De allra flesta dataintrång förblir oupptäckta – med EDR ökar sannolikheten för upptäckt

AV, EDR, MDR, SIEM... På marknaden finns idag en uppsjö av olika lösningar för att skydda sig mot dataintrång. De överlappar delvis varandra, men varje produkt har sin plats och roll. Det kan vara svårt att hänga med i utvecklingen och förstå vilka lösningar som passar i den egna miljön.

Den här bloggtexten fokuserar särskilt på EDR, dvs. produkten Endpoint Detection and Response och dess fördelar.

EDR – så att du kan upptäcka datasäkerhetsavvikelser och reagera snabbt på dem.

EDR-lösningen synliggör företagets IT-infrastruktur och avvikelser i den. Företagen kan bli mycket bättre i fråga om den aktuella lägesbilden. Faktum är att internationella studier visar att informationssäkerhetshot i snitt identifieras först flera månader efter att de inträffat. Angriparna har alltså gott om tid att skapa oreda.

Vet du vad du slåss mot?

Det hittas ständigt nya sårbarheter i system och programvaror. Dessutom vet vi att majoriteten av de skadliga programmen tar sig in i datorn eller enheten just via sårbarheter. Därför är det viktigt att reagera så snabbt som möjligt på avvikelser. Ju snabbare sårbarheten identifieras och åtgärdas, desto mindre sannolikt är det att det skadliga programmet hinner ta sig in i enheten.

Om någon gjorde ett dataintrång i ditt företag just nu, skulle du veta om det?

De oftast förekommande orsakerna till dataintrång är det säkert många som känner till. Amerikanska InformationWeek listade de åtta vanligaste:

1. Svaga eller stulna användarnamn och lösenord
2. Programsårbarheter eller så kallade bakdörrar
3. Skadeprogram
4. Bedrägerier
5. Alltför omfattande användarrättigheter
6. Interna hot
7. Fysiska attacker
8. Konfigurations- och användarfel

Om du vill hålla dig uppdaterad om de viktigaste hoten, rekommenderar vi att du tar en titt på Traficoms Cyberväder. 

I ett nötskal: så har fungerar EDR

Bildkälla: WithSecure.

1. Enhetens säkerhetsprogram övervakar alla händelser på datorn. Också de som användaren inte kan se. Till exempel, vilka förbindelser datorn har på nätet och vilken typ av trafik som passerar där.
   
   
2. Enskilda händelser kombineras till händelsekedjor, där man letar avvikelser. Låt oss säga att du öppnar en Word-fil och detta triggar körningar av några makron i bakgrunden för att modifiera andra filer på datorn, då är det helt klart fråga om en händelse som normalt inte borde ske när man öppnar en Word-fil.
   
   
3. Massan av händelser jämförs med liknande situationer som inträffar på företagets andra enheter, samt med typiska händelseförlopp hos programvaruleverantörens hela kundmassa.
   
   
4. Händelserna och händelsekedjorna analyseras i realtid i programleverantörens moln, inom EU-området. Identifierade avvikelser bedöms enligt riskklass och de utlöser larm på kontrollpanelen.
   
   
5. Den IT-ansvariga på ditt företag – intern eller partner – kan undersöka larmen och mer detaljerade rapporter om dem och reagera vid behov. Om man väljer rätt partner finns WithSecures experter även tillgängliga som bakgrundsstöd vid utredningar.

Läs mer om WithSecures EDR-produkt på deras webbplats.

Triuvares experter hjälper till att bedöma de upptäckta avvikelserna.

Enbart programvaran är inte saliggörande. EDR-verktyget i sig synliggör säkerhetshoten och ger information om dem, men om ingen reagerar på hoten är ditt företag inte mer skyddat än innan ni skaffade verktyget.

Har ditt företag resurser för att hantera de upptäckta avvikelserna eller kunskap att åtgärda dem? Om du svarade nekande på någon av de här frågorna, kan Triuvares experttjänst vara till stor hjälp. Vi hjälper företag att

• följa upp nuläget och de upptäckta avvikelserna
• bedöma hur kritiska upptäckterna är
• reagera vid behov och på ett lämpligt sätt.

Vill du diskutera datasäkerhet?

Vill du att Triuvares experter ska berätta mer för dig om EDR eller andra säkerhetslösningar?  Lämna en kontaktbegäran, så återkommer vi till dig så snart som möjligt.