Alle har det, ikke alle har det på alle sine servere, og mange tror det er same same. Pris er viktig, men til hvilken potensiell kost? Spørsmålet alle må stille seg er hvorfor man har endepunktsikkerhet, hvorfor man må ha det, og hvor man bør ha det.
Anti Virus
Anti Virus er en funksjon som har til hensikt å identifisere og stoppe virus. Denne funksjonen har eksistert for PC’er siden 1987 når John McAfee (dere må se filmen Gringo som er en dokumentar om livet til John) opprettet McAfee. I begynnelsen ble dette primært brukt på PC’er. Servere hadde nok dette i mindre grad, og med utviklingen av virtualisering av datasenter (les VMware) ble deling og effektivisering en av grunnene til at ressurskrevende endepunktsikkerhet ikke ble installert.
Med dagens trusselbilde endrer «alt» seg. Vel, det gjør jo ikke det, men viktigheten av god sikkerhet enda flere steder presser seg frem. Teknikkene utvikler seg og aktørene kommer inn steder de typisk ikke hadde fotfeste tidligere. «Anti Virus» begrepet har utviklet seg til å bli endepunktsikkerhet. Hvorfor? Jo, fordi nå handler det ikke bare om virus lenger. Nå handler det om evne til å identifisere, alarmere og stoppe handlinger som kan forårsake skade, i skyen og eget datasenter, på PC’er OG servere. I dag er det heldigvis sjelden man ser en server uten denne funksjonen.
Anti Virus og EDR -> dagens løsning
EDR, Endpoint Detection and Response er helt i min gate. «Suksessfulle hendelser skjer i tillatt trafikk». De store og mest paranoide har i mange år hatt både Anti Virus og EDR teknologi på utstyr samtidig. EDR har til hensikt å logge alt som faktisk skjer på endepunktet for å bedre detektere og etterforske. I dag er disse funksjonene slått sammen, og er vel litt av grunnen til at man ikke lenger installerer «Anti Virus» på enheter, da dette nå er en funksjon i et mer omfattende produkt.
Jeg kunne skrevet opp og ned om disse tingene, hvordan internett har endret bildet siden McAfee kom i 1987, og suksessfulle hendelser. Men la oss komme til poenget.
Det er IKKE same same
Hvorfor må man ha denne teknologien? Jo, fordi uheldige ting kan og vil skje. Man må rett og slett for sitt eget beste anta at uønskede ting vil skje. Men hva, hvordan og når dette vil skje vet man ikke. Mitre Att&ck har i mange år jobbet med å identifisere, kartlegge og kategorisere de forskjellige teknikkene angripere benytter. Dette er mye, komplisert og er presentert i deres Enterprise Matrix. Og da nærmer vi oss konklusjonen. Ettersom man ikke vet hva og hvordan et fremtidig angrep vil foregå, vil en god strategi være å finne en endepunktsikkerhets teknologi som best adresserer mest mulig av Mitre Att&ck sin Enterprise Matrix. For her er det store forskjeller.
Mitre Att&ck tester de forskjellige teknologiene der ute opp mot sine data og man kan bli sjokkert over mindre.
Mitre Att&ck Enterprise Matrix
Dette er stort, og jeg anbefaler alle å klikke seg inn her for å få et overblikk. Alle løsninger der ute er veldig forskjellige i hvordan de dekker dette omfattende bildet, noe som naturligvis kan påvirke pris, men man får vel som oftest det man betaler for.
Konklusjon
Når du og dere skal vurdere endepunktsikkerhet må dere ha med dette i tankene. Dere må stille dere spørsmålet hvorfor dere trenger dette som koster en del penger. Har dere overvåking på loggene (les SOC) vil dette også være viktig å ha med i tankene, og er noe Mitre også tar hensyn til i sine tester.
Utfordre leverandørene til å fremvise sin score i tester utført av Mitre. Spør de også om robusthet på løsning i situasjonen der aktører har kommet inn på serveren med administrator rettigheter. Kan løsningen disables?
Anta det verste. Forbered på det. Kost/nytte/potensiell konsekvens. Det handler om forretning.
Leave a Reply