Uvědomují si české firmy rizika spojená s nárůstem současných bezpečnostních hrozeb?

S tím, jak se v posledních letech útoky zdokonalují a množí se počet těch automatizovaných a útoků tzv. "na klíč", se přirozeně zvyšuje počet firem, které útok již zasáhl. Některé masivní útoky byly v minulosti i hojně medializované, tudíž roste i povědomí o rizicích, která představují. Posledních pár let lze pozorovat zvýšený zájem firem o počítačovou bezpečnost, ale stále se setkávám se situací, kdy firmy silně investují do ochrany jedné oblasti, například ochrany dat, ale na druhé straně nemají komplexně pokrytou oblast ochrany identit nebo koncových zařízení.

Ochranu koncových bodů posiluje například technologie Endpoint Detection and Response (EDR). Proč se jí zabývat?

Ochrana koncových bodů je kritická pro včasnou detekci útoku a schopnost se s ním vypořádat tzv. "v první linii". Velké množství útoků dnes začíná na koncových bodech, které jsou pro útočníky vstupní branou do infrastruktury.

Moderní útoky používají techniky, které jsou schopné se detekcím tradičních antivirů vyhnout. EDR řešení je odpovědí na tyto moderní útoky, protože kontinuálně monitorují koncové body, chování uživatelů, spouštěné procesy a jejich síťové aktivity, což pak slouží jako základ pro následnou analýzu útoku či podezřelého chování.

Co mít na zřeteli při výběru EDR?

Důležitým parametrem při výběru je schopnost detekovat co nejširší spektrum hrozeb v síti, ale často se opomíjí aspekt implementace a nároky na provozování takového řešení. U mnoha zákazníků po celé Evropě jsem viděl množství různých řešení na ochranu koncových bodů, identit, korelaci logů… Každé z nich s vlastní databází, konzolí, bez spolupráce se zbytkem bezpečnostních nástrojů, což výrazně ztěžuje efektivní uchopení bezpečnosti nad celou infrastrukturou. Je velmi důležité při výběru brát v úvahu schopnost daného EDR zprostředkovat komplexní pohled na bezpečnost organizace a integraci s dalšími prvky ochrany a detekce v prostředí, a to jak on-premises, tak v cloudu.

Pro jak velké společnosti je EDR určeno? Mohou si takové řešení dovolit i menší firmy?

EDR je nutnost pro každou společnost. Pokud je zvoleno vhodné řešení, které dobře spolupracuje se stávající infrastrukturou, není nutné mít dedikovaného analytika pouze na EDR řešení, a i menší firmy, které nemají velké bezpečnostní oddělení, mohou skokově zlepšit svou obranu proti dnešním bezpečnostním hrozbám.

Jaké EDR řešení nabízí vaše společnost?

Soustřeďujeme se na kompletní nabídku M365, jejíž součástí je EDR − Windows Defender Advanced Threat Protection (WDATP), což je rozšíření bezplatné nativní ochrany koncového bodu Windows Defender od Microsoftu. Jelikož se toto řešení integruje s již existující ochranou dostupnou ve Windows, není třeba nasazovat na koncové body žádného dalšího agenta, není třeba stavět žádnou novou infrastrukturu, a tím pádem výrazně snižuje celkové náklady spojené s vlastnictvím (TCO).

WDATP poskytuje ochranu před pokročilými typy útoků, dokáže automaticky izolovat nebezpečný koncový bod od sítě, sesbírat data pro hlubší analýzu, zakázat přístup k podnikovým datům nebo povolit pouze spouštění kódu podepsaného Microsoftem. Pro následnou analýzu dat z koncového bodu je možno využít funkce spuštění podezřelého kódu v izolovaném prostředí, kde jsou automaticky zaznamenány veškeré akce, které kód provedl, a IP adresy, s nimiž se pokoušel komunikovat, vše dostupné během několika minut v přehledném výpisu.

Strategická výhoda WDATP spočívá v jeho integraci se širokou rodinou bezpečnostních nástrojů Microsoftu, která pokrývá zařízení, identitu a aplikace. Ta umožňuje pohlížet na bezpečnostní události detekované na koncových bodech, v e-mailu, cloudu a u jednotlivých identit, jako na jeden incident, pochopit závažnost potenciálního útoku a zvolit adekvátní obranu.

Článek byl publikován v komerční příloze Hospodářských novin a týdeníku Ekonom.