Ochrona RoundKick EDR


Kontinuum cyberzagrożeń

Mnogość, różnorodność, dynamika, zmienność, złożoność to cechy współczesnych cyberzagrożeń. Cechy, dzięki którym zagrożenia od czasu do czasu nieubłaganie wymykają się klasycznym mechanizmom detekcji i ochrony. Żeby skutecznie zapobiegać atakom, a w sytuacjach krytycznych minimalizować ich skutki, wymagana jest ciągła, kompleksowa analiza zdarzeń zachodzących w systemach operacyjnych uwzględniająca jak najszersze spektrum aktywności i szybka interpretacja uzyskanych danych.

Porządek w chaosie

Szeroko pojęte szkodliwe oprogramowanie, mimo swojej ogromnej złożoności, pracuje według pewnych schematów, wynikających między innymi ze struktury systemów operacyjnych i ich wymagań, zasad funkcjonowania użytkowników i komputerów w sieci, obecności mechanizmów ochronnych takich jak oprogramowanie antywirusowe, uprawnienia, UAC itp. Sprawne rozpoznanie tych schematów i izolacja ich od prawidłowych aktywności to klucz do sukcesu nowoczesnych rozwiązań zabezpieczających.

Kompleksowe spojrzenie

Oprogramowanie ochronne składa się z wielu modułów, z których każdy specjalizuje się w zabezpieczaniu konkretnych obszarów systemów i jest nastawiony na określoną kategorię ataków. Skaner poczty, monitor plików, zapora sieciowa, skaner http to już typowy, kanoniczny arsenał ochronny. Każdy moduł kontroluje otrzymane dane i blokuje te, które na podstawie własnych baz danych uznaje za szkodliwe. Krokiem milowym w jakości i skuteczności ochrony było zestawienie informacji generowanych przez wszystkie moduły ochronne i zbudowanie kompletnego obrazu zdarzeń zachodzących w systemie, które, dzięki relacjom między danymi (także w funkcji czasu), pozwoliły na dostrzeżenie ukrytych i niewykorzystanych dotychczas schematów identyfikujących szkodliwe oprogramowanie.

RoundKick EDR

Zarezerwowane dotychczas głównie dla laboratoriów antywirusowych mechanizmy zostały wbudowane w pakiety mks_vir i wspólnie utworzyły nową warstwę ochronną klasy EDR (Endpoint Detection and Response), której zadaniem jest wykorzystanie potencjału drzemiącego we wszystkich modułach ochronnych pakietu w procesie stałej analizy zachodzących w systemie zdarzeń. Mechanizm ten jest skonstruowany tak, aby nie zakłócał pracy użytkowników i nie generował fałszywych alarmów. Sytuacje podejrzane ale nie wyczerpujące jeszcze w dostatecznym stopniu znamion cyberprzestępstwa są delegowane do chmury skanującej Arcabit/mks_vir, w której podlegają procesom analizy automatycznej. Jeśli ta zawiedzie, do pracy siadają analitycy. Efektem może być odrzucenie zdarzenia jako nieszkodliwego, bądź natychmiastowa aktualizacja schematów i blokada szkodliwej aktywności.

Ogromny zakres możliwości

Dotychczasowe doświadczenia pokazują, że RoundKick EDR pozwala na natychmiastową identyfikację, blokadę i eliminację nieznanych zagrożeń. Łatwość aktualizacji bazy schematów i wykorzystanie chmury skanującej to nowe, potężne narzędzie w walce z cyberprzęstepcami. Zakres możliwości i potencjał tej klasy rozwiązań ochronnych możemy śmiało porównać do rozmachu, który towarzyszył firmom antywirusowym w czasach, gdy powstawały zaawansowane mechanizmy detekcji klasycznych wirusów. Wtedy środowiskiem wirusa był plik, teraz środowiskiem szkodliwego oprogramowania są całe systemy operacyjne i sieci.

Jesteś gotowy zobaczyć nowego MKS-a w akcji?