR Deep Visibility

EDR Vigilance - 24/7 Managed SOC

Som tillval till N-able EDR kan man lägga till 24/7 Managed Security Operations Center.  24/7 SOC:en hjälper till att dokumentera mer information runt alla händelser. De löser även eventuella False Positivs. Om något kräver manuell hantering hos kunden så kontaktar SOC:en MSP:n.

SOC:en hjälper även till med Reaktiva och Proaktiva säkerhetrelaterade sökningar för kunder som har EDR Complete. SentinelOnes personal som driver denna Managed SOC kan då applicera all sin kunskap på vad som händer i säkerhetsvälden just idag och göra proaktiva scanningar.

Ranger - Bevaka vad som finns i nätverket

Med Ranger får ni koll på vad kunden har för enheter i nätverket kan kan spåra hur dessa påverkar datorerna (via Deep Visibility) samt att ni har möjlighet att blockera osäkra enheter från att kommunicera med era servrar och datorer.

EDR Ranger

Crypto Infection - File Rollback demo

Nedan är en demonstration av en Crypto-infektion med Solawinds EDR endast i Detect-läge.  Och hur vi via EDR-portalen begär en rollback av allt som har hänt sedan vi laddade ner vårt kryptovirus-simulator.


Är du intresserad av att få en Live demo? Eller få din egen Trial-version att testa med? Kontakta johan@communica.se

Samsonite