Wprowadzenie do testu
Rozwiązania klasy Endpoint Detection and Response (EDR) oraz Extended Detection and Response (XDR) wywodzą się z wielowarstwowej ochrony punktów końcowych. Ich rolą jest monitorowanie w czasie rzeczywistym wspieranych systemów operacyjnych i aplikacji w chmurze. Podnoszą na wyższy poziom proaktywne wyszukiwanie zagrożeń, w tym artefaktów IoC (Indicator of Compromise). Może to oznaczać dla Twojej firmy, iż otrzymasz więcej przydatnych informacji zwrotnych z punktów końcowych, co przyczyni się do lepszego zabezpieczenia całej sieci i pracowników przed cyberatakami. Korzystanie z EDR-XDR poprawia widoczność przepływu informacji z całej infrastruktury. Wgląd w telemetrię obejmuje nie tylko punkty końcowe, także systemy w chmurze Amazon Web Service, Microsoft Azure, urządzenia mobilne, czujniki IoT, aplikacje Web 2.0, a choćby sieciowe urządzenia brzegowe.
EDR-XDR sprzymierzeńcem zespołów Red-Blue Team
Do przeprowadzenia porównania rozwiązań EDR-XDR tymczasowo wchodzimy w buty zespołu Red Team, czyli symulujemy działania napastników, którzy mają już dostęp do infrastruktury informatycznej i tym samym sposobność kradzieży danych ze stacji roboczych, by w ostatecznym rozrachunku, jako obrońcy Blue Team, opracować wnioski dla lepszego zrozumienia działania rozwiązań klasy EDR-XDR. Celem tego badania jest uzasadnić inwestycję w produkt do aktywnej i pasywnej obrony systemów poprzez ocenę jego możliwości w konfrontacji z ukierunkowanymi atakami APT (Advanced Persistent Threat).
Narzędzia i protokoły, które wykorzystaliśmy
Chcieliśmy urozmaicić sposoby obchodzenia zabezpieczeń, dlatego postaraliśmy się o wykorzystanie kilku protokołów sieciowych oraz różnych narzędzi. Na przykład w jednym ze scenariuszy wykorzystujemy API komunikatora Telegram (MTProto Mobile Protocol), aby spróbować po cichu wysłać wskazane pliki z maszyny ofiary na konto Telegram, które jest kontrolowane przez napastnika. W prawdziwych atakach na przedsiębiorstwa, według MITRE Techniques & Tactics, hakerzy wykorzystują systemowe narzędzia, takie jak: PowerShell, CMD, MSHTA, WMI i inne, które powinny być pokrywane przez oprogramowanie do monitorowania przepływu danych i informacji. Zagrożenia, którymi się posługujemy w teście, zostały dodatkowo zaciemnione w kolejnej warstwie obfuskacji kodu malware. Użyliśmy ponadto już wcześniej znanego nam z testu bankowości internetowej Caldera Framework, aby uzyskać podstawowe informacje o systemie ofiary. Posłużyliśmy się też ofensywnym oprogramowaniem Metasploit do sprawdzenia widoczności ataków w konsoli administratora.
Telemetria i widoczność ataków w konsoli administratora
Jest to pierwsza edycja testu rozwiązań klasy EDR-XDR, dlatego naszym pierwszorzędnym celem było sprawdzenie rejestrowania śladów ataków w konsoli administratora. Część z ataków będzie łatwa do wykrycia, jak na przykład payload wygenerowany w oprogramowaniu Metasploit z połączeniem reverse TCP nawiązywanym natychmiast po uruchomieniu przez ofiarę szkodliwego pliku.
Sprawdzenie skuteczności ochrony nie było choćby drugorzędnym celem testu, dlatego całą naszą uwagę skupiliśmy na zaobserwowaniu widoczności ataków wraz z telemetrią (tzw. kontekst ataku z alarmem). Brak widoczności albo telemetrii może bowiem oznaczać dla Twojej firmy, iż produkt nie sprawdził się na placu boju albo wykrywał zagrożenie zbyt późno.
Ujawniać się to może zaszyfrowaniem części infrastruktury, zanim agent ochronny na stacji roboczej zdoła zatrzymać eskalację cyberataku. Ponadto dzięki automatyzacji oprogramowanie EDR-XDR jest skutecznym narzędziem dla dużych i małych organizacji o dowolnym poziomie umiejętności technicznych.
Cechy dobrego EDR-XDR
Rozwiązanie tej klasy musi zapewniać wielowarstwową ochronę – od wspierania różnorodnych systemów po procesy, usługi i protokoły sieciowe. Jednocześnie powinno być łatwe w obsłudze. Przyjęliśmy następujące założenia, którymi się kierowaliśmy w teście:
- Ważne jest automatyczne wykrywanie zagrożeń aż po naprawianie problemów ze złośliwym oprogramowaniem, w tym błędną konfiguracją agenta oraz systemu operacyjnego, aby gwałtownie i łatwo wspierać małe oraz średnie organizacje w procesie bezpieczeństwa.
- Skuteczne zarządzanie i widoczność całego łańcucha ataku to istotna cecha produktu, aby ułatwić wgląd w zdarzenia z ochrony prewencyjnej, aż po adaptacyjne wykrywanie podejrzanej aktywności wraz z automatyczną reakcją na incydenty.
- Zaawansowane wyszukiwanie artefaktów z telemetrii musi umożliwiać identyfikację i naprawę potencjalnych problemów związanych z bezpieczeństwem organizacji, zanim atakujący uzyska to, co zaplanował. Dlatego rozwiązanie EDR-XDR musi zapewniać szczegółową widoczność ataku oraz szybki i łatwy dostęp do danych telemetrycznych, aby wspomagać analityków w polowaniu na zagrożenia.
- Istotną cechą jest unikanie „męczenia alertami” poprzez udostępnianie niezbędnych do wykrycia artefaktów w ramach podejrzanej aktywności. Ten punkt może być spełniony dzięki automatycznej neutralizacji cyberataków bez udziału człowieka.
- Na rozwiązanie EDR-XDR składa się cały ekosystem modułów bezpieczeństwa współpracujących ze sobą, dlatego w teście unikamy wyłączania części ochrony, ponieważ celem rozwiązań EDR-XDR jest wykrywanie i zatrzymywanie coraz bardziej złożonych ataków.
- Niezależnie od systemu operacyjnego rozwiązanie powinno zapewniać natychmiastową identyfikację zdarzeń ze wszystkich punktów końcowych dzięki jednego pulpitu nawigacyjnego. Tak zwany holistyczny widok na zainfekowane zasoby IT pozwala gwałtownie zareagować i zneutralizować każdy rodzaj ataku.
Jak dobieraliśmy oprogramowanie do testu?
Pod uwagę wzięliśmy producentów tych rozwiązań klasy EDR-XDR, do których mamy szybki dostęp ze względu na wcześniejszą współpracę przy innych testach. Wygenerowanie testowych kont i kontakt z producentem czasami trwa całe tygodnie, a przez wgląd na 30-dniową wersję trial produktu, przeprowadzenie testu do końca nie byłoby możliwe. Nie wykluczamy, iż w kolejnych edycjach weźmiemy pod uwagę inne rozwiązania tej klasy. Chętnych do współpracy producentów zapraszamy do kontaktu.
Lista 6 rozwiązań
- Bitdefender GravityZone Business Security Enterprise with XDR
- Emsisoft Enterprise Security with EDR
- Microsoft Defender for Endpoint with EDR
- Trend Micro Apex One + Trend Micro Vision One with XDR
- Xcitium Advanced Endpoint Protection with EDR
- Prywatny test (producent nie chciał ujawniać nazwy).
Sophos i Eset odmówili udziału w teście.
Konfiguracja systemu ofiary oraz agenta
- Do zasymulowania ataków wykorzystaliśmy maszynę wirtualną z systemem Linux Mint jako serwer Command and Control z oprogramowaniem Caldera Framework (z predefiniowanymi rodzajami ataków) oraz maszynę wirtualną Kali Linux z zainstalowanym oprogramowaniem Metasploit.
- Maszyny wirtualne z Windows 11 i Windows Server 2019 z zainstalowanymi agentami testowanych rozwiązań były podłączone do tej samej sieci i miały pełny dostęp do Internetu. Zastosowaliśmy całkowicie domyślną konfigurację Windows.
- Zrezygnowaliśmy z tworzenia kampanii od początku do końca. Tak zwany payload dostarczaliśmy opisywanymi protokołami z ominięciem socjotechniki, ponieważ rodzaj i cel ataku w symulowanym scenariuszu był znany testerom.
Konfiguracja polityk dla agentów antywirusowych zwykle była domyślna lub zawierała dodatkowe ustawienia dla uzyskania bardziej szczegółowej telemetrii. Nie wyłączaliśmy ochrony antywirusowej. W przypadku rozwiązań, którym należało przydzielić predefiniowaną konfigurację polityki np. Microsoft Defender for Endpoint, chcieliśmy przypisać możliwie najlepszą ochronę, aby mieć szczegółowy wgląd w informacje o łańcuchu ataku i maksymalną telemetrię, co to było celem naszego testu.
Symulacja ofensywnych testów bezpieczeństwa z uwzględnieniem widoczności ataków w telemetrii