Der er mange ting at tage sig af, når en organisations data, services, infrastruktur og brugere skal beskyttes mod cyberangreb af forskellig art.
To væsentlige ting går dog igen:
- Overvågning af (mistænkelig) aktivitet i infrastrukturen. Desuden skal man reagere, når noget ser forkert ud, døgnet rundt, året rundt (MDR – Managed Detection & Response)
- En software skal holde øje med og helst forstå og evt. reagere på, hvad der foregår på forskellige endepunkter (computere, servere, mobiltelefoner osv.) i infrastrukturen (EDR – Endpoint Detection & Response).
Men hvad er det så, der skal holdes øje med?
Svaret er mange ting: Afvikling af skadelig software, phising emails og links, trafik til Command and Control, data, der forlader virksomheden til ukendte destinationer og meget meget mere.
Størstedelen af ovenstående får vi indsigt i ved at holde godt øje med vores endepunkter. Stort set alle cyberhændelser involverer en eller anden form for skadelig aktivitet på et endepunkt. Det har ført til en hel klasse af softwareløsninger under betegnelsen EDR. Det er i bund og grund ikke ’preventing’ aktiviteten, der er så interessant at holde øje med længere (løsningerne er simpelthen blevet super gode til dette), men mere gråzonen mellem god og dårlig opførsel.
1. Overvågning af enheder
Løsningen holder konstant øje med aktiviteter på computere og enheder i virksomheden. Den registrerer og analyserer adfærd for at finde mistænkelige eller skadelige handlinger, som kunne indikere et angreb.
2. Detektion af trusler
Når systemet opdager noget usædvanligt, som kan være et tegn på malware, ransomware eller andre trusler, advarer det med det samme.
3. Reaktion på angreb
EDR kan reagere automatisk ved at isolere den inficerede enhed fra resten af netværket for at forhindre spredning. Den kan også hjælpe IT-afdelingen med at fjerne truslen og gendanne systemet til en sikker tilstand.
4. Historik og analyse
EDR-løsningen gemmer information om tidligere aktiviteter, hvilket gør det muligt at analysere, hvordan angreb fandt sted, og hvordan de kan forhindres i fremtiden.
Conscia Cyberdefense arbejder med (og kan dermed holde øje med og reagere på) flere forskellige EDR løsninger bl.a. Defender fra Microsoft, Secure Endpoint fra Cisco og Cortex XDR Pro fra Palo Alto Networks.
Vores Cyberdefense i både Slovenien og Danmark anbefaler Cortex XDR, da den løsning samler flere såkaldte telemetri data end de andre og dermed tilbyder bedre kapaciteter og funktionaliteter, når der skal analyseres og reageres. Den samlede detection engine er bare bedre i Cortex XDR pro.
For at forstå Cortex kan du også se denne korte video:
Hvad skal du lægge vægt på, når du vælger EDR-løsning?
Der findes mange forskellige sammenligninger af EDR løsninger, og man kan næsten bruge dem, som man vil (omend MITRE Att&ck evaluation som benchmark generelt anerkendes som meget teknisk velfunderet og retvisende). Specielt fordi nogle af dem inkluderer markedsudbredelse som en parameter, uagtet om det pågældende produkt er ”foræret” væk og ikke er taget i brug.
En af de benchmarks, jeg lægger mest vægt på, er tilbagemeldinger fra vores Incident Responce-Team.
Vi tilbyder nemlig omfattende og kompetent Incident Response (IR). Det er dem, der rykker ud, når det er gået galt. De begrænser skaden, skaber overblik og hjælper dig med at komme videre. ”Forensic” er en af disciplinerne: Det er den aktivitet, der analyserer præcis, hvad der skete, inden det gik galt. Det er uhyre vigtigt for at forstå, hvordan man kan sikre, at det ikke sker igen. Det er desuden vigtigt i brancher, hvor årsagsforklaringer er et væsentligt compliancekrav.
Vores Incident Respondere i Norge, Danmark og Slovenien peger entydigt på Cortex XDR Pro som det værktøj, der giver dem den største indsigt og dermed hjælper dem mest i deres arbejde.
Hvordan kan vi hjælpe?
Vi har stor erfaring med MDR både via et SOC-center i Slovenien og via vores danske Cyberdefense team med base i Aarhus.
Vi overvåger mange forskellige infrastruktur løsninger fra Palo Alto Networks, Cisco, Microsoft mv. og har både dansktalende analytikere, der kan reagere på hændelser og aktivitet. Vi har de løsningsspecialister, der skal hjælpe med optimeringer, justeringer osv.
Og vi holder øje … hvis du ikke selv har mulighed for det.
Hele tiden!
Vil du vide mere?
Tag fat i din Conscia Account Manager eller:
