Μετάβαση στο κύριο περιεχόμενο
Datatrek
xedr defense-in-depth edr ransomware

Παρουσιάζουμε το Datatrek Managed XEDR

από Νίκος Φρονιμάκης 2-λεπτο διάβασμα

Τα τελευταία δύο χρόνια έχουμε δει ένα συγκεκριμένο σχήμα παραβίασης να επαναλαμβάνεται σε ΜμΕ. Συνήθως ξεκινά με τον ίδιο τρόπο — ένας χρήστης οικονομικών ανοίγει ένα τιμολόγιο με μακροεντολές, το EDR το πιάνει, ο χρήστης κάνει "allow" επειδή ο IT είναι υπερφορτωμένος. Μέχρι να καταλάβει κάποιος, ο επιτιθέμενος έχει τρέξει credential-dump tool που το πρώτο EDR τυχαίνει να μην εντοπίζει.

Το κόστος αποκατάστασης είναι πάντα 10× το κόστος πρόληψης. Για αυτό φτιάξαμε το Managed XEDR — και το λανσάραμε ως το flagship endpoint προϊόν μας αυτόν τον μήνα.

Η αρχή

Το EDR ενός vendor είναι single point of failure. Κάθε προϊόν έχει γνωστές τεχνικές παράκαμψης, και κάθε μηχανικός που έχει δουλέψει σε offensive security μπορεί να κατονομάσει τις παρακάμψεις των μεγαλύτερων vendors χωρίς δεύτερη σκέψη. Η λύση δεν είναι ένα καλύτερο EDR — είναι δύο EDR από διαφορετικούς vendors, με δύο ανεξάρτητες ομάδες παρακολούθησης, στα κρίσιμα endpoints όπου μια παραβίαση πραγματικά πονάει.

Αναπτύσσουμε:

  • Ένα EDR εμπορικού επιπέδου από tier-1 vendor — το ίδιο που τρέχουν οι μεγάλες εταιρείες
  • Ένα ανεξάρτητα διαχειριζόμενο EDR από διαφορετικό tier-1 vendor — διαφορετικό μοντέλο ανίχνευσης, διαφορετικά heuristics
  • Ένα managed AV layer (Windows Defender σε Windows) — διατηρημένο ζωντανό, σωστά παραμετροποιημένο

Αν ο επιτιθέμενος απενεργοποιήσει το πρώτο stack, το δεύτερο απομονώνει τον host. Αν ο επιτιθέμενος είναι αρκετά καλός να νικήσει και τα δύο, το SIEM σημαίνει την απόκλιση και ένας μηχανικός σηκώνει το τηλέφωνο.

Τι σημαίνει "managed"

Security Engineering is Software Engineering. Οι μηχανικοί που γράφουν τις ανιχνεύσεις και οι αναλυτές που τις διαχειρίζονται είναι η ίδια ομάδα.

Αυτός είναι ο κανόνας με τον οποίο προσλαμβάνουμε. Δεν υπάρχει offshore tier-1 στο SOC της Datatrek. Κάθε ειδοποίηση εξετάζεται από κάποιον που θα μπορούσε να έχει γράψει την ανίχνευση που την παρήγαγε. Ακούγεται ακριβό — είναι — αλλά είναι ο μόνος τρόπος να κρατάς τα false-positive rates κάτω από 1% σε σοβαρό όγκο ειδοποιήσεων.

Πού ταιριάζει

Το XEDR είναι στρατηγικό. Το σωστό fit είναι:

  • Domain controllers
  • Database servers (ειδικά αυτοί που τρέχουν ERP)
  • Production application hosts
  • Backup servers (όχι τα δεδομένα — ο orchestration host)
  • Hypervisors (το management plane, όχι κάθε guest)

Για workstations, single-EDR είναι αρκετό. Για τα συστήματα που μετατρέπουν μια παραβίαση σε κρίση, το dual-EDR είναι πλέον επιβεβλημένο.

Τιμολόγηση

Ανά agent, μηνιαία, χωρίς minimum. Προτιμούμε να κερδίσουμε την ανανέωση παρά να κερδίσουμε μια διαπραγμάτευση procurement.

Ζητήστε demo του Datatrek XEDR

← Πίσω στα νέα
postmortem
postmortem ransomware

Postmortem: πώς ένα Word έγινε Domain Admin

Ανωνυμοποιημένη αναφορά πεδίου από ένα πραγματικό περιστατικό τον Φεβρουάριο. Αρχική πρόσβαση μέσω macro, persistence σε 4 λεπτά, πλήρης domain compromise σε 47. Άμυνες που μέτρησαν, άμυνες που δεν μέτρησαν.

Μάθετε περισσότερα →